Sicherheit beginnt mit der Geräteentwicklung.
Ein effizienter Schutz von Operational-Technology-Systemen und IoT-Geräten benötigt einen um- fassenden Security-Lifecycle-Ansatz. Gefordert sind einerseits die Hersteller von Maschinen, industriellen Steuergeräten (PLCs) und Anlagen, die ihre Produkte gemäß dem „Security by Design“-Prinzip entwickeln müssen. Aber auch die Unternehmen sowie die Anwender müssen mehr in die Sicherheit der eingesetzten Lösungen investieren.
Fertigungsunternehmen aus allen Branchen werden immer stärker zum Ziel von Cyber-Attacken aller Art. Aktuellen Marktzahlen von NTT Security zufolge richten sich mehr als ein Drittel aller Cyber-Attacken gegen die Fertigungsindustrie. Gerade für Industriespionage ist der Anlagen- und Maschinenbau ein lukratives Ziel von Cyber-Angreifern. Klar ist: Unternehmen müssen Operational-Technology (OT)-Systeme und IoT-Geräte besser schützen. Kompromisslose IT-Sicherheit ist nur mit End-to-End-Lösungen und -Services möglich, die auf einem durchgängigen Security-Lifecycle-Modell basieren.
OT-Systeme und IoT-Geräte: Sicherheit beginnt mit der Geräteentwicklung
Fachliche Anforderungen und deren technische Umsetzung waren für die Hersteller von Maschinen, Produktionsanlagen, Schaltsystemen und Komponenten, beispielweise im Smart-City-Umfeld, die Richtschnur. Mit Security-Themen haben sich die Entwicklungsingenieure und Techniker bestenfalls am Rande befasst – oder dann, wenn die Systeme bereits in Betrieb waren.
Daher lautet die erste Empfehlung: Security by Design. Bereits bei der fachlichen Anforderungsanalyse neuer Geräte, Maschinen und Lösungen, beispielsweise für die industrielle Verfahrenstechnik, sollten Hersteller eine Bewertung der Security-Risiken einplanen. Einerseits geht es um die Ermittlung aktueller Angriffsvektoren, gegen die ein System oder Gerät geschützt werden soll, und andererseits müssen sich Entwickler auch damit befassen, welche Angriffspunkte im weiteren Lebenszyklus entstehen könnten.
In diesem Zusammenhang werden Ansätze wie Security-Agility und Crypto-Agility immer wichtiger. Im Kern geht es darum, dass Entwickler und Benutzer der fertigen Produkte, Lösungen und Services sich darauf einstellen müssen, dass die aktuell implementierten Sicherheitsmaßnahmen bei einem Produktlebenszyklus von zehn bis zwanzig Jahren regelmäßig überprüft, aktualisiert und ergänzt werden müssen: Welche Art der Softwarewartung ist geplant? Wie und in welchen Release-Zyklen sollen Software- und Security-Updates eingespielt werden? Ist die in Entwicklung befindliche Hardware auch für die zukünftigen Anforderungen (beispielsweise Speicher, Prozessorleistung usw.) ausgelegt?
Wer heute ein sicheres Maschinen-, Produkt- und Geräte-Design erstellen will, muss sich natürlich auch mit Kommunikationsprotokollen befassen – das heißt, mit den aktuell im Einsatz befindlichen Lösungen und deren fortlaufender Aktualisierung. Beispiele dafür sind TLS („Transport Layer Security“) und dessen Vorgänger SSL („Secure Sockets Layer“) zur Absicherung von Datenverbindungen. Aufgrund verschiedener in den letzten Jahren entdeckter und ausgenutzter Schwachstellen lautet die Empfehlung, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Neue Kommunikationsprotokolle und natürlich auch die Nutzung von aktuellen Kryptoverfahren und Schlüssellängen müssen natürlich beim Design der Hardware berücksichtigt worden sein. Bei allen Sicherheitsmaßnahmen kommt es darauf an, dass Hersteller – angelehnt an das IT-Security-Management – einen nachvollziehbaren und dokumentierten Sicherheitsprozess definieren, um die Security über den gesamten Lebenszyklus ihrer Produkte gewährleisten zu können.
Zertifizierung von Produkten
Die Hersteller von Geräten und Systemen für „Kritische Infrastrukturen“ (KRITIS) sind dazu übergegangen, ihre Produkte nach dem „Industrial-IT-Security-Standard IEC (International Engineering Consortium) 62443“ für industrielle Kommunikationsnetze und Systeme zertifizieren zu lassen. Die entsprechenden Zertifizierungen übernehmen etwa der VDE oder die TÜV-Gesellschaften. Unternehmen, die Automatisierungs- und Steuerungssysteme herstellen, können diese Produkte und die Prozesse gemäß den IEC-62443-Vorgaben auf potenzielle Schwachstellen untersuchen lassen und auf Basis der Ergebnisse eine entsprechende Produktzertifizierung erlangen – oder müssen nachbessern und wirkungsvolle Schutzmaßnahmen entwickeln und Prozesse im Unternehmen ausrollen. Schwerpunkt des IEC-62443-Standards bildet die IT-Sicherheit von „Industrial Automation and Control Systems“ (IACS), die überall dort gefordert ist, wo es um einen sicheren und zuverlässigen Betrieb von Anlagen und Infrastrukturen geht. Eine Vorbereitung für eine IEC-62443-Zertifizierung wird meist durch externe OT-Sicherheitsspezialisten unterstützt.
Mit einem umfassenden Sicherheitskonzept und einer Security-Roadmap für den gesamten Lebenszyklus von Produkten und Lösungen sind Hersteller auf einem guten Wege. Sie können sich damit einen wichtigen Wettbewerbsvorsprung – auch im Hinblick auf außereuropäische Anbieter – verschaffen.
Um erfolgreich digitalisieren zu können, wird zunächst eine Datenbasis benötigt, die über Unternehmensgrenzen hinaus auswertbar ist.
Verbesserte Sicherheit im täglichen Betrieb
In Produktionsnetzen mit Maschinen, Leitständen zur Steuerung, Robotern, Förderbändern und vielem mehr steht seit langer Zeit das Thema Verfügbarkeit im Vordergrund. Die Security ist eher von untergeordneter Bedeutung. Aufgrund der Vielzahl bekannt gewordener Angriffe auf Produktionsanlagen ändert sich das langsam. Eine der ersten Maßnahmen ist die Festlegung von Verantwortlichkeiten für Sicherheitsaufgaben.
Die Verantwortung für die Verfügbarkeit der Produktionsnetze liegt beim Produktionsleiter; daran wird sich wahrscheinlich in der Praxis auch so schnell nichts ändern. Unternehmen der Automobilbranche etwa haben eigene Abteilungen gegründet, die sich explizit um OT-Security kümmern. Andere Branchen – und dort vor allem der gehobene Mittelstand – sind erst dabei, Verantwortliche zu benennen. Damit ist ein wichtiger Schritt getan, um die IT-Sicherheit in den Produktionsnetzen gezielt angehen zu können.
Sind Verantwortlichkeiten und Rollen geklärt, sollten Unternehmen – meist unterstützt durch externe Sicherheitsexperten und -analysten – ein Security- Assessment ihrer Produktionsnetze durch- führen. Basis dafür bilden Interviews mit den Betreibern und Verantwortlichen der OT-Umgebungen und ein Asset-Discovery, das mithilfe von Threat-Detection-Sensoren eine Bestandsaufnahme der vorhandenen OT- und IoT-Systeme sowie der internen und externen Kommunikationsbeziehungen liefert. Erfahrungen aus der Praxis zeigen, dass dabei immer Geräte und Verbindungen zum Vorschein kommen, von denen zuvor keiner Kenntnis hatte. Gerade diese sind hochriskant: Wenn niemand im Unternehmen von deren Existenz wusste, können Angreifer über dieses Einfallstor unentdeckt Wirtschaftsspionage betreiben. Ein wichtiges Ziel der Bestandsaufnahme ist, bei den er- mittelten Schwachstellen eine Priorisierung vorzunehmen. Was ist von höchster Kritikalität? Diese Sicherheitslücken müssen sofort geschlossen werden, andere können schrittweise beseitigt werden.
Weitere Themen der OT-Security-Analyse sind ein OT-Security-Vulnerability-Assessment, OT-Security-Risk-Assessment, OT- Governance und eine strukturierte Planung der weiteren Schritte zur Erhöhung der OT- Security. Gerade die Priorisierung der umzusetzenden Maßnahmen stellt viele Unternehmen vor große Herausforderungen. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und von deren Kommunikationsbeziehungen. Vorbild dafür ist die Konfigurationsdatenbank (CMDB) der IT-Systeme.
Bei der Ermittlung der externen Kommunikationskanäle interessiert zunächst, welche überhaupt vorhanden sind: Einwahlverbindungen, aber auch Standleitungen und Maschinen mit LTE-Karten für die Remote- Wartung. Solche Verbindungen sollten genau unter die Lupe genommen werden: Im Juli 2018 waren als Folge eines Datenlecks bei einem kanadischen Dienstleister namens „Level One Robotics and Controls“ fast 160 GB Daten verschiedener Automobilbauer öffentlich im Internet zugänglich. Die Daten wurden hierbei über direkte Kommunikationsverbindungen zwischen dem Dienstleister und den Automobilkonzernen abgezogen.
Dieser Fall verdeutlicht, wie wichtig es ist, zu wissen, wer mit wem kommuniziert und diese Fakten in eine Risikoanalyse einzubeziehen. Die technische Grundlage dafür stellen die Threat-Detection-Sensoren in OT-Umgebungen bereit, die sich nicht nur für eine Bestandsaufnahme, sondern auch für ein kontinuierliches Monitoring nutzen lassen. Dann sind Unternehmen sofort auf einem aktuellen Stand, wissen jederzeit, was in ihren Produktionsnetzen geschieht und können bei Bedarf schnell reagieren. Die Bestandsaufnahme und fortlaufende Überwachung der internen und externen Kommunikationsabläufe in einem Produktionsnetzwerk sind zentrale Bestandteile, um eine hohe Sicherheit von OT-Systemen und IoT-Geräten über den gesamten Lebenszyklus zu erzielen.
Handbuch IoT; Christian Koch; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/