Der Dokumentarfilm "Zero Days" klärt sechs Jahre nach Stuxnet über die Hintergründe der Cyber-Kriegsführung auf. Es bleibt die Frage, wie kritische Infrastrukturen, Industrieanlagen und Steuerungssysteme geschützt werden können. Wir suchen Antworten.
Der wohl erste staatlich geführte Cyberangriff auf eine Industrieanlage hatte das iranische Atomprogramm im Visier. Was wie ein Cyberthriller aus Hollywood klingt, geschah tatsächlich im Jahr 2010 in Form von ‚Stuxnet‘. Seit dem 6. September läuft der Dokumentarfilm "Zero Days", der von Stuxnet, dessen Hintergründen und Zielen handelt, auch in den deutschen Kinos. Der Film veranschaulicht die Dringlichkeit und die Komplexität einer Cybersicherheitsstrategie für Industrieanlagen und kritische Systeme. Mehr denn ja stellt sich die Frage, wie und mit welchen Maßnahmen aktuellen Sicherheitsproblemen bei industriellen Anlagen begegnet werden sollte.
Anders als IT-Sicherheitsansätze für herkömmliche IT-Netzwerke wurden industrielle Kontrollsysteme (Industrial Control Systems, ICS) und deren SCADA-Komponenten (SCADA-Software, Netzwerkkommunikation, Netzwerkprotokolle oder Hardwaredesign und -implementierung) in der Vergangenheit nie als potenzielles Sicherheitsrisiko gesehen.
ICS-Security: Haltung verändern
Allerdings sind Cyberangriffe auf ICS-Umgebungen heute keine Fiktion mehr, sondern Realität. Es ist notwendig, dass Unternehmen mit ICS-Umgebung ihre Haltung gegenüber Cybersicherheit ändern - zumal bisherige Schutzansätze darauf setzten, industrielle Infrastruktur in physisch isolierten Umgebungen zu betreiben, was in Zeiten der Industrie 4.0 nicht immer der Fall sein kann.
Eine Kaspersky-Studie bestätigt, dass weltweit 188.019 ICS-Rechner (Hosts) über das Internet erreichbar sind. Davon sind 13,9 Prozent in Deutschland beheimatet. Zudem ist in den vergangenen fünf Jahren die Anzahl gefundener Schwachstellen innerhalb von ICS-Komponenten um das Zehnfache gestiegen. Bei knapp der Hälfte der Fälle handelt es sich um kritische Lücken. Die Sicherheitslücken sind kein Phänomen einzelner Branchen, sondern ziehen sich über alle Industriezweige hinweg - angefangen bei Energieerzeugern über Transportwesen und Automobilindustrie hin zur Lebensmittelherstellung.
Die (IT-)Sicherheit von Industrieanlagen ist ein entscheidender Zukunftsfaktor. Foto: muph - www.shutterstock.com
ICS- & SCADA-Sicherheit: Mitarbeiter schulen
Um die derzeitige Situation und Haltung bezüglich der IT-Sicherheit für ICS-Umgebungen zu verbessern, sollten Schulungsprogramme entwickelt werden, die das Situationsbewusstsein stärken und Handlungsvorgaben für bestimmte Szenarien liefern. Dabei sollte jeder Mitarbeiter verstehen, welche Handlungen der täglichen Routine Sicherheitsverletzungen nach sich ziehen können und wie man damit entsprechend umgehen kann.
Zwei Beispiele:
• Das technische Team arbeitet mit Servern, Geräten und Software. Die Mitarbeiter müssen verstehen, wann und wie USB-Wechseldatenträger, mobile Geräte und persönliche Laptops zu nutzen sind, und wie sichere Passwörter für alle Geräte gewählt werden.
• Das Management-Team arbeitet überwiegend mit internen Dokumenten und Plänen, die nicht nach außen dringen dürfen. Die Teammitglieder sollten verstehen, wie man Online-Dienste wie etwa Clouds sicher für die Archivierung und den Transport von Daten verwendet.
Wenn Cloud Security dem CISO den Schlaf raubt
Security-Verantwortlichkeiten Ihr Cloud-Provider ist für die IT-Sicherheit seiner Infrastruktur verantwortlich. Ihr Unternehmen ist hingegen dafür verantwortlich, welche Nutzer Zugriff auf seine Ressourcen und Applikationen erhalten. Mit anderen Worten: Sie müssen sich um das Management der Zugriffsrechte kümmern und dafür sorgen, dass sich User und Devices, die Cloud-Zugriff benötigen, authentifizieren. <br><br /> Tipp für CISOs: Erstellen Sie Security-Protokolle wie Authentifizierungs-Richtlinien, Verschlüsselungs-Schemata und Datenzugriffs-Richtlinien. Benutzen Sie IAM (Identity & Access Management) um den Nutzerzugriff auf Services und Daten abzusichern und einzuschränken. Außerdem sollten Sie ein Audit durchführen, um Compliance-Verstöße oder unauthorisierten Zugriff sichtbar zu machen.
Unmanaged Traffic Es gab eine Zeit, da war es in Unternehmen Gang und Gäbe, dass alle User Connections durch einen allgemeingültigen Security-Checkpoint müssen. In Zeiten von Netzwerk-Vielfalt und mobilen Devices ist das nicht mehr praktikabel. Unmanaged Traffic bezeichnet im Übrigen Bandbreitennutzung, über die Sie nichts wissen. Das kann von Usern verursachter Datenverkehr sein, oder Cloud-to-Cloud-Traffic, der in der Regel signifikant ausfällt. Datenverkehr, der Ihnen nicht bekannt ist, kann auch nicht durch den Security Checkpoint geleitet werden. <br><br /> Tipp für CISOs: Cloud Services mit einem Checkpoint - also Proxy - abzusichern, sorgt für zahlreiche Sicherheitslücken. Sie sollten deshalb Nutzer und Daten des Cloud Services über APIs absichern. Unauthorisierten Zugriff decken sie über Monitoring, privilegierte Administratoren und Apps von Drittanbietern auf.
Managed Traffic Wenn Sie sich dafür entscheiden, den Datenverkehr, über den Sie Bescheid wissen - also den Managed Traffic - durch einen zentralen Checkpoint zu leiten, kann darunter die Performance leiden. Der Grund: große Datenmengen sorgen für Stau im Netzwerk. Fällt die Performance ab, führt das wiederum dazu, dass frustrierte User Wege suchen, den Stau zu umgehen. <br><br /> Tipp für CISOs: Bewerten Sie in Frage kommende Sicherheitslösungen nach Ihren Use Cases. Einige Drittanbieter haben Security Tools im Programm, die sämtliche Cloud Services - also SaaS, PaaS und IaaS - ohne zentralen Checkpoint absichert.
User-Eigenmacht Eigenmächtige User können für die Entstehung neuer Sicherheitsrisiken sorgen, wenn sie unbemerkt Traffic verursachen. Eine weitere Folge kann ein Erstarken der sogenannten Schatten-IT sein. In diesem Fall könnten User ohne Wissen der IT-Abteilung Applikationen und andere Ressourcen nutzen, die nicht authorisiert sind. <br><br /> Tipp für CISOs: Schatten-IT sorgt für Compliance-Verstöße und kann für ineffiziente und inkonsistente Prozesse verantwortlich sein. Sie sollten deshalb gemeinsam mit Ihrem Team die Nutzung von Schatten-IT im Unternehmen identifizieren und auf dieser Grundlage Richtlinien entwerfen, die nicht nur der IT-Abteilung, sondern auch allen anderen Abteilungen helfen, im Sinne der IT-Sicherheit produktiv und effizient zusammenzuarbeiten.
Kein Mut zur Lücke Die meisten Cloud-Security-Lösungen legen ihren Fokus auf den Schutz von SaaS-Applikationen - was wiederum für grobe Sicherheitslücken sorgen kann. Für eine ganzheitliche Security-Strategie sollten Sie den Schutz aller Daten, User und Devices über SaaS-, IaaS- und PaaS-Applikationen forcieren. <br><br /> Tipp für CISOs: Die Risiken und Schwachstellen von IaaS-, PaaS- und SaaS-Modellen unterscheiden sich grundlegend. Sie sollten deshalb nach einer ganzheitlichen Lösung Ausschau halten, die die Cloud in ihrer Gesamtheit abdeckt.
Wahl der richtigen Security-Lösung Derzeit gibt es zwei grundlegende Ansätze für das Deployment einer Cloud-Security-Lösung: den Proxy- und den API-Ansatz. Beide haben ihre vOr- und Nachteile - aber woher weiß man, welcher Ansatz der richtige ist? <br><br /> Tipp für CISOs: Denken Sie an die Bedürfnisse Ihres Unternehmens. Suchen Sie nach einer Proxy-Lösung, die Überwachung in Echtzeit ermöglicht? Oder ist der ganzheitliche API-Ansatz besser geeignet, der eine serviceübergreifende Absicherung aller Daten, Nutzer und Devices ermöglicht?
Richtlinien: Der Rahmen für eine sichere IT-Infrastruktur
Das Ziel einer passenden IT-Sicherheitsstrategie sollte also nicht nur darin bestehen, nationale und internationaleSecurity-Richtlinien zu erfüllen. Vielmehr sollte sie vor allem auf interne Richtlinien und die Verbesserung des Cybersicherheitsverständnissens innerhalb der Organisation ausgerichtet werden. Ob gezielte Attacke oder "ungewollte" Infizierung - sowohl scheinbar unwichtige Ereignisse in der Cybersicherheit als auch die richtige Reaktion in ernsthaften Situationen sind essenziell.
Richtlinien für die alltägliche Routine der Mitarbeiter sowie Handlungsempfehlungen für den Ernstfall sollten folgende Aspekte beinhalten:
Informationen: Es sollte eine Übersicht über die Informationen bestehen, die öffentlich zugänglich sein beziehungsweise herausgegeben werden dürfen. Sensible interne Daten wie etwa Details über Projekte oder Mitarbeiter sollten nicht nach außen gelangen. Vorsicht ist zudem bei Bildmaterial in öffentlichen Präsentationen geboten: Versehentlich abfotografierte, vertrauliche Dokumente machen sich auf Groß-Leinwänden nicht besonders gut.
Kontrollraum: Hier sollten sämtliche Funkzellen sowie Bluetooth-Verbindungen unterbunden werden. Fotos sollten vom Kontrollraum generell nicht gemacht werden, da die Gefahr der Weiterverbreitung besteht. Außerdem sollten keine USB-Sticks innerhalb des Kontrollraums angeschlossen werden.
Internet: Vom ICS-Netzwerk aus sollten keine Websites aufgerufen oder das Internet angesteuert werden. Unseriöse Links oder Einladungen von unbekannten Personen sollten nicht angeklickt, beziehungsweise angenommen werden.
Geräte/Datenträger: Unbekannte USB-Sticks sollten zu keinem Gerät im Unternehmen Zugang finden. Für ICS-Geräte gilt zudem, dass keinerlei Datenträger angeschlossen werden sollten - auch kein Smartphone zum laden.
Cloud-Dienste: Öffentliche Cloud-Dienste haben große Sicherheitslücken und unterscheiden beim Upload nicht zwischen vertraulichen und unwichtigen Dokumenten. Sie sollten daher nicht zum Transfer von sensiblen Daten oder PGP/GPG-Encryption verwendet werden.
Weiteres: Firewalls oder Netzwerksegmentierungen sollten nicht umgangen werden. Die AutoRun-Funktion sollte zudem auf allen verwendeten Geräten wie Laptops, Arbeitsplätzen und Servern deaktiviert sein.
Industrial Control System: Nicht ohne Selbstregulierung
Jede Aktion in einem kritischen System ist per se kritisch. Daher muss eine Kultur der Selbstregulierung von ICS-Organisationen etabliert werden, bei der jeder Mitarbeiter versteht, welche Risiken durch alltägliche Handlungen für das Unternehmen entstehen können. Eine solche Selbstregulierung erfordert, dass jeder Mitarbeiter im Unternehmen für seine Handlungen verantwortlich ist. Der Knackpunkt liegt in der Verhaltensänderung und der Integration von Sicherheit auf jedem Mitarbeiterniveau im Unternehmen. Betriebspersonal, IT-Management, Marketing, Finanzen und die Personalabteilung - sie alle müssen ihr Verhalten anpassen und wissen, wann was in welcher Situation zu tun ist.
Hundertprozentige Sicherheit kann nie gewährleistet werden, allerdings ermöglicht der Mix aus Sicherheitsschulungen, passenden Richtlinien, Verbesserung der unternehmensinternenSecurity Intelligence sowie der Einsatz technischer Schutzlösungen auch hoch sensiblen Systemen eine adäquate Cybersicherheit. Da solche Anlagen oftmals über Jahre hinaus aktiv sind, sollten IT-Sicherheitsaspekte auch von Beginn an mit gedacht und in der eigenen Cybersicherheitsstrategie abgebildet werden.
Belegschaft sensibilisieren
Vorbereitung des Zertifikats Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.
Management einbeziehen Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf.
Belegschaft sensibilisieren Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben.
Anwendbarkeit und Risikoakzeptanz definieren Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden.
Realistische Zeitpläne Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen.
Pragmatische Ziele statt Perfektion Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis.
Bewährtes einbetten Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern.
Synergien nutzen Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.