Risikoanalyse als Basis für Sicherheit

Seiner Meinung nach müssten die Produktions- und IT-Industrie zusammen an einer sicheren Einführung der Konzepte arbeiten. "Dazu gehört auch, die Sprache und Sichtweise der anderen Seite zu verstehen. Wir müssen Safety und Security zusammenbringen, um eine gemeinsame Basis zu finden", so Schneider. Auch Lars Kroll von Symantec sieht in der Zusammenarbeit noch Luft nach oben. "Die Hersteller von SCADA-Systemen waren bislang nicht auf IT-Security fokussiert und sind eher zurückhaltend, wenn es um spezielle Sicherheitslösungen anderer Hersteller geht. Das sollte sich ändern, auch um übergreifende Standards zu schaffen."

Einer der Gründe für die Zurückhaltung: Laufzeitkritische Anwendungen der Industrie dürfen nicht durch eine Sicherheitslösung beeinträchtigt werden. "Verzögert sich etwa der Arbeitstakt eines Roboters in der Automobilfertigung durch das Aufspielen eines Sicherheitspatches um eine Zehntelsekunde, kommt es zu Fehlproduktionen. Da die Anlagen hochverfügbar sein müssen, darf für die Installation von Sicherheitstechnologie kein Neustart notwendig sein. Das muss im laufenden Betrieb erfolgen."

Doch vor konkreten Maßnahmen steht die Risikoanalyse. Sie besteht aus grundsätzlichen Fragen wie: Was ist unser Geschäftsmodell? Von wem geht das größte Risiko aus (Mitbewerber, Cyber-Kriminelle, NSA etc.)? Ab wann ist eine digitale Information unternehmenskritisch und für andere relevant? Was kann im schlimmsten Fall passieren, etwa wenn eine Anlage für mehrere Stunden ausfällt, weil sie manipuliert wurde? In welchem Bereich drohen die größten Gefahren?

Die Risikobewertung oder Bedrohungslandkarte ist essenziell für die Präventivmaßnahmen und die Priorisierung der weiteren Schritte. "Häufig zeigt sich, dass Probleme nicht technisch bedingt sind, etwa durch eine Lücke in der Firewall, sondern organisatorische Ursachen haben, sprich in Punkten wie Rechtevergabe, Authentifizierung oder dem Fehlen eines Notfallplans", erläutert Lars Kroll. Ein Notfallplan beantwortet unter anderen folgende Fragen: Wie gehen wir bei einer Attacke vor? Wer ist kompetent? Wer entscheidet?

Frameworks helfen bei der Umsetzung

Neben der Risikobewertung benötigen Industrie-Unternehmen zunächst eine genaue Übersicht über die Anzahl und Art ihrer Produktionssysteme, Zertifikate (Wer darf mit wem sprechen?) und (potenziellen) Schwachstellen von Produktionsanlagen. Weiterhin obligatorisch sind Informationen zur aktuellen globalen Gefahrenlage, um effizient auf IT-Sicherheitsvorfälle reagieren zu können.

Orientierung erhalten Industrie-Unternehmen von Frameworks wie dem ICS Security Kompendium des BSI oder IEC 62443, einer internationalen Normenreihe über die "IT-Sicherheit für industrielle Leitsysteme - Netz- und Systemschutz". "IEC 62443 bildet eine Brücke zwischen Safety und Security und unterstützt beim sicheren Betrieb von industriellen Steuerungsumgebungen", betont Udo Schneider von Trend Micro. Für den Einstieg in die Sicherheit von Steueranlagen empfiehlt er das Tool "LARS ICS" (Light And Right Security), das die Komponenten einer Steuerung auflistet und beschreibt, welche IT-Maßnahmen zu deren Schutz möglich sind.

Vielschichtige Sicherheitsmaßnahmen

Als grundsätzliche Maßnahmen empfehlen die Experten die Segmentierung des Netzwerks in Zonen (Office-IT, SCADA und ICS), die verschlüsselte Datenübertragung, ein Intrusion-Prevention-System (IPS) mit intelligentem Umgehungsschutz sowie eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk. Eine Whitelisting-Funktion stellt sicher, dass ausschließlich explizit freigegebene Programme Code ausgeführt werden. Weitere unerlässliche Maßnahmen sind eine starke Benutzerauthentifizierung oder der Schutz für mobile Geräte, die an die Produktionsumgebung angeschlossen sind.

Grundsätzlich müssen die Industrie-Unternehmen herausfinden, welche Komponenten der Industriesteuerung sie mit Standard IT-Security-Tools schützen können, und wo sie spezielle Lösungen für den Schutz von ICS und SCADA-Systemen benötigen. Dies ist immer vom Einzelfall abhängig. Dabei gilt: Es gibt keine hundertprozentige Sicherheit, ein Restrisiko bleibt. Wer aber seine Risiken kennt und aktiv Vorkehrungen trifft, schützt sein Unternehmen vor den größten Bedrohungen. (mb)