Aufrufe
vor 10 Monaten

Industrielle Automation 6/2017

  • Text
  • Industrielle
  • Automation
Industrielle Automation 6/2017

INDUSTRIELLE

INDUSTRIELLE KOMMUNIKATION Sind Ihre Anlagen sicher? Wie das Security-Monitoring das Risiko von Cyber-Angriffen minimiert Die Digitalisierung und Vernetzung schreitet speziell auch in Industrial Control System (ICS) Infrastrukturen stetig voran. Zum einen, um Kosten zu sparen und zum anderen, um die Effizienz zu steigern. Mit diesen Vorteilen vergrößert sich aber auch das Risiko durch gezielte Cyber-Angriffe. Ein klares Bild über die eigene Sicherheitslage zu besitzen und die eigene Handlungsfähigkeit in Bezug auf Sicherheitsbedrohungen und -vorfälle zu wahren, sollte im Interesse eines jeden Systembetreibers liegen. Dennoch besagt eine Auswertung des ICS-CERT, dass über 38 % der erfassten Vorfälle im Umfeld von Industrial-Control- Systems (ICS) nicht aufgeklärt werden konnten, weil keine ausreichenden Security- Monitoring-Fähigkeiten vorhanden waren. Um ICS-Anlagen nachhaltig gegen Cyber- Angriffe zu schützen, sollte die komplette Wertschöpfungs- und Lieferkette betrachtet werden. Angreifer nutzen sehr häufig Infrastrukturen weniger geschützter Zulieferer, um Zugriff auf das eigentliche Angriffsziel zu erhalten, indem sie bspw. Updateserver von Herstellern industrieller Geräte (SPS, Industrial Switches, Embedded PCs usw.) manipulieren/infizieren. Statt kritische Schwachstellen zu schließen, schleust ein Software-Update von einem derart infizierten Server dann selbst manipulierte Firmware in die ICS-Landschaften ein – die Gefahren solch einer Malware sind nicht sofort erkennbar. So ermöglicht die Korrelation verschiedener Quellen ein Security Lagebild für die ICS-Infrastruktur und sichert somit die eigene Handlungsfähigkeit. Bewährt: mehrschichtiges Monitoring von Industrienetzen Auch müssen Gefahren durch absichtlich und unabsichtlich initiiertes Fehlverhalten erkannt werden. Deshalb ist ein mehrschichtiges Security-Monitoring notwendig. Die bewährte Praxis im industriellen Umfeld ist die Unterteilung von Industrienetzen in Zonen: etwa nach Fertigungslinien, Produktionsbereichen oder gar einzelnen Anlagen, die von Drittanbietern geliefert und gegebenenfalls (fern-)gewartet werden. Diese gelebte Praxis hat auch in aktuelle Standards Einzug gehalten, etwa in den Entwurf zur IEC 62443-3-2 „Industrial communication networks – Network and system security – Part 3-2: Security levels for zones and conduits“. Die Kritikalität einer Zone/Zelle lässt sich dabei je nach dem Umfeld ihrer Auswirkung auf folgende Bereiche definieren: Bedrohung für Mensch und Umwelt, Auswirkungen auf Geschäftsaktivitäten, Compliance sowie mediale Darstellung. Risikobehaftete Schnittstellen Schließt man den einfachsten und plakativsten Fall aus, dass Anlagen wissentlich oder durch menschliches Fehlverhalten direkt an das Internet angeschlossen sind, bleiben dennoch eine ganze Reihe weiterer Schnittstellen zu betrachten. Neben netzwerkbasierten Zugriffen ist der Weg über portable Medien weit verbreitet (z. B. per USB-Stick). Solcherlei Probleme sind längst nicht mit Windows XP und der Änderung der Standardeinstellung zur Windows-Autostart- Funktion verschwunden, sondern bedeuten weiterhin ein deutliches Risiko. Daraus resultiert, dass auch die Endgeräteüberwachung Teil des Security-Monitorings sein muss. Die Aufzeichnung sicherheitsrelevanter Daten ist bei Windows-basierten Systemen (etwa MES, HMI oder SCADA) technisch Michael Gerhards, Managing Director Germany, Airbus CyberSecurity, Taufkirchen 70 INDUSTRIELLE AUTOMATION 6/2017

INDUSTRIELLE KOMMUNIKATION relativ einfach zu realisieren. Darunter fallen Informationen, welches Gerät oder welcher Benutzer Zugriff hatte, wann dieser erfolgt ist und welche Systeme kommuniziert haben. Folgende Fragen lassen sich zum Beispiel damit klären: Hat sich ein Benutzer angemeldet? Mit welchen Privilegien? Wurde ein USB-Stick eingesteckt? Welche Fertigungsdaten wurden übertragen? Wurden Konfigurationen verändert? Das Aufzeichnen sicherheitsrelevanter Daten innerhalb von SPS-Systemen ist keinesfalls eine Standardlösung. Um bereits produktive Systeme mit langer prognostizierter Laufzeit in ein Monitoring einzubinden, müssen andere Möglichkeiten gefunden werden: Eine zusätzliche passive Sensorik ist hierfür eine erprobte Variante. „Low Interactive Honeypots“ bieten sich für diese Aufgabe an, um SCADA-Systeme, HMIs, SPS und ganze Fertigungsanlagen zu simulieren. Zugriffe bzw. Aktivitäten auf solchen Systemen lösen einen berechtigten Alarm aus, der sich anschließend nachverfolgen lässt. In hochkritischen Bereichen kann die Alarmierung über einen 24-V-Ausgang auch in eine bestehende SCADA-Umgebung eingebunden werden. Bei Anlagen mit niedrigerem Schutzbedarf kann dies über Management-Netze erfolgen. Nur ein Gesamtprogramm bringt Sicherheit für Technik und Mensch Effektives Security-Monitoring erfordert eine vollständige Übersicht der vorhandenen ICS-Systeme und ihrer Kommunikationsverbindungen, um Abweichungen vom Normalzustand erkennen zu können. Nicht erfasste Human-Machine-Interfaces (HMIs) – etwa zur Anzeige der Produktionsauslastung – 01 Im Airbus CyberSecurity Cyber Defence Center wird ein umfassendes Security-Monitoring sichergestellt wurden in der Praxis schon als Sprungbrett für Angriffe missbraucht. Die Sicherheitsanforderungen an Service- und Wartungszugriffe (Geräte und Personen) sollten denen der eigenen Systeme entsprechen – dies bezieht sich sowohl auf eingesetzte Technik als auch auf Prozesse und Mitarbeiter. Das Security-Monitoring muss in ein Security Gesamtprogramm eingebunden werden, um effektiv und nachhaltig zu wirken. Ein Beispiel aus der Praxis Ein Black Hat-Vortrag hatte zum Inhalt, wie man eine speicherprogrammierbare Steuerung (SPS, engl.: Programmable Logic Controller, PLC) zum Netzwerkscanner und Relais umprogrammieren kann, ohne dabei ihre originäre Funktionsweise zu beeinträchtigen. Der Angreifer nutzt eine SPS als Anker in der Infrastruktur, um das ICS-Netz auszuspähen und Attacken auf ganze In- 02 Produktionsanlagen sind heute in Industrienetzwerke eingebunden und damit Cyber-Angriffen und Datenklau ausgesetzt dustrieanlagen umzusetzen. Das Beispiel zeigt klar, dass heute auch innerhalb der ICS-Infrastruktur Erkennungsmöglichkeiten durch Security-Monitoring notwendig sind. Für Betreiber bleibt die Frage, über welche Schnittstellen eine veränderte Software in eine SPS gelangen und wie man dies zielgerichtet überwachen kann. Um das Risiko durch Cyber-Angriffe zu minimieren, müssen sämtliche Schnittstellen erfasst werden. In der Praxis kann dies nur in Zusammenarbeit mit dem Hersteller bzw. dem Integrator einer Anlage erfolgen. Zudem sind rechtliche und organisatorische Übergänge zu klären, um eine wirksame technische Umsetzung anzugehen. Airbus CyberSecurity sind europäische Spezialisten für Cyber-Sicherheit und bieten Cyber-Lösungen, Dienstleistungen und Consulting an. www.cybersecurity-airbusds.com R3.indd 1 02.11.2017 09:37:51 INDUSTRIELLE AUTOMATION 6/2017 71

AUSGABE