Gefahr für Sicherheit und Compliance: Schwachstellen in Industrieanlagen

Industrieanlagen sind häufig unzureichend gegen Cyberattacken geschützt. Dabei ist die Bedrohungslage durch die digitale Integration größer geworden.

IT-Sicherheit in der Industrie ist immer noch ein Nischenthema, daran ändert auch das IT-Sicherheitsgesetz nichts. Zwar hat die Bundesregierung erkannt, dass bestimmte Teile der Infrastruktur lebensnotwendig und daher besonders schützenswert sind, trotzdem werden Industrieanlagen häufig nicht ausreichend gegen Cyberattacken geschützt.

Durch die digitale Integration ist die Sicherung von SCADA (Supervisory Control and Data Acquisition) und ICS (Industrial Control System) erneut schwieriger geworden und durch die veränderte Gefahrenlandschaft hat das Gefahrenpotenzial zugenommen. Die jüngste Generation von SCADA-Anlagen haben konsequent vernetze Steuerungssysteme, die intelligent auf Vorfälle in ihrer Umgebung reagieren können.

Trotzdem dürfen Schutzmechanismen nicht aktiv in die Betriebsabläufe eingreifen oder Produktionsabläufe behindern beziehungsweise gefährden. Die Vernetzung verlangt, dass eigentliche Insellösungen in das Netzwerk eingebunden werden oder sogar direkt mit dem Internet verbunden sind, obwohl sie dafür nicht ausgelegt sind. Neue Anlagen machen die Nutzung von Windows-Systemen und den Zugriff auf Netzwerkressourcen gar obligatorisch und öffnen dadurch weitere Angriffsvektoren.

Schutz von SCADA-Anlagen durch SIEM

Malware wird immer intelligenter und die Anzahl der Attacken wächst. Advanced Persistent Threats (APT) verteilen sich selbstständig im Firmennetz und können Sicherheitstools ausweichen. Haben Kriminelle Schadsoftware einmal eingeschleust, verteilt sich diese leicht im Netzwerk. Die erste Generation von SCADA-Anlagen arbeitet noch ohne IP-Adressen, nutzte proprietäre Systeme und war nicht miteinander vernetzt. Die nächste Generation war recht ähnlich, griff aber schon auf lokale Netzwerke zu.

Ab der dritten Generation wurde die Technologie deutlich komplizierter. Die Bauteile und die Software wurden einem herkömmlichen PC immer ähnlicher. Zwar braucht es Know-how, um einmal in das System einzudringen – aber offene oder allgemein bekannte Protokolle, off-the-Shelf-Software und eingeschränkte Patch-Möglichkeiten sind für Cyberkriminelle kein Hindernis. Einmal im System kann Schadsoftware aber großen Schaden anrichten und die Produktion lahmlegen. Im Extremfall können Anlagen sogar beschädigt werden.

Die Bewertung von Sicherheitsrisiken wird immer aus verschiedenen Standpunkten gesehen. In der Regel koordinieren sich Betriebsleiter und Sicherheitsbeauftragte und stimmen Schutzmechanismen ab. Zusätzlich gibt es einige Sicherheitsnormen wie ISO 27001 & 27002, EAL oder FIPS-140. Diese Standards sind zwar nette Leitlinien, aber es fehlt einfach immer noch an Best Practices. Daher ist das Risikomanagement von SCADA/ICS deutlich schwieriger als in anderen Bereichen. Zwar sehen Produktionsanlagen normalen Netzwerken immer ähnlicher, trotzdem ist das Risiko ungleich höher. Produktivität und ROI müssen stets gewährleistet werden, daher können SCADA-Anlagen nicht so einfach ersetzt werden, wie einzelne Rechner oder Server in herkömmlichen Netzwerken.

IT-Verantwortliche müssen deshalb unter Umständen für längere Zeit mit bekannten Schwachstellen in Ihren Fertigungsnetzwerken leben. Ein Anhalten der Produktion oder eine komplette Neuinstallation kommen normalerweise nicht in Frage. Hilfreich ist eine Übersicht über alle Aktivitäten in dem entsprechenden Netzwerk, mit der sie detaillierte Analysen durchführen können. Log-Management- oder SIEM (Security Information und Event Management)-Lösungen setzen genau hier an. Durch die automatisierte Prüfung von Events und Log-Daten werden Administratoren bei ihrer Arbeit entlastet und finden bessere Einblicke in Netzwerkaktivitäten. Administratoren können unmittelbar Sicherheitseinstellungen anpassen und so langwierige und kostenintensive Ausfälle minimieren.

Schlüsselbegriff Compliance

Datenanalyse von allen relevanten Komponenten (Server, Firewalls, Proxy, Router etc.) oder Anwendungen (ERP, Steuerungssoftware, SharePoint) erlaubt es Informationen zu bündeln, zu klassifizieren und richtig zu archivieren. Oft wird vergessen, dass solche Informationen zur Echtzeit-Risikobewertung genutzt werden könnten. Vollständige Aufzeichnungen zeigen Probleme und Schwachstellen im System auf und machen ungewöhnliche Prozesse sichtbar. Dabei können Schwachstellen zielgenau für das komplette Netzwerk identifiziert werden.

Durch die Präzision können Angriffsvektoren für Malware geschlossen werden. Des Weiteren hilft SIEM bei der Erfüllung von Sicherheitsstandards und Industrienormen. Die gängigen Standards wie ISO 27001 oder der Grundschutzkatalog des BSI sind, ohne entsprechende Werkzeuge, mühsam einzuhalten. Um diese konsequent durchzusetzen und Compliance nachzuweisen, macht es Sinn, IT-Abteilungen mit entsprechende Analyse- und Archivierungstools auszustatten. Diese erleichtern zusätzlich die Erstellung von Audits und Reportings.

Neben den Rechtsnormen für das deutsche IT-Sicherheitsgesetz werden auf EU-Ebene weitere Rechtsakte im Bereich Datenschutz und Cybersicherheit erwartet. Die Netzwerk- und Informationssicherheitsrichtlinie (NIS) und die allgemeine EU-Datenschutz-Grundverordnung (EU-DSGVO) sollen spätestens im ersten Quartal des nächsten Jahres verabschiedet werden. Sie betreffen fast alle Unternehmen in der EU, nicht nur Betreiber von kritischer Infrastruktur.

„Das Bewusstsein für Cybersicherheit hat sich in den letzten Jahren deutlich verbessert, trotzdem mangelt es an bewährten Sicherheitslösungen, die für das Produktionsumfeld geeignet sind. Sicherheitslösungen für die Industrie müssen ihre Praxistauglichkeit erst noch beweisen.“

Pascal Cronauer, LogPoint

SIEM-Lösungen helfen bei der Umsetzung von gesetzlichen Vorschriften oder innerbetrieblichen Vorgaben und liefern wichtige Daten bei einem Cyberangriff. Daher sind sie auch für die forensische Untersuchung einsetzbar. Beispielsweise können durch einen Fernwartungstunnel gesendete Befehle nicht ohne Hilfsmittel nachverfolgt werden. Virtuelle Netzwerke, Clouds und andere Teilsysteme der Digitalisierung lassen Infrastruktur immer leistungsfähiger und effizienter werden, bergen aber auch neue Risiken.

Durch die Auswertung der Daten zeigen sich zusätzliche Verbesserungsmöglichkeiten im Unternehmen. Datensilos und ungewöhnlich lange Responsezeiten werden ersichtlich und lassen sich punktgenau angehen. Dies erlaubt effizientere Prozesse und eine bessere Servicequalität. Durch die Integration von mehreren Geschäftsprozessen (Management, CRM, Risk Management) und neuen Technologien (Cloud-Computing, Social Networking, Mobility, IoT) ist SIEM die Best-Practice Lösung für IT-Verantwortliche. Sie sind dadurch in der Lage, Risiken professional zu managen und Fehler zu erkennen. Daraus abgeleitet lassen sich dann Maßnahmen frühzeitig in die Wege leiten, um Gefahren vorzubeugen.

Fazit

Das Bewusstsein für Cybersicherheit hat sich in den letzten Jahren deutlich verbessert, trotzdem mangelt es an bewährten Sicherheitslösungen, die für das Produktionsumfeld geeignet sind. Zwar haben viele Security-Anbieter reagiert, die Unsicherheit bei der Auswahl von Sicherheitstools ist allerdings groß. Sicherheitslösungen für die Industrie müssen ihre Praxistauglichkeit erst noch beweisen.

SIEM erlaubt genaue Risikoanalysen ohne die Produktion zu gefährden und erleichtern die Arbeit von IT-Verantwortlichen. Da sie Schutz und Output-Optimierung zugleich ermöglichen, treffen Log-Analysen und SIEM den Bedarf von Sicherheitsverantwortlichen und Produktionsleitern. Gleichzeitig entlasten sie IT-Administratoren bei ihrer täglichen Arbeit. Zusätzlich sind sie flexibel genug, um sich Systeme und Netzwerke auf die Compliance mit verschiedenen Normen und Standards zu prüfen und diese auch durch Reportings (PCI, ISO etc.) nachzuweisen.

Über den Autor:

Pascal Cronauer ist Country Manager DACH bei LogPoint.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Angreifbarkeit industrieller Systeme

Die Sicherheit kritischer Infrastrukturen profitiert von Situationsbewusstsein

IoT: Eine Herausforderung für das Identitäts-Management

Die Sicherheitsrisiken von IoT mit NAC eindämmen

Artikel wurde zuletzt im Oktober 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close