Erkennen und Abwehren von ICS-Bedrohungen

Originalartikel von Joe Weiss (Applied Control Solutions) und Richard Ku

Unternehmen und Industrieanlagen setzen auf Steuerungssysteme, um die Geräte und Systeme zu verwalten, zu steuern oder zu regeln, die ihren Betrieb ausmachen. Diese von Industrial Control Systems (ICS) gesteuerten Prozesse sorgen dafür, dass alles funktioniert, von Temperatur- und Sensorikgeräten bis hin zu Fertigungsstraßen und Sicherheitseinrichtungen. Schwachstellen und Lücken hier können zu schwerwiegenden Angriffen führen. Deshalb muss jeder umfassende Sicherheitsplan für Unternehmen auch Policies und Maßnahmen für Schwachpunkte in ICSs enthalten.

Früher fielen diese Systeme in den Zuständigkeitsbereich der Engineering-Abteilungen und das Design und ihre Konfiguration waren auf Funktionalität und Prozesse ausgerichtet. Doch nach 9/11 wuchs die Sorge um die Cybersicherheit bei Regierungen und Unternehmen, und die Betreuung dieser Systeme wurde in die Hände von IT-Teams gelegt. In der Folge konzentrierte sich die gesamte Überwachung und Cybersicherheit auf die IP-Netzwerkschicht. ICS-Sicherheit wurde von der Sicherstellung der Aufgabe zur Informationsabsicherung.

Doch Steuerungssystemgeräte – wie z. B. Prozesssensoren, Aktuatoren und Antriebe -, die seit Jahren von Engineering-Teams verwaltet werden, heute immer noch im Einsatz sind, haben keine Funktionen für die Cybersicherheit. Sie verfügen über keine Mittel zur Authentifizierung oder Cyberprotokollierung, und die meisten können nicht aufgerüstet werden. Nun, leider ist Sicherheit nur so stark wie das schwächste Glied.

Angriffsvektoren auf ICS

Es gibt die Geräte, wie die zuverlässigen, genauen Sensoren, Steuerungen und Aktuatoren, die keinerlei Cybersecurity bieten. Infolgedessen könnten Angreifer diese kleinen und ungesicherten Geräte als Einstiegspunkte in ein Unternehmensnetzwerk nutzen.

In einigen Fällen könnten Angreifer das Netzwerk der Betriebstechnik (OT) von der IT-Umgebung aus kompromittieren. OT überwacht oder steuert direkt industrielle Anlagen oder Prozesse, und ICSs sind hier eine Untergruppe. Beispiele hierfür sind Angriffe auf Server mit bösartiger Software, Web-Anwendungsangriffe auf Mensch-Maschine-Schnittstellen (HMIs) und Angriffe auf Kommunikationsprotokolle, die den Datenverkehr vom Netzwerkrouter kompromittieren.

Bild 1. Typische OT- und Steuerungssystemumgebung in einem Unternehmen

In anderen Fällen geht es um physische Angriffe auf die Netzwerkgeräte oder Softwareattacken, um während des Patchens oder des Updates von Firmware bzw. Software Malware in das System einzuschleusen. Einen grafischen Überblick dazu liefert der Originalbeitrag.

Sicherheitsstrategie für ICS-Umgebungen

Die Behebung von Schwachstellen in ICS-Umgebungen ist keine leichte Aufgabe. Unternehmen müssen sich mit veralteten Designaspekten, Sicherheitsbedenken bei Anwendungen von Drittanbietern und vielen anderen Problemen auseinandersetzen. Außerdem geht es um:

  • Unbekannte Geräte und Verbindungen zum OT-Netzwerk
  • Sicherheitsmängel um ursprünglichen Design
  • Angreifbare und nicht sichere Anwendungen und Betriebssysteme von Drittanbietern
  • Altsysteme und Umgebungen, die schwierig abzusichern sind.

Die Reduzierung von Cyber-Risiken in einer ICS-Umgebung erfordert ein ausgeprägtes Verständnis der Netzwerkumgebung, einschließlich der Sensoren, der Prozesssteuerungen, der Protokolle und der Kommunikation. Sicherheitsplaner sollten auch einen klaren Überblick über Cyber-Bedrohungen und Angriffsvektoren in der Umgebung haben.

Aufgrund der potenziellen Auswirkungen, die ein Cyberangriff Unternehmen auch aus kritischen Branchen (Öl- und Gasindustrie, Fertigung, Pharma, Gesundheits- und Transportwesen) haben kann, sollte jede Organisation eine umfassende Cybersicherheitsstrategie implementieren. Ein guter Ausgangspunkt dafür sind die Branchenstandards, die von den zuständigen Behörden durchgesetzt werden können. Als Nächstes steht die Einführung eines Cybersicherheits-Framework an, das mit den Zielen der Organisation abgestimmt ist. Ein Plan sollte vier miteinander in Verbindung stehende Säulen umfassen:

  • Menschen: Mitarbeitertraining für Sicherheits-Awareness, fachliches Können und Qualifizierung, kompetente Ressourcen
  • Prozesse: Governance, Policy und Framework, Managementsystem, Best Practices, IT/OT-Audit
  • Technologie: Testen, Überprüfen und Validierung der Technologien; Support-Prozesse und Plan für Technologieeinsatz
  • Kultur: Aufsetzen einer Cyber-Kultur in der Organisation von oben nach unten, um Risiken zu mindern.

Es gibt Grundmaßnahmen, um das Cyber-Risiko zu verringern. Dazu gehören die Stärkung der Anmeldeinformationen für Konten, Deaktivierung nicht genutzter physischer und Netzwerkdienst-Ports, die Verschlüsselung von Systemkonfigurationsdateien und die Begrenzung der IP- und MAC-Adressen (Media Access Control), die auf das Netzwerk zugreifen können. Dies alles ersetzt aber nicht einen tiefgreifenden Schutz für ICS-Umgebungen. Diese Art von Sicherheit muss die folgenden Schlüsselkomponenten umfassen:

 

 

 

 

Fazit

An der Einführung von Cybersicherheitsmaßnahmen zum Schutz von ICS-Umgebungen führt kein Weg vorbei. Bei der Implementierung neuer Tools und Richtlinien müssen natürlich einige Vorsichtsmaßnahmen getroffen werden. Alle Netzwerk-Tools, die mit Steuerungssystemen verwendet werden, sollten ausreichend offline getestet sein, bevor sie in Echtzeit-OT-Netzwerken eingesetzt werden. Und die geeigneten Technologien für ICS-Umgebungen sollten auf integrierte Weise offline und dann online getestet werden. Zu diesen Technologien gehört die von Trend Micro und TxOne Networks entwickelte Suite von OT-Cybersecurity-Technologien.

Das Whitepaper „A Current View of Gaps in Operational Technology Security“ bietet weitere Erkenntnisse für Maßnahmen gegen Schwachpunkte und zur Minderung des Cyber-Risikos in ICS-Umgebungen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.