Industrial Security

Industrieumgebungen wirksam schützen

| Autor / Redakteur: Marcel Kisch * / Nico Litzel

Es werden immer auch etablierte Sicherheitsrichtlinien und -prozesse benötigt, damit eingesetzte Technologien effektiv und nachhaltig arbeiten können. Doch klar ist auch: die eine, beste Lösung gibt es nicht.
Es werden immer auch etablierte Sicherheitsrichtlinien und -prozesse benötigt, damit eingesetzte Technologien effektiv und nachhaltig arbeiten können. Doch klar ist auch: die eine, beste Lösung gibt es nicht. (Bild: ©wladimir1804 - stock.adobe.com)

Gute Sicherheitsvorkehrungen sind heute durchaus so robust und effektiv, dass sie Angriffe zumindest teilweise erkennen können. Unterschieden werden sie nach ihrem Wirkungszeitpunkt. Dieser reicht von präventiven über detektive und korrektive bis zu responsiven Maßnahmen.

In Operational-Technology-(OT-)Umgebungen kann jede aktive Sicherheitsmaßnahme als ein erhebliches Risiko für die Verfügbarkeit und Aktualität von Betriebsprozessen betrachtet werden. Werden Anlagen und Systeme ohne Herstellerfreigabe verändert, führt das häufig zu einem Verlust des Supports und der Systemzertifizierung. Es gibt jedoch andere Wege, um OT-Umgebungen auf Angriffe vorzubereiten. Statt etablierte IT-Sicherheitsverfahren eins zu eins auf OT-Umgebungen zu übertragen, sollten sogenannte kompensierende Sicherheitsmaßnahmen berücksichtigt werden.

Sicherheitsmaßnahmen werden in der Regel nach ihrem Wirkungszeitpunkt unterschieden. Dieser reicht von präventiven über detektive und korrektive bis zu responsiven Maßnahmen.
Sicherheitsmaßnahmen werden in der Regel nach ihrem Wirkungszeitpunkt unterschieden. Dieser reicht von präventiven über detektive und korrektive bis zu responsiven Maßnahmen. (Bild: Marcel Kisch)

Präventive Sicherheitsmaßnahmen

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) dürften innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Im besten Fall sind die Sicherheitsmaßnahmen in Anlehnung an eine abgestimmte und regelmäßig aktualisierte IT- und OT-Sicherheitsstrategie auch schon festgelegt worden.

Zudem sollten verschiedene Sicherheitsstufen eingeführt und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen. Jegliche Kommunikation – insbesondere zwischen IT und OT – sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Backup-Daten hinterlegt sind.

Angriffe über IT-Infrastrukturen

Alle bisher dokumentierten großen Angriffe auf Maschinen, wie die von Wannacry und Industroyer, gelangten über die mit der OT verbundenen IT-Infrastrukturen in das Anlagennetzwerk. Industroyer war ein gezielter Angriff auf ein 200-MW-Umspannwerk in Kiew, von dem Experten vermuten, dass damit nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden sollte. Beim Wannacry-Ransomware-Angriff im Mai 2017 nutzte die Malware gezielt eine bekannte Schwachstelle im Windows-Betriebssystem aus, unterbrach dadurch die Betriebsabläufe und verschlüsselte wichtige Unternehmens- und Administrationsdaten.

Zusätzliche Herausforderung: Jeder Patch muss vom Hersteller überprüft und genehmigt werden, um sicherzustellen, dass es keine ungewollten Nebeneffekte auf die Prozesssteuerung gibt.
Zusätzliche Herausforderung: Jeder Patch muss vom Hersteller überprüft und genehmigt werden, um sicherzustellen, dass es keine ungewollten Nebeneffekte auf die Prozesssteuerung gibt. (Bild: ©Rawpixel.com - stock.adobe.com)

Bereits durch angemessenes Patching der IT-Komponenten hätten Unternehmen den Attacken von Wannacry Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Deshalb hat IBM neben einer Lösung für IT- auch eine Patch-Management-Version für OT-Systeme entwickelt. Die von Verve Industrial angebotene Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. Sowohl IBM Bigfix für IT als auch Verve für OT lassen sich in IBMs zentrale Security Intelligence (Q-Radar SIEM, Security Information and Event Management) integrieren. In dieser Kombination können beide Lösungen:

  • Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;
  • Schwachstellen beseitigen, wenn ein Patch vorliegt;
  • anfällige Dienste erkennen und gegebenenfalls deaktivieren beziehungsweise Informationen zur tatsächlichen Bedrohungslage erhalten;
  • Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;
  • methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.

Was wäre, wenn ... Im Fall von Wannacry gab und gibt es nur begrenzte Möglichkeiten, die Infektion und deren Verbreitung in OT-Umgebungen zu verhindern. Jedoch hätten Kommunikationsversuche des Schadcodes potenziell entdeckt werden können. Erst recht, wenn ein SIEM-System vorhanden gewesen und entsprechend gewartet worden wäre.
Bei Industroyer ist der Infektionspfad bis heute nicht geklärt. Allerdings hätte die Anzahl der Schritte nachvollzogen werden können, die notwendig sind, um den Schadcode in den Controller zu schleusen. Das wäre dann zwar keine präventive Aktion mehr gewesen, aber immerhin wären dadurch die Anzeichen für ein Eindringen in das System von außen früher erkannt worden, um schneller reagieren zu können.

Detektive Sicherheitsmaßnahmen

Normalerweise sind zentrale SIEM-Systeme dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und – basierend auf vordefinierten Regeln – Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cybergefahren erkennen können.

Auch IBM Bigfix für IT und Verve für OT sollen beispielsweise helfen, Bedrohungen schnell zu erkennen, indem sie anomales Prozessverhalten registrieren und unbekannte sowie Zero-Day-Bedrohungen identifizieren. Durch eine Kombination dieser Security-Lösungen wäre Wannacry womöglich einfacher zu identifizieren gewesen: Sie hätten die typischen Aktionen der Ransomware, die die Malware ergreifen muss, um die Datenwiederherstellung zu verhindern, wahrscheinlich schneller erkannt und Alarm geschlagen.

Korrektive Maßnahmen

Aktuelle Patch-Anwendungen können Angriffe, die auf bereits bekannte Sicherheitslücken abzielen, erkennen und potenziell unterbrechen. In einem üblichen Szenario wäre Wannacry vermutlich rechtzeitig identifiziert, wenn auch nicht verhindert worden. Ein modernes SIEM-System hätte zusätzlich gewarnt, sodass laufende Aktionen gestoppt und weitere Zugriffsversuche verhindert worden wären. So ist die Endpoint-Lösung von IBM und Verve beispielsweise fähig, Systemänderungen nahezu in Echtzeit zu erkennen und das System manuell in den ursprünglichen Zustand zurückzuversetzen. Korrektive Maßnahmen werden in OT-Netzwerken nur dann eingesetzt, wenn der Sicherheitsprozess garantiert funktioniert – andernfalls ist das Risiko unerwünschter Nebeneffekte (zum Beispiel Prozessunterbrechungen) zu groß.

Incident Response

Schnelle Reaktion auf Sicherheitsvorfälle: Incident Response zielt darauf ab, auf einen Vorfall möglichst schnell zu reagieren. Kann ein Schadcode nicht zeitnah erkannt werden, muss die Analyse gegebenenfalls nachträglich erfolgen. Das Potenzial, Angriffe nachträglich zu identifizieren, ihren Angriffsweg und -zeitpunkt nachzuverfolgen und potenziell gefährdete Systeme zu verorten sowie eine schnelle Rückkehr in den Regelbetrieb aufzunehmen, trägt hier wesentlich zur Reduzierung von Kosten eines Angriffs bei.

Insbesondere bei gezielten Angriffen kann die forensische Analyse die erste, letzte und einzige Möglichkeit sein, einen Sicherheitsverstoß überhaupt zu identifizieren.

Protokolle, Konfigurationen, Firmware und Daten sollten stets gesichert werden, damit Mitarbeiter im schlimmsten Fall eine Wiederherstellung durchführen können.
Protokolle, Konfigurationen, Firmware und Daten sollten stets gesichert werden, damit Mitarbeiter im schlimmsten Fall eine Wiederherstellung durchführen können. (Bild: ©momius - stock.adobe.com)

Letzte mögliche Maßnahme

Wiederherstellung: Protokolle, Konfigurationen, Firmware und Daten sollten in jedem Fall gesichert werden. Das Back-up sollte archiviert und die Mitarbeiter sollten jederzeit in der Lage sein, Wiederherstellungsprozesse durchzuführen.

Fazit: Natürlich sind nicht alle Angriffe immer vermeidbar, insbesondere, wenn sie sehr intelligent und ausgeklügelt durchgeführt werden. Allerdings gibt es in jedem Fall Alarmzeichen, mit denen Cyberattacken schneller erkannt und auch gestoppt werden können. Dazu müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen getroffen werden, zu denen auch automatische OT-System-Updates und der Einsatz von SIEM-Systemen gehören.

Dieser Artikel stammt von unserem Partnerportal MaschinenMarkt. Verantwortliche Redakteurin: Melanie Krauß

* Marcel Kisch ist weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0) in Ehningen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45392107 / Recht & Sicherheit)