Fraunhofer IEM

Schritt für Schritt zur Informationssicherheit

15. September 2022, 7:14 Uhr | Dr. Markus Fockel
Schritt für Schritt zur Informationssicherheit
Wie identifiziere ich Bedrohungen und geeignete Sicherheitsmaßnahmen in meinen Systemen? Diese Frage beantwortet das Fraunhofer IEM mit Unternehmen der Automatisierungsbranche.
© Fraunhofer IEM

Die Zahl von Cyberangriffen steigt, insbesondere Ransomware-Angriffe sind laut BSI eine aktuelle Gefahr für Unternehmen aller Branchen. Für Unternehmen stellt sich nicht mehr die Frage, ob sie angegriffen werden, sondern nur noch, wann. Wie kann ein wirksamer Schutz aussehen?

Die im April 2022 entdeckte Schadsoftware Pipedream (auch Incontroller genannt) wurde speziell auf die Automatisierungstechnik und spezifische Schwachstellen von bestimmten Steuerungen zugeschnitten. Sie nutzt die verbreiteten Kommunikationsprotokolle Modbus und OPC UA sowie die Entwicklungs- und Laufzeitumgebung Codesys. Angreifern ermöglicht sie das Lesen, Ändern und Löschen von Daten, wodurch sie auch für Ransomware-Angriffe im OT-Netzwerk eingesetzt werden könnte. Ein erschreckendes Szenario.

Bedrohungen für Industrial Control Systems

Die vom BSI im Mai 2022 aktualisierte Liste der Top 10-Bedrohungen für Industrial Control Systems listet unter anderem Angriffe auf Cloud-Komponenten auf, die mit der OT verbunden sind. Sie werden zum Beispiel für Data Analytics oder Digitale Zwillinge genutzt. Auch Steuerungen, die direkt mit dem Internet verbunden werden, befinden sich immer noch unter den Top 10-Bedrohungen. Weiterhin auf Platz 1 liegt die Bedrohung durch Wechseldatenträger und Geräte, die zu Wartungszwecken direkt an die OT angeschlossen werden, beispielsweise USB-Sticks, Notebooks und Tablets. Auf Platz 2 gestiegen ist die Infektion mit Schadsoftware über das Internet, etwa über manipulierte Websites oder E-Mail-Anhänge. Eine Schadsoftware wie Pipedream könnte so über Office-IT-Systeme in die OT geschleust werden.

Neu in den Top 10 ist die Bedrohung durch Schwachstellen in der Lieferkette. Existiert zum Beispiel eine ausnutzbare Schwachstelle in einer Softwarebibliothek, die in einer SPS eines Herstellers verwendet wird, so sind alle Maschinen angreifbar, die diese SPS einsetzen – und damit alle Anlagen, die solche Maschinen beinhalten. Die Bedrohung gilt nicht nur für Steuerungshersteller; auch Maschinenbauer können Schwachstellen und Schadsoftware wie Pipe-dream in OT-Systeme einbringen. Dadurch wären potenziell alle Kundenanlagen des Maschinenbauers betroffen.
Pipedream kann auch SPS-Programme ändern – bleibt ein solcher Angriff unbemerkt, könnte der Fertigungsprozess beeinflusst werden, um etwa den Maschinenverschleiß zu verstärken (so wie Stuxnet Zentrifugen sogar zerstörte) oder die Qualität von hergestellten Produkten zu reduzieren.

100 % Sicherheit gibt es nicht

Der Blick in die Top 10-Bedrohungen zeigt die Vielfalt aktueller Schwachstellen: Angreifer finden über Cloud-Dienste, über IT-Systeme und direkt über OT-Geräte ihren Weg ins Unternehmen. Und: Die wachsende Vernetzung im Sinne des IIoT führt zu immer neuen Angriffswegen. Deshalb genügt es nicht, eine Firewall zwischen IT- und OT-Netzwerk einzufügen – Unternehmen sollten zusätzlich in eine Defense-in-Depth-Strategie investieren. Das bedeutet zunächst, zu akzeptieren, dass es irgendwann einen erfolgreichen Angriff auf ein OT-System geben wird. Durch die Installation von mehreren gestaffelten Sicherheitsmaßnahmen isolieren Unternehmen den Angriff aber so gut wie möglich und halten Schaden von weiteren OT-Systemen fern. So laufen auch während eines Angriffs geschäftskritische Prozesse und Safety-kritische Teilsysteme weiter.

Sicherheit von Anfang an

Die Anwendung von Defense-in-Depth-Maßnahmen wird auch von IT-Sicherheitsnormen wie der IEC 62443 gefordert. Diese Norm ist speziell auf die Automatisierungstechnik zugeschnitten und stellt Anforderungen an sichere Anlagen, Maschinen und Komponenten. Das Aufstellen einer Defense-in-Depth-Strategie ist dabei nur eine geforderte Maßnahme: Auch stellt die Norm Anforderungen an Komponentenhersteller, Maschinenbauer/Integratoren und Anlagenbetreiber und deren Prozesse – denn wie kann ein Produkt sicher sein, das durch Prozesse entsteht, die keine Sicherheitsmaßnahmen beinhalten?

Sicherheitsmechanismen nachträglich einzubauen (wie etwa nach einem Penetrationstest) kann sehr aufwendig bis unmöglich sein. Damit rückt der Fokus immer mehr auf die Produktentwicklung mit dem Leitmotiv Security by Design. In allen Phasen der Entwicklung, also von Anfang an, sollten Unternehmen Security-Maßnahmen durchführen und Schutzmechanismen im Sinne von Defense in Depth in ihre Systeme einbauen.

Must-haves für die Entwicklung sicherer Systeme

 

Anbieter zum Thema

zu Matchmaker+
Schritt für Schritt zur Informationssicherheit
Wie identifiziere ich Bedrohungen und geeignete Sicherheitsmaßnahmen in meinen Systemen? Diese Frage beantwortet das Fraunhofer IEM mit Unternehmen der Automatisierungsbranche.
© Fraunhofer IEM

Doch was sind die Must-haves für Security by Design? Absolut unerlässlich sind Bedrohungsanalysen, Defense-in-Depth-Security-Konzepte, Incident-Response-Prozesse und Security-Schulungen. Dazu ein Überblick: Im Gegensatz zu Penetrationstests, die bereits entwickelte Systeme auf unentdeckte Schwachstellen prüfen, dienen Bedrohungsanalysen dazu, frühzeitig Bedrohungen beziehungsweise potenzielle Angriffe zu ermitteln und Gegenmaßnahmen proaktiv in die Entwicklung einzuplanen. Damit sind die Ergebnisse der Bedrohungsanalyse die Basis, um ein effektives Security-Konzept gemäß dem Defense-in-Depth-Ansatz zu entwerfen. Zusätzlich ist es notwendig, auch organisatorisch auf den Ernstfall vorbereitet zu sein. Dazu sollte ein Incident-Response-Team etabliert werden, das den Notfallplan parat hat und somit die erste Anlaufstelle für die Meldung von Schwachstellen und Angriffen ist. Drüber hinaus überwacht das Team das Security-Geschehen außerhalb des Unternehmens: Es prüft bei neu bekannt werdenden Schwachstellen – insbesondere in der (Software-)Lieferkette – zeitnah, ob eigene Produkte und Systeme betroffen sind, und koordiniert die Bereitstellung von entsprechenden Security-Updates.

Last but not least gehören auch Security-Schulungen zur Security-by-Design-Umsetzung. Führungskräfte und Entwickler werden so zum einen für das Thema Security sensibilisiert, zum anderen lernen sie Security-Maßnahmen selbst anzuwenden. Für einen nachhaltigen Lernerfolg sollte eine Schulung sich nicht nur an den sehr abstrakten Anforderungen der Normen und potenziellen Umsetzungsmaßnahmen orientieren. Am gewinnbringendsten sind zugeschnittene Schulungen: Welche Maßnahmen werden konkret im Unternehmen umgesetzt und wie wendet man sie an?

Zahlreiche Projekte des Fraunhofer IEM mit Industrieunternehmen zeigen: Nicht nur die Schulung sollte sich an der individuellen Situation des Unternehmens orientieren, auch entsprechende Methoden müssen zugeschnitten und in die bestehenden Prozesse integriert sein.

Ein Praxisbeispiel – KEB Automation

Natürlich lässt sich Security by Design nicht von heute auf morgen vollumfänglich in die eigenen Prozesse und Projekte einbringen. Um schrittweise vorzugehen, empfiehlt sich zunächst eine Standortbestimmung: Welche Maßnahmen werden schon ergriffen, obwohl sie vielleicht nicht explizit als Security-Prozessschritte definiert wurden? Gibt es etablierte Prozesse, an denen man sich orientieren kann, um die Einführung zu erleichtern? Mit KEB Automation, einem Hersteller von Systemlösungen in den Bereichen Control & Automation, Antriebstechnik, Motoren und Getriebe sowie Bremsen und Kupplungen, hat das Fraunhofer IEM genau das getan. Bei KEB nehmen die Kundenanfragen zu Security-Eigenschaften der Systeme kontinuierlich zu. Ziel eines gemeinsamen Projekts war daher, den Ist-Stand der KEB-Entwicklungsprozesse in Bezug auf die Anforderungen der IEC 62443 zu prüfen und auf dieser Grundlage weitere Aktivitäten zur Umsetzung der Security-Norm abzuleiten und zu priorisieren. Das Unternehmen bietet bereits Safety-Produkte an. Die Entwicklung solcher Systeme unterliegt strengen Norm-Anforderungen und erfordert entsprechend ausgereifte Prozesse. Daher hat das Fraunhofer-Institut diesen Bereich als Basis genommen und in Form von Interviews mit Führungskräften und Safety-Experten die aktuellen KEB-Entwicklungsprozesse analysiert. Dabei wurde der Aufwand zur Anpassung an die Anforderungen der IEC 62443 systematisch abgeschätzt. Das Fraunhofer IEM entwickelte daraufhin eine Liste priorisierter Handlungsempfehlungen für eine erfolgreiche Umsetzung der IEC 62443 und der oben genannten Must-haves. Dazu zählten zum Beispiel organisatorische Maßnahmen und die Integration einer Methode zur Bedrohungsanalyse in den vorhandenen Entwicklungsprozess und seine Toolkette.

Phoenix Contact setzt auf Bedrohungsanalyse

Methoden zur Bedrohungsanalyse gibt es viele. Um die IEC 62443 zu erfüllen, ist eine systematische und wiederholbare Methode nötig, die sich in die bestehenden Prozesse und Tools des Unternehmens eingliedert. Mit Phoenix Contact hat das Fraunhofer IEM eine entsprechende Methode entwickelt und in die Toolkette des Unternehmens integriert. Die automatische Toolintegration erleichtert dabei die Traceability, sodass die Analyseergebnisse für den Entwurf des Sicherheitskonzepts weiterverwendet werden können und Impact-Analysen einfacher sind, wenn neue Bedrohungen bekannt werden. Diese Bedrohungsanalysemethode und der gesamte Entwicklungsprozess von Phoenix Contact wurde nach IEC 62443 zertifiziert.

Quo vadis Security – ein Ausblick

Ziel eines laufenden Fraunhofer-internen Forschungsprojekts ist die disziplinübergreifende Entwicklung einer integrierten werkzeuggestützten Methode, die es Ingenieurinnen und Ingenieuren erlaubt, Gefahren- und Bedrohungspotenziale eines Systems in den frühen Phasen seiner Entwicklung zu erkennen, um früh geeignete Gegenmaßnahmen treffen zu können. Die frühzeitige integrierte Safety- und Security-Risikoanalyse soll Entwicklungszeit und -risiko senken. Die geplante Werkzeugunterstützung erleichtert zudem das Umsetzen der durch Safety- und Security-Normen vorgeschriebenen Anforderungen. Durch eine Evaluierung des Werkzeugprototyps mit ausgewählten Industriepartnern orientiert sich dieses Forschungsprojekt dabei direkt an den realen Bedarfen.

Schritt für Schritt zur Informationssicherheit
Der Autor: leitet die Gruppe "Anforderungsanalyse & Entwurf" in der Abteilung "Sichere IoT-Systeme" am Fraunhofer IEM in Paderborn.
© Fraunhofer IEM

Die steigende Zahl von Ransomware-Angriffen und neue Schadsoftware wie Pipedream zeigen unmissverständlich, dass es Zeit ist, aktiv zu werden. Wer Security nicht berücksichtigt, handelt fahrlässig. Dies kann bei Schäden durch Angriffe im Sinne des Produkthaftungsgesetzes und der Sorgfaltspflicht von Vorständen und Geschäftsführern auch zu persönlicher Haftung führen. Security by Design sollte im ureigensten Interesse jedes Automatisierungsunternehmens liegen. Die vier Must-haves Bedrohungsanalysen, Defense-in-Depth-Security-Konzepte, Incident-Response-Prozesse und Security-Schulungen sollten dabei zu den ersten Einführungsschritten gehören.


Das könnte Sie auch interessieren

Verwandte Artikel

Fraunhofer IEM Institut für Entwurfstechnik Mechatronik

Safety & Security