ICS- & SCADA-Security

So werden industrielle Kontrollsysteme sicher

14. Oktober 2016
Holger Suhl ist General Manager DACH bei Kaspersky Lab.
Der Dokumentarfilm "Zero Days" klärt sechs Jahre nach Stuxnet über die Hintergründe der Cyber-Kriegsführung auf. Es bleibt die Frage, wie kritische Infrastrukturen, Industrieanlagen und Steuerungssysteme geschützt werden können. Wir suchen Antworten.

Der wohl erste staatlich geführte Cyberangriff auf eine Industrieanlage hatte das iranische Atomprogramm im Visier. Was wie ein Cyberthriller aus Hollywood klingt, geschah tatsächlich im Jahr 2010 in Form von ‚Stuxnet‘. Seit dem 6. September läuft der Dokumentarfilm "Zero Days", der von Stuxnet, dessen Hintergründen und Zielen handelt, auch in den deutschen Kinos. Der Film veranschaulicht die Dringlichkeit und die Komplexität einer Cybersicherheitsstrategie für Industrieanlagen und kritische Systeme. Mehr denn ja stellt sich die Frage, wie und mit welchen Maßnahmen aktuellen Sicherheitsproblemen bei industriellen Anlagen begegnet werden sollte.

Anders als IT-Sicherheitsansätze für herkömmliche IT-Netzwerke wurden industrielle Kontrollsysteme (Industrial Control Systems, ICS) und deren SCADA-Komponenten (SCADA-Software, Netzwerkkommunikation, Netzwerkprotokolle oder Hardwaredesign und -implementierung) in der Vergangenheit nie als potenzielles Sicherheitsrisiko gesehen.

ICS-Security: Haltung verändern

Allerdings sind Cyberangriffe auf ICS-Umgebungen heute keine Fiktion mehr, sondern Realität. Es ist notwendig, dass Unternehmen mit ICS-Umgebung ihre Haltung gegenüber Cybersicherheit ändern - zumal bisherige Schutzansätze darauf setzten, industrielle Infrastruktur in physisch isolierten Umgebungen zu betreiben, was in Zeiten der Industrie 4.0 nicht immer der Fall sein kann.

Eine Kaspersky-Studie bestätigt, dass weltweit 188.019 ICS-Rechner (Hosts) über das Internet erreichbar sind. Davon sind 13,9 Prozent in Deutschland beheimatet. Zudem ist in den vergangenen fünf Jahren die Anzahl gefundener Schwachstellen innerhalb von ICS-Komponenten um das Zehnfache gestiegen. Bei knapp der Hälfte der Fälle handelt es sich um kritische Lücken. Die Sicherheitslücken sind kein Phänomen einzelner Branchen, sondern ziehen sich über alle Industriezweige hinweg - angefangen bei Energieerzeugern über Transportwesen und Automobilindustrie hin zur Lebensmittelherstellung.

Die (IT-)Sicherheit von Industrieanlagen ist ein entscheidender Zukunftsfaktor.
Die (IT-)Sicherheit von Industrieanlagen ist ein entscheidender Zukunftsfaktor.
Foto: muph - www.shutterstock.com

ICS- & SCADA-Sicherheit: Mitarbeiter schulen

Um die derzeitige Situation und Haltung bezüglich der IT-Sicherheit für ICS-Umgebungen zu verbessern, sollten Schulungsprogramme entwickelt werden, die das Situationsbewusstsein stärken und Handlungsvorgaben für bestimmte Szenarien liefern. Dabei sollte jeder Mitarbeiter verstehen, welche Handlungen der täglichen Routine Sicherheitsverletzungen nach sich ziehen können und wie man damit entsprechend umgehen kann.

Zwei Beispiele:

• Das technische Team arbeitet mit Servern, Geräten und Software. Die Mitarbeiter müssen verstehen, wann und wie USB-Wechseldatenträger, mobile Geräte und persönliche Laptops zu nutzen sind, und wie sichere Passwörter für alle Geräte gewählt werden.

• Das Management-Team arbeitet überwiegend mit internen Dokumenten und Plänen, die nicht nach außen dringen dürfen. Die Teammitglieder sollten verstehen, wie man Online-Dienste wie etwa Clouds sicher für die Archivierung und den Transport von Daten verwendet.

Richtlinien: Der Rahmen für eine sichere IT-Infrastruktur

Das Ziel einer passenden IT-Sicherheitsstrategie sollte also nicht nur darin bestehen, nationale und internationaleSecurity-RichtlinienSecurity-Richtlinien zu erfüllen. Vielmehr sollte sie vor allem auf interne Richtlinien und die Verbesserung des Cybersicherheitsverständnissens innerhalb der Organisation ausgerichtet werden. Ob gezielte Attacke oder "ungewollte" Infizierung - sowohl scheinbar unwichtige Ereignisse in der Cybersicherheit als auch die richtige Reaktion in ernsthaften Situationen sind essenziell. Alles zu Security auf CIO.de

Richtlinien für die alltägliche Routine der Mitarbeiter sowie Handlungsempfehlungen für den Ernstfall sollten folgende Aspekte beinhalten:

  • Informationen: Es sollte eine Übersicht über die Informationen bestehen, die öffentlich zugänglich sein beziehungsweise herausgegeben werden dürfen. Sensible interne Daten wie etwa Details über Projekte oder Mitarbeiter sollten nicht nach außen gelangen. Vorsicht ist zudem bei Bildmaterial in öffentlichen Präsentationen geboten: Versehentlich abfotografierte, vertrauliche Dokumente machen sich auf Groß-Leinwänden nicht besonders gut.

  • Kontrollraum: Hier sollten sämtliche Funkzellen sowie Bluetooth-Verbindungen unterbunden werden. Fotos sollten vom Kontrollraum generell nicht gemacht werden, da die Gefahr der Weiterverbreitung besteht. Außerdem sollten keine USB-Sticks innerhalb des Kontrollraums angeschlossen werden.

  • Internet: Vom ICS-Netzwerk aus sollten keine Websites aufgerufen oder das Internet angesteuert werden. Unseriöse Links oder Einladungen von unbekannten Personen sollten nicht angeklickt, beziehungsweise angenommen werden.

  • Geräte/Datenträger: Unbekannte USB-Sticks sollten zu keinem Gerät im Unternehmen Zugang finden. Für ICS-Geräte gilt zudem, dass keinerlei Datenträger angeschlossen werden sollten - auch kein Smartphone zum laden.

  • Cloud-Dienste: Öffentliche Cloud-Dienste haben große Sicherheitslücken und unterscheiden beim Upload nicht zwischen vertraulichen und unwichtigen Dokumenten. Sie sollten daher nicht zum Transfer von sensiblen Daten oder PGP/GPG-Encryption verwendet werden.

  • Weiteres: Firewalls oder Netzwerksegmentierungen sollten nicht umgangen werden. Die AutoRun-Funktion sollte zudem auf allen verwendeten Geräten wie Laptops, Arbeitsplätzen und Servern deaktiviert sein.

Industrial Control System: Nicht ohne Selbstregulierung

Jede Aktion in einem kritischen System ist per se kritisch. Daher muss eine Kultur der Selbstregulierung von ICS-Organisationen etabliert werden, bei der jeder Mitarbeiter versteht, welche Risiken durch alltägliche Handlungen für das Unternehmen entstehen können. Eine solche Selbstregulierung erfordert, dass jeder Mitarbeiter im Unternehmen für seine Handlungen verantwortlich ist. Der Knackpunkt liegt in der Verhaltensänderung und der Integration von Sicherheit auf jedem Mitarbeiterniveau im Unternehmen. Betriebspersonal, IT-Management, Marketing, Finanzen und die Personalabteilung - sie alle müssen ihr Verhalten anpassen und wissen, wann was in welcher Situation zu tun ist.

Hundertprozentige Sicherheit kann nie gewährleistet werden, allerdings ermöglicht der Mix aus Sicherheitsschulungen, passenden Richtlinien, Verbesserung der unternehmensinternenSecurity Intelligence sowie der Einsatz technischer Schutzlösungen auch hoch sensiblen Systemen eine adäquate Cybersicherheit. Da solche Anlagen oftmals über Jahre hinaus aktiv sind, sollten IT-Sicherheitsaspekte auch von Beginn an mit gedacht und in der eigenen Cybersicherheitsstrategie abgebildet werden.

Links zum Artikel

Thema: Security

Kommentare zum Artikel

comments powered by Disqus
Zur Startseite