Galten industrielle Steuerungssysteme (Industrial Control Systems, ICS) und Betriebstechnologie (Operation Technology, OT) gegenüber äußeren Angriffen von Hackern durch ihre physische sowie logische Trennung vom Internet oder den Unternehmensnetzen als geschützt, geht in Zeiten der Industrie 4.0 dieser „natürliche“ Schutz immer mehr verloren.

Anlagen werden vernetzt, können untereinander kommunizieren und werden nicht selten aus der Ferne bedient, überwacht und gewartet. Dies ermöglicht es wiederum über die Menge an neu gewonnenen Daten und analytischen Verfahren, die Produktivität zu erhöhen, unvorhergesehene Ausfallzeiten vorzeitig zu erkennen, Engpässe zu beheben sowie Lösungen zur Verbesserung der Effizienz zu suchen und eben auch zu finden.

Die Verschiebung der Netzgrenzen führt allerdings auch dazu, dass ICS und OT immer mehr den Gefahren, die man bisher eher aus der klassischen IT gewohnt war, ausgesetzt sind. Welche Gefahren die zunehmende Vernetzung für Industriesteuerungen mit sich bringt, welche Besonderheiten im Vergleich zur klassischen Office-IT dabei zu berücksichtigen sind und welche Maßnahmen dem entgegenwirken können, soll in den folgenden Abschnitten näher beleuchtet werden.

OT – wie IT nur anders

Industriesteuerungen sind immer häufiger über Netzwerke erreichbar und werden dadurch externen Gefahren ausgesetzt, die zuvor überwiegend die IT-Infrastrukturen klassischer Büroumgebungen betrafen. Die Bedrohungen können dabei auf vielfältige Weise Einfluss auf die Systeme nehmen. Dazu zählen im Allgemeinen organisatorische Gefährdungen, menschliches Fehlverhalten oder aber auch vorsätzliche Handlungen.

Besonderheiten und Anforderungen

Lösungen, die sich für die Office-IT bewährt haben und funktionieren, müssen in der OT-Umgebung aufgrund der besonderen Rahmenbedingungen jedoch neu gedacht oder angepasst werden.

Während in der klassischen IT Komponenten leicht ausgetauscht oder Softwares einfach neu aufgesetzt werden können, liegt der Fokus bei OT-Systemen auf deren Verfügbarkeit und den damit verbundenen Anforderungen. Industrieanlagen müssen produzieren und verursachen teils hohe Verluste, wenn sie durch Störungen stillstehen. Wartungen oder Anpassungen werden aus diesem Grund nur mit langen Vorläufen in festgelegten Zeiträumen durchgeführt. Ein schnelles Patchen ist somit nicht möglich.

Wäre es dennoch möglich, stellen die oft sehr begrenzten Ressourcen eine weitere Hürde dar. Regelmäßige Updates oder die Möglichkeit zusätzliche Software, wie Virenschutz, zu installieren, ist seitens der Hersteller für gewöhnlich nicht vorgesehen und muss im Rahmen von strengen Regularien erst freigegeben werden, um einen sicheren und garantierten Betrieb auch im Nachhinein gewährleisten zu können.

Demgegenüber unterscheidet sich außerdem deutlich die Zeitspanne, in der diese Systeme genutzt werden. Beträgt die Lebensdauer von klassischen IT-Systemen im Normalfall wenige Jahre, sind ICS und OT bis zu 25 Jahre oder länger im Einsatz. Die Nutzung von nicht patchfähigen Altsystemen mit bekannten Schwachstellen ist dabei keine Seltenheit.

Typische Angriffsarten und Schwachstellen

Spätestens nach Stuxnet und der Manipulation von SCADA-Systemen (Supervisory Control and Data Acquisition) ist deutlich geworden, dass auch Industriesteuerungen Ziele von Hackerangriffen sind. Statistiken zeigen, dass in den führenden Branchen Angriffe auf Fertigung und Produktion mehr als ein Viertel des weltweiten Anteiles ausmachen. Unterscheiden sich OT und IT teils deutlich in ihren Rahmenbedingungen, so sind die Arten der Angriffe auf diese jedoch sehr ähnlich.

Zu den Top 10 Bedrohungen im ICS-Bereich gehören:

  • Einschleusen von Schadsoftware über Wechseldatenträger und mobile Systeme
  • Infektion mit Schadsoftware über Internet und Intranet
  • menschliches Fehlverhalten und Sabotage
  • Kompromittierung von Extranet und Cloud-Komponenten
  • Social Engineering und Phishing
  • (D)DoS-Angriffe
  • internetverbundene Steuerungskomponenten
  • Einbruch über Fernwartungszugänge
  • technisches Fehlverhalten und höhere Gewalt
  • Soft- und Hardwareschwachstellen in der Lieferkette

Ein stark steigender Trend zeigt sich dabei vor allem bei der Infektion mit Schadsoftware über das Internet bzw. Intranet sowie bei Soft- und Hardwareschwachstellen in der Lieferkette.

Die oben genannten Angriffe stellen dabei allerdings nur den Anfang dar. Konnten Schwachstellen erfolgreich ausgenutzt werden, folgen weitere Angriffe, wie bspw. die Rechteerweiterung und der unberechtigte Zugriff auf weitere Systeme, die Manipulation von Netzwerk- oder Steuerungskomponenten sowie der Einsatz von Ransomware.

Risiken erkennen und managen

Was ist nun aber zu tun gegen die teils unvermeidlichen Bedrohungen? Was sich in der klassischen IT als hilfreich erwiesen hat, kann auch im Umfeld von ICS hilfreich sein und genutzt werden.

Um die Bedrohungen und die daraus resultierenden Risiken beherrschen zu können, sind Informationssicherheits-Managementsysteme (ISMS) oft die beste Lösung. Über ein ISMS können Risiken erkannt und gemindert werden. Für KRITIS-Betreiber sind sie darüber hinaus ein sinnvolles Mittel für den Nachweis, dass gemäß § 8a BSIG „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ umgesetzt wurden, um damit letztlich die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen zu gewährleisten.

Neben dem IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der international anerkannten ISO/IEC 27001-Norm gibt es eine Reihe weiterer Standards und Leitfäden, die bei der Einführung eines ISMS unterstützen. Ausarbeitungen wie das ICS-Security-Kompendium des BSI ergänzen die standardisierten Methoden zudem um ICS-spezifische Gesichtspunkte.

Die Risiken als Ausgangsituation

Die Grundlage bildet dabei zu meist der risikobasierte Ansatz. Ziel ist es, über die Unternehmenswerte, wie bspw. Anwendungen, Systemkomponenten oder auch physische Infrastrukturen, die jeweiligen Schutzbedarfe zu ermitteln, Bedrohungen zu analysieren und im Zuge dessen systematisch geeignete Maßnahmen zur Behandlung der Risiken zu planen und umzusetzen.

Organisation und Maßnahmen

Die Behandlung von Risiken wird dabei allerdings nicht ausschließlich über technische Maßnahmen, wie z. B. die Installation von Antivirensoftware, umgesetzt. Einer der wesentlichen Aspekte besteht darin, durch organisatorische Vorgaben und Festlegung von Prozessen Rahmenbedingungen zu schaffen, die die Angriffsfläche für Bedrohungen eingrenzen und überschaubar gestaltet.

Dabei umfasst das Management für die Informationssicherheit ein ganzheitliches Konzept, welches Anforderungen an die Bereiche der organisatorischen, technischen, physischen und personellen Sicherheit erhebt. Am Beispiel der oben genannten Bedrohung „Einschleusen von Schadsoftware über Wechseldatenträger“ könnte eine Umsetzung wie folgt aussehen:

  • Als organisatorische Vorgabe dürfen ausschließlich von der IT-Abteilung überprüfte und herausgegebene Wechseldatenträger für festgelegte Systeme von bestimmten Personen (z. B. Systemverantwortliche) eingesetzt werden.
  • Eine entsprechende Richtlinie ist dokumentiert und allen Betroffenen bekannt.
  • Die Überprüfung der Wechseldatenträger erfolgt dabei technisch mittels Virenscanner.
  • Um bei Verlust des Datenträgers die darauf enthaltenen Informationen vor unbefugtem Zugriff zu schützen, kommt außerdem eine geeignete Vollverschlüsselung zum Einsatz.
  • Bei Systemen, für die der Datenaustausch nicht über Wechseldatenträger erforderlich ist, aber möglich wäre, werden die entsprechenden Schnittstellen so präpariert, dass eine physische Kopplung mit den Wechseldatenträgern nicht mehr möglich ist.
  • Zusätzlich werden alle Betroffenen über die entsprechenden Bedrohungen und deren möglichen Folgen aufgeklärt und sensibilisiert.

Fazit

Dass die Vernetzung von Industriesteuerungen viele Vorteile bietet, lässt sich nicht bestreiten und ist in der heutigen Zeit auch nicht mehr wegzudenken. Dass damit aber auch Risiken einhergehen, ist ebenfalls eine Tatsache. Dabei handelt es sich jedoch nicht um völlig neue Bedrohungen. Betrachtet man die Auflistung der Top 10 Bedrohungen im ICS-Bereich, handelt es sich um Gefährdungen, welche für klassische IT-Umgebungen seit jeher relevant sind und für die bereits vielfältige Lösungsansätze gefunden wurden.

Die wohl größte Problematik dabei ist, dass OT eben nicht gleich IT ist und teilweise ganz unterschiedliche Rahmenbedingungen und Anforderungen zu beachten sind, weshalb die bereits vorhandenen Lösungsansätze nicht ohne Weiteres auf den ICS-Bereich anzuwenden sind. Sie bieten jedoch einen guten Ausgangspunkt, von dem aus im Rahmen einer ganzheitlichen Risikobetrachtung die zusätzlich entstandenen Gefährdungspotenziale erkannt und systematisch über die Etablierung ICS-angepasster Prozesse und Maßnahmen im Zuge der Informationssicherheit behandelt und schließlich auch verringert werden können.