Kritische Infrastrukturen: Schutz von SCADA-Anlagen mit NAC

Industrieanlagen und deren Steuersysteme können nicht mit gängiger IT-Security abgesichert werden. Hier bietet sich Network Access Control (NAC) an.

Dies ist der dritte und letzte Teil einer Artikelserie. Der ersten Beitrag beschäftigt sich mit dem Wandel der Bedrohungslage und warum dies neue Wege in der IT-Sicherheit erfordert. Teil 2 beschreibt NAC als automatisiertes Security-Response Center.

Die MESSE HANNOVER 2011 hat dafür gesorgt, dass der Begriff Industrie 4.0 in aller Munde ist. Die Politik stellte damals ihre Vision der wirtschaftlichen Zukunft vor: Intelligente Fabriken werden als die nächste Phase der industriellen Revolution dargestellt. Das Problem ist allerdings, dass die verschiedenen Interessengruppen die Auswirkungen des Trends auf die Sicherheit nicht bedenken. Produktionsumgebungen sind oft nicht ausreichend gegen Cyberangriffe gerüstet. Außerdem werden die Gefahren unterschätzt, die durch die digitale Integration entstehen.

Im ersten Teil dieser Serie wurde bereits der Bericht (PDF) des Bundesamts für Sicherheit in der Informationstechnik (BSI) über den Angriff auf ein deutsches Stahlwerk erwähnt. Dabei war es Hackern mithilfe eines Social-Engineering-Angriffs gelungen, zunächst in das Büronetzwerk des Unternehmens einzudringen. Dies war an das Produktionsnetzwerk des Stahlwerks angebunden. Die Angreifer fanden Wege, dieses unter ihre Kontrolle zu bringen. Das zwang die Betreiber dazu, die Produktion einzustellen und die Anlage herunterzufahren.

Besondere Anforderungen an die Sicherheit in der Produktion

Durch die Digitalisierung verändert sich das Produktionsumfeld. Die Steuerungssysteme in der Produktion werden Büroumgebungen immer ähnlicher. Die Steuerung und Überwachung wird zunehmend digitalisiert; Computer und mobile Geräte werden als Steuerungskonsolen eingesetzt und vermitteln dem Anwender das Gefühl, sich eher in einer Office-Umgebung als in einem produzierenden Gewerbe zu befinden. Doch ein elementarer Unterschied wird immer bestehen bleiben: Die Betriebssysteme und Anwendungen in der Industrie erlauben in der Regel keine aktiven Maßnahmen und die Sicherung der Netzwerke muss auf passivem Wege geschehen.

Markus Auer, ForeScout Technologies, Inc.Markus Auer, ForeScout Technologies, Inc.

Patch-Management auf SCADA-Systemen ist schwierig, denn Sicherheitstools dürfen nicht in den Produktionsprozess eingreifen. Trotzdem müssen Fernwartungstunnel geschützt werden. Aktive Scans und fehlerhafte Wartung können Systeme stören und zum Stillstand führen. Außerdem sind vielfach proprietäre Systeme im Einsatz, die spezielle Anforderungen stellen. Die eiserne Regel der Fertigungsindustrie besagt, dass die Produktion unter allen Umständen gewährleistet bleiben muss. Ausfälle sind nicht tragbar.

Im Allgemeinen finden Herstellungsprozesse in einer Umgebung statt, die schwer zu überwachen ist. In der Produktion nutzt man häufig Insellösungen, welche nicht für den Onlinebetrieb konzipiert wurden. Diese sind in der Regel auch heutzutage nicht direkt mit dem Internet verbunden, werden aber an das Unternehmensnetzwerk angeschlossen. Schadsoftware kann über andere Geräte in das Netzwerk gelangen und dann die Anlagen befallen.

Im Vergleich zu einem klassischen Büro ist die Gruppe der zugreifenden Personen größer und heterogener. Anwesenheit und der Grund für eine Verbindung sind in einer Produktionsanlage schwerer einsehbar. Mitarbeiter, Dienstleister, Freiberufler und andere Beteiligte melden sich mit eigenen Geräten in einer unübersichtlichen Umgebung im Netzwerk an. Die Herausforderung besteht also darin, ein Konzept zu finden, das eine nahtlose Integration in eine zeitkritische Umgebung mit einer Vielzahl verschiedener Nutzer und Geräte ermöglicht, ohne dass aktive Eingriffe vorgenommen werden müssen. Zugleich dürfen die IT-Mitarbeiter nicht überfordert werden und sollten einen zentralen Überblick bekommen.

Insbesondere die Fernwartung ist kritisch. Hier wird von außerhalb der Netzwerkperimeter auf die Anlage zugegriffen. Fernzugriff ist unerlässlich und die Wartungstunnel brauchen besonderen Schutz, denn ohne entsprechende Vorkehrung kann Malware durch diese Tunnel Anlagen direkt befallen.

Der Schutz muss auf der Netzwerkebene erfolgen

Next-Generation Network Access Control (NAC) ist in der Lage, diesen noch ungeschützten Bereich abzusichern und Angriffe auf Produktionsanlagen abzuwehren. Durch Monitoring des Datenverkehrs können NAC-Lösungen automatisch ungewöhnliche Verhaltensweisen im Netzwerk erkennen. Informationen wie verwendete Ports und Protokolle, Betriebssystem und Gerätetyp helfen der IT, sinnvolle Entscheidungen zu treffen, ohne das Produktionsergebnis zu beeinträchtigen. Die Aktionen sind granular, und die Aktivitäten können auf einen „Monitor-only“-Modus reduziert werden.

Ohne richtige Vorkehrungen ist ein erfolgreicher Angriff nur eine Frage der Zeit.

Bösartiger Codes und Auffälligkeiten, die auf einen schädlichen Angriff hinweisen, lassen sich auf diese Weise adäquat adressieren, ohne dass unzulässige aktive Maßnahmen eingeleitet werden müssen.

Next-Generation NACs erzeugen ein Sicherheitsprofil für jedes Gerät im Netzwerk, nicht nur für die Produktionssysteme. Dienstleister, die auf Basis von Serviceverträgen tätig sind, behalten durch die Verwendung eines sicheren Connectors die Kontrolle über ihre Endgeräte. Der Connector gibt Nutzern von privaten Geräten und IT-Sicherheitsbeauftragen die Gewissheit, dass die Richtlinien für Sicherheit und Datenschutz eingehalten werden.

Das BSI mahnt, dass die Fähigkeiten von Netzwerkzugangskontrolle nicht ausreichend eingesetzt werden. Im oben genannten Bericht „Die Lage der IT-Sicherheit in Deutschland“ aus dem Jahr 2014 heißt es: „Eine Netzwerkzugangskontrolle (…) wird oftmals nicht genutzt .“ Allzu oft setzen Unternehmen und Behörden die adäquate Technologie nicht ein und lassen dadurch Lücken, die Angreifer nutzen können. Politische Institutionen schalten sich ein, da nicht nur einzelne Produktionsstandorte gefährdet sind, sondern eine Gefahr für die wirtschaftliche Infrastruktur besteht.

Fazit

Für das produzierende Gewerbe hat sich die Gefahrenlandschaft grundlegend geändert. Advanced Persistent Threats (APTs) greifen SCADA-Anlagen zielgerichtet an und sind eine ständige Gefahr. Die Angriffstechniken sind intelligent und nur schwer sichtbar zu machen. Eine Cyberattacke besteht nicht länger aus einem einzelnen Wurm, sondern greift in der Regel immer gleich aus mehreren Richtungen an.

Die Integration von Insellösungen in Firmennetzwerke und der Schutz von Industrieanlagen stellen die Wirtschaft vor eine große Herausforderung. Next-Generation NAC sind eine Möglichkeit, um digitale Steuerungssysteme zu schützen und sich diesen Aufgaben zu stellen. Sie erlauben es, den Weg für Angriffe zu blockieren, ohne die Produktion zu gefährden. Dazu sind sie leicht zu implementieren und erlauben die Umsetzung von granularen Policies. Ohne richtige Vorkehrungen ist ein erfolgreicher Angriff nur eine Frage der Zeit.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Über den Autor:
Markus Auer, Regional Sales Director DACH, ist seit März 2014 bei ForeScout beschäftigt und für den Marktaufbau in Deutschland, Österreich und Schweiz verantwortlich. Zuvor war er bei Q1 Labs (jetzt IBM) als Sales Director Central Europe beschäftigt. Davor hatte Markus Auer weitere Positionen bei SourceFire (jetzt Cisco), netForensics und MessageLabs (jetzt Symantec) inne. Neben seiner Ausbildung zum Industrial Manager bei Siemens AG München war Herr Auer als freiberuflicher Berater für die Unternehmen Novell und Microsoft tätig.

Artikel wurde zuletzt im August 2015 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close