Industrial Security Industrieumgebungen wirksam schützen

Gute Sicherheitsvorkehrungen sind heute durchaus so robust und effektiv, dass sie Angriffe zumindest teilweise erkennen können. Unterschieden werden sie nach ihrem Wirkungszeitpunkt. Dieser reicht von präventiven über detektive und korrektive bis zu responsiven Maßnahmen.

Anbieter zum Thema

IBM Business Consulting Services

SIKO GmbH

PVA TePla AG

Moxa Europe GmbH

In Operational-Technology-(OT-)Umgebungen kann jede aktive Sicherheitsmaßnahme als ein erhebliches Risiko für die Verfügbarkeit und Aktualität von Betriebsprozessen betrachtet werden. Werden Anlagen und Systeme ohne Herstellerfreigabe verändert, führt das häufig zu einem Verlust des Supports und der Systemzertifizierung. Es gibt jedoch andere Wege, um OT-Umgebungen auf Angriffe vorzubereiten. Statt etablierte IT-Sicherheitsverfahren eins zu eins auf OT-Umgebungen zu übertragen, sollten sogenannte kompensierende Sicherheitsmaßnahmen berücksichtigt werden.

Präventive Sicherheitsmaßnahmen

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) dürften innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Im besten Fall sind die Sicherheitsmaßnahmen in Anlehnung an eine abgestimmte und regelmäßig aktualisierte IT- und OT-Sicherheitsstrategie auch schon festgelegt worden.

Zudem sollten verschiedene Sicherheitsstufen eingeführt und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen. Jegliche Kommunikation – insbesondere zwischen IT und OT – sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-­Back-up-Daten hinterlegt sind.

Angriffe über IT-Infrastrukturen

Alle bisher dokumentierten großen Angriffe auf Maschinen, wie die von Wannacry und Industroyer, gelangten über die mit der OT verbundenen IT-Infrastrukturen in das Anlagennetzwerk. Industroyer war ein gezielter Angriff auf ein 200-MW-Umspannwerk in Kiew, von dem Experten vermuten, dass damit nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden sollte. Beim Wannacry-Ransomware-Angriff im Mai 2017 nutzte die Malware gezielt eine bekannte Schwachstelle im Windows-Betriebssystem aus, unterbrach dadurch die Betriebsabläufe und verschlüsselte wichtige Unternehmens- und Administrationsdaten.

Bereits durch angemessenes Patching der IT-Komponenten hätten Unternehmen den Attacken von Wannacry Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Deshalb hat IBM neben einer Lösung für IT- auch eine Patch-Management-Version für OT-Systeme entwickelt. Die von Verve Industrial angebotene Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. Sowohl IBM Bigfix für IT als auch Verve für OT lassen sich in IBMs zentrale Security Intelligence (Q-Radar SIEM, Security Information and Event Management) integrieren. In dieser Kombination können beide Lösungen:

• Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;

• Schwachstellen beseitigen, wenn ein Patch vorliegt;

• anfällige Dienste erkennen und gegebenenfalls deaktivieren beziehungsweise Informationen zur tatsächlichen Bedrohungslage erhalten;

• Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;

• methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.

(ID:45326921)