Ein industrielles Prozessleitsystem enthält typischerweise Router, Switches, Regelungs- und Steuerungskomponenten sowie Windows-basierte Server und Workstations, die alle über das leittechnische Netzwerk (Process Control Network, PCN) kommunizieren. Es ist wichtig, dieses PCN und alle angeschlossen Geräte hinsichtlich Bedrohungen und Schwachstellen der Cyber-Sicherheit zu überwachen. Ein einzelnes befallenes Gerät an einem PCN kann als Einfallstor für Zugriff, Modifizierung oder Abschaltung weiterer Knotenpunkte dienen. Ist die Sicherheit des Prozessleitsystems beeinträchtigt, können Betriebsabläufe und Produktion mit möglicherweise verheerenden Folgen betroffen sein. Diese Folgen umfassen den möglichen Stopp der Produktion, aber auch die Zerstörung von Produktionsanlagen und Einrichtungen, Tod oder Verletzung von Mit­arbeitern, Explosionen und die Freisetzung giftiger Gase oder Rauch mit Ver­letzung und Tod externer Mitarbeiter oder Zivilisten, Beeinträchtigungen der Umwelt, behördliche Bußgelder, Beschädigung der Unternehmensreputation sowie Vertrauensverlust bei Investoren und Kunden.

12 Schritte zur Reduktion des Risikos

Für die Bausteine, Endpunkte, Workstations, Computer und Server eines industriellen leittechnischen Netzwerks sollten daher die nachfolgenden zwölf Schritte ausgeführt werden, um das Risiko eines Angriffs auf die industrielle Cyber-Sicherheit zu minimieren:

1. Erstellen aller Datensicherungen (Backups) der Software des Leitsystems gemäß der vom Hersteller herausgegeben Vorgaben. 
2. Installation und sachgerechte Konfiguration von Firewalls.
3. Installation aller wichtigen Softwarekorrekturen (Patches) in industriellen Leitsystemen und Verwendung von Mechanismen zum Schutz der Systeme zwischen den Wartungs- und Patch-Zyklen.
4. Aktualisierung der Software zum Schutz gegen Schadsoftware und Viren (AV) sowie der Dateien mit Virendefinitionen.
5. Installation von Application-Whitelisting-Technologie, die nur die Ausführung akzeptierter oder bekannter Dateien erlaubt. Dies wird erreicht, indem man eine Liste geprüfter Anwendungen erstellt und nur diese ausführen lässt.
6. Installation einer automatischen Methode zur Überwachung von Assets oder Knotenpunkten im leittechnischen Netzwerk, einschließlich der Infrastruktur-Komponenten, PCs und Server.
7. Erforderlich ist auch die Installation einer Methode zur automatischen Erkennung verdeckter oder defekter Komponenten (etwa leittechnische Komponenten, die über das Netzwerk kommunizieren, aber nicht bezüglich Cyber-Risiken überwacht werden). Dabei kann es sich um mitgebrachte Wechselmedien handeln wie beispielsweise USB-Laufwerke und CD/DVDs oder Laptops und Smartphones.
8. Schulung von Firmenmitarbeitern über die Sicherheit industrieller Leitsysteme, einschließlich der Bedeutung von Passwort-Überprüfungen und der Sensibilisierung zu Social-Engineering-Angriffen. Prozentuale Angaben über Verletzungen der Richtlinien und erkannte Sicherheitsvorfälle sollten automatisch festgehalten werden. Verpflichtende Passwort-Wechsel in regelmäßigen Abständen sind Bestandteil einer Passwort-Überwachung.
9. Automatische Überwachung des Status von Anlagen und Netzwerken mit relevanten Indikatoren zur industriellen Cyber-Sicherheit. Es ist wichtig, aufzuzeigen, wie sich der Sicherheitszustand verbessert.
10. Überwache den prozentualen Anteil der leittechnischen Hardware und von Knoten- und Endpunkten, die nicht von bekannter Schadsoftware und Viren befallen sind.
11. Bestimme automatisch allgemeine Schwachstellen in der leittechnischen Hardware, den Knoten- und Endpunkten und halte fest, ob die Anzahl zunimmt.
12. Verfüge über eine automatische Methode, die auf den Ursprung einer Cyber-Bedrohung verweist. Das kann auch Verbindungen zwischen dem Informationsnetzwerk des Unternehmens und dem industriellen leittechnischen Netzwerk einbeziehen.

Laufende Überwachung entscheidend

Das 'Risk Manager'-Tool erfasst, überwacht und verwaltet proaktiv die Cyber-Risiken in industriellen Anlagen und Systemen.

© Honeywell

Die Möglichkeit zur schnellen Überwachung der mit diesen zwölf Schritten gekoppelten Indikatoren und die Wahrnehmung ihrer zeitlichen Änderung sind für den Erfolg der industriellen Cyber-Sicherheit sehr wichtig. Um diese zwölf Schritte umzusetzen, bietet Honeywell die passenden Tools. 

Der ‚Risk Manager‘ ist eine Beispiellösung, die speziell zur Überwachung von Risiken, Schwachstellen und Bedrohungen dieses Sicherheitsbereichs entwickelt wurde. Durch proprietäre Algorithmen werden proaktiv Risiko-Indikatoren erkannt. Eine frühe Warnung ermöglicht aktivere Kontrolle sowie mehr Möglichkeiten, Sicherheitslücken zu beseitigen, bevor es zu spät ist. Die Analyse und Überwachung basiert auf Endgeräte-Sicherheit, Patches, Netzwerk-Sicherheit, Datensicherungen. Die Überwachung des Steuerungsnetzwerks und die Erfassung zahlreicher Server, Workstations, Controller, Firewalls, Router und Switches ermöglicht, aussagekräftige Metriken für die Bedrohungsbewertung zu erstellen und einen Aktionsplan zu entwickeln. 

Skalen und Trends zeigen den aktuellen und veränderlichen Status von Risiken. Meldungen erklären und verweisen auf Warnungen und Fehler von Eingangsdaten. Detailansichten ermöglichen dem Anlagen-Ingenieur die exakte Identifikation von Knotenpunkt, Endpunkt, Server, Einrichtung oder Computer, die den Alarm oder die Warnung ausgelöst haben. Veränderungen der Trend- oder Risikodaten im Werk lassen erkennen, ob sich das Risiko der Cyber-Sicherheit verbessert oder verschlechtert. 

Geht es darum, größere verteilte Anlagen nicht nur kontinuierlich zu überwachen, sondern mit konkreten Maßnahmen absichern zu können, ist ‚ICS Shield‘ die passende Lösung von Honeywell.

An der vorhandenen Technologie soll es nicht mangeln

Mit dieser Top-Down-Plattform für das OT-Sicherheitsmanagement, die als Basis für die Sicherung von ICS-/SCADA-Umgebungen (Industrial Control Systems) dient, kann der Anwender auf alle Steuerungssysteme zugreifen. Sie bietet unter anderem nicht nur Funktionen zur Überwachung und Erkennung von Anlagenkomponenten, sondern auch einen sicheren Fernzugang von einem zentralen Bedienzentrum aus sowie sichere Datenübertragung, automatisierte Patches und AV-Updates. Die Plattform vereinheitlicht und automatisiert den Prozess der Richtlinienverwaltung und ermöglicht, anders als beim ‚Risk Manager‘, die Erstellung, Bereitstellung und Durchsetzung von anlagenweiten und granularen Sicherheitsrichtlinien. 

Anfangs steht die Automatisierung der Asset-Bestandsaufnahme im Netzwerk. Diese erfasst detailliertere Konfigurationsdaten jedes Assets und klassifiziert sie nach Kritikalitätsstufen. Die Überwachung von Änderungen im Assetband und in der Konfiguration sowie die Asset-Visualisierung ermöglichen eine ganzheitliche Transparenz von OT-Assets. 

Außerdem bietet ‚ICS Shield‘ einen AAA-Fernzugang (Authentication, Authorization, Accounting) zur Gewährleistung der Sicherheit beim Fernzugriff und der Überwachung, zur geschützten Verteilung von Dateien auf Geräte sowie zum sicheren Datentransfer von der Anlage an die Zentrale zwecks Analyse und Risikomanagement. Einen sicheren Fernzugriff gewährleisten zum Beispiel administrative Festlegung von Sicherheitsrichtlinien des Fernzugangs, die Zwei-Faktor Legitimierung, die Passwort-Verwaltung und Berichte aller Fernzugangssitzungen. 

Wesentliche Merkmale stellen die kontinuierliche, aktive Auto-Erkennung des Assets dar, die unter anderem den eigenen Server zur Abfrage von Schwachstellen nutzt. Die verteilte ICS-Shield-Infrastruktur ist für den herstellerneutralen Einsatz an mehreren Standorten ausgelegt und gewährleistet somit vollste Datensicherheit und -Integrität.

USB-Sticks – eine große Gefahr

Handlich, einfach in der Anwendung und mit immer mehr Speicherplatz erhältlich: USB-Sticks gehören mittlerweile zum Berufsalltag, können aber auch Einfallstor für Hacker-Angriffe sein.

© Honeywell

Eine der größten Sicherheitsgefahren können neben den Gefahrenquellen von außerhalb die eigenen Mitarbeiter sein und ein allzu oft unbedachter Umgang mit Unternehmensdaten und Speichermedien. Damit beispielsweise ein USB-Stick nicht zum Einfallsstor für unbefugte Netzwerk-Zugriffe wird, bietet Honeywell mit Secure Media Exchange (SMX) eine Lösung für den sicheren Medienaustausch. Bestehend aus einer Hardware-Einheit und einer entsprechenden Software, reduziert SMX das Cyber-Sicherheitsrisiko und begrenzt Betriebsstörungen durch Überwachung, Schutz und Protokollierung der Verwendung von Wechselmedien in industriellen Einrichtungen.

Die SMX-Security-Einheit fordert den Besucher zunächst dazu auf, sein Wechselmedium als Teil der Anmeldeprozedur einzuführen. Schadsoftware und andere Security-Bedrohungen werden erkannt, bevor sie etwa durch USB-Sticks auf kritische Einrichtungen übertragen werden. Die Lösung verhindert, dass ungeprüfte Geräte die USB-Ports benutzen und hält die Schnittstelle nur für geprüfte Geräte offen. 

Ergänzend werden von Honeywell eine Reihe von Services angeboten zur Erfassung und Bewertung der jeweiligen Bedrohungslage, der Cyber-Sicherheitsprofilerstellung für das entsprechende Unternehmen sowie für die Technologie-Integration und das Training des zuständigen Personals. Selbst die Auslagerung bestimmter Maßnahmen – beispielsweise das automatische Patchen oder die regelmäßige Überwachung – und Benachrichtigung im Falle eines Alarms sind heutzutage mit entsprechenden Managed-Services-Paketen möglich.

Mangelnde Bereitschaft

Die vorhandenen technologischen Möglichkeiten helfen jedoch nicht, wenn es an der Bereitschaft seitens des Unternehmens und sogar ganzer Branchen mangelt. Ein Beispiel sind die Betreiber kritischer Anlagen (KRITIS) in Deutschland, die mit dem vom BSI verabschiedeten IT-Sicherheitsgesetz stärker in die Pflicht genommen werden sollten. In der Praxis sind aber viele der betroffenen Unternehmen aus diversen Gründen noch längst nicht so weit, die Vorgaben im Bereich Automation-Security erfüllen zu können. Mit der Bereitschaft dazu hapert es hier am meisten. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Auf der anderen Seite ist das Thema Cyber-Sicherheit bis heute kaum so richtig beim C-Level an­gekommen, mit der Folge, dass ent­sprechendes Know-how und Ressourcen fehlen.

Was ein erster wichtiger Schritt sein könnte, ist die Analyse der eigenen Bedrohungslage und die Erstellung eines entsprechenden Gefahren- und Sicherheitsprofils. Schließlich müsste jeder Anlagenbetreiber zumindest daran interessiert sein zu wissen, wer denn eigentlich potenzielle Angreifer in seinem individuellen Fall wären und inwiefern er bereits dagegen gewappnet ist. 

Letztlich entscheidet jedes Unternehmen und jeder Betreiber einer kritischen Anlage selbst, wie viel Risiko er tragen möchte, sowohl wirtschaftlich als auch gesellschaftlich. Für all jene, die aber bereit sind, das Thema Cyber-Sicherheit ernst zu nehmen und entsprechende Maßnahmen zu treffen, stehen bereits eine große Auswahl funktionaler Technologien sowie unterstützende Services bereit, sodass schnell ein individuelles Konzept entwickelt werden kann.

Autoren:
Thomas Ayral ist Cyber Security Specialist bei Honeywell Industrial Cyber Security;
Konstantin Rogalas ist Business Lead bei Honeywell Industrial Cyber Security für Zentral- und Süd-Europa.