ANZEIGE
ANZEIGE
ANZEIGE
Beitrag drucken

IT-Angriffen einen Riegel vorschieben

Stuxnet hat Fakten geschaffen: Malware kann bei gezielten Angriffen selbst streng isolierte industrielle Produktionssysteme infizieren. Zudem wächst durch das zunehmend einheitliche Management von Office- und Produktions-IT sowie die Öffnung isolierter Netze für Fernwartungszwecke das Risiko – und damit der Druck, auch zum Schutz der Automatisierungsdaten bewährte Praktiken aus der Office-IT einzusetzen.

Bild: Symantec

Sommer 2010: Obwohl das attackierte Produktionsnetz als Insel isoliert war, hat der Computerschädling Stuxnet die Zentrifugen einer Anlage für Urananreicherung befallen und sabotiert. Anders als bisherige Angriffe suchte Stuxnet heimlich und fokussiert nach seinen Zielsystemen, eingeschleust via USB-Stick. Erst als der Schadcode den passenden digitalen ‚Fingerabdruck‘ erfasste, schlug er zu. Was bisher nur theoretisch galt, steht nun als Blaupause für Nachahmungstäter zur Verfügung. Damit steigt die Wahrscheinlichkeit des Auftretens vergleichbarer Vorfälle – und das Sicherheitsrisiko für Produktionsstraßen. Zudem verzahnen immer mehr Unternehmen ihre Produktions- und Betriebs-IT miteinander, um erhoffte Effizienzgewinne zu realisieren. Firmen koppeln also ihre wohl kontrollierten, sauber strukturierten Produktionsnetze freiwillig an die Office-Welt. Dies geschieht in vielen produzierenden Branchen.

Sicherheitsrisiko IT-Monokultur

Einer der wesentlichen Treiber für die Kopplung von Produktions- und Office-IT ist der Druck, effizienter zu arbeiten und Kosten zu senken. Dies geschieht einmal durch die Standardisierung auf eine bewährte Plattform – den PC nach IBM-Architektur. Diese Plattform lässt gemeinsame Schnittstellen und Protokolle wie OPC oder XML zu, der Service-Techniker kann sich per Laptop direkt an einen Roboter ankoppeln und per windows-kompatibler Software Statusdaten oder Bewegungsmuster auslesen. Diese Vereinheitlichung der kompletten IT-Landschaft hilft es Verantwortlichen, nicht länger auf teures Expertenwissen angewiesen zu sein.

Auch die Kooperation mit Partnern und Zulieferern wird dank solcher Standards immens vereinfacht. Diese Öffnung nach außen wird auch an anderer Stelle forciert. Denn ein Mitarbeiter, der beispielsweise am Wochenende per Smartphone auf die Wartungskonsolen zugreift, anstelle freie Tage vor dem Rechner in der Fabrik zu verbringen, arbeitet effizienter. Auf der Habenseite stehen schneller Informationsaustausch oder die Fernunterstützung von Wartung und Instandhaltung – auf der Sollseite sammlen sich eine Reihe von Fragen, die sich bezüglich der IT-Sicherheit stellen. Denn die Vereinfachung von Prozessen wird zu einem hohen Preis erkauft: Sie führt langfristig zu einer Monokultur der Systemlandschaft, die für IT-Angriffe von Hackern günstige Rahmenbedingungen schafft.

Hierarchisches Zugriffsmodell etablieren

Als ersten Schritt hin zu einem sicheren Produktionssystem sollte der Zugriff auf die Maschinen strenger kontrolliert werden als es bisher der Fall ist. Stuxnet beispielsweise hat sich über die Systeme der Dienstleister in die isolierte Umgebung eingeschlichen. In der Regel setzen Firmen auf Hunderte von Dienstleistern, um ihre Systeme vor Ort an den Standorten pflegen zu lassen. Diese schließen ihre Rechner und Diagnosegeräte an die Produktionsanlagen an und haben vielfach freie Hand innerhalb der Anlagen. Schließlich verfügen diese Partner über ausgeprägtes Expertenwissen, was eine umfangreiche Kontrolle deutlich erschwert. Es ist daher sinnvoll, in der Maschinenwelt ähnlich robuste Authentifizierungsprozesse aufzusetzen, wie sie in jeder IT-Umgebung bereits seit einer Dekade zum Standard gehören.

In einem ‚Directory‘, also einem zentralen Verzeichnisdienst mit eindeutig definierten Maschinen- und Anwendernamen sowie Zugriffsrechten, kann der Zuständige klare Regeln für interne und externe Zugriffe auf Maschinen durchsetzen. Auf diese Art lässt sich im Detail festlegen, wie sich ein Anwender und eine Maschine gegenüber dem Verzeichnis authentifizieren müssen. Auch Regeln für Passwörter lassen sich so durchsetzen, zusätzlich können Zertifikate die Authentifizierung von Geräten absichern. Solche Directories haben sich in Umgebungen mit Hunderttausenden von Teilnehmern bewährt, so dass sich die Frage der Skalierung nicht mehr stellt.

Bekannte Sicherheitslücken zeitnah schließen

Für die Absicherung sensibler Infrastrukturen stehen die Hersteller der Hardwarekomponenten ebenfalls in der Pflicht. Sie sollten den Betreiber über bekannte Sicherheitslücken und Gegenmaßnahmen aufklären. Insbesondere die Themen Patch- und Systemmanagement sind hier wichtig. Erst kürzlich wurden rund 34 Sicherheitslücken für Scada-Systeme entdeckt. Unter dem Strich reißen diese Software-Fehler Löcher in jede gute Abwehrstruktur. Diese Lücken lassen sich in der Regel mit Hilfe von Updates und Patches des Software-Anbieters – der vielfach gleichzeitig der Steuerungshersteller ist -zuverlässig schließen. Um solche Patches sicher, schnell genug und trotzdem zuverlässig auf mehr als 1.000 Systemen zu verteilen, haben die Verantwortlichen in der Office-IT über Jahre hinweg tragfähige Workflows und Prozesse etabliert, die sie mit Hilfe eines zentralen System- und Patch-Managements anstoßen. In solchen Software-Werkzeugen wird ein detalliertes Inventar der Infrastruktur, der jeweiligen Systeme und deren Versionsstand erfasst und den Komponenten eine Risikostufe zugewiesen. Von zentraler Stelle aus lassen sich dann die jeweiligen Updates auf die Infrastruktur verteilen. Es gilt dabei: Je wichtiger das Gerät für die Produktion, desto höher ist das Risiko eines Ausfalls zu bewerten.

Säuberungsmechanismen für Produktionssysteme

Auf Anwenderseite wiederum sollte bei allen eingesetzten Dienstleistern jedes Gerät darauf geprüft werden, ob eine aktuelle Virensoftware läuft. USB-Sticks sollten nur noch benutzt werden können, wenn die Kombination aus Anlage und verantwortlicher Person stimmt. Außerdem müssen auch diese Geräte permanent auf Malware gescannt werden. Um die Produktionssysteme selbst vor Schadcode zu schützen, helfen traditionelle Schutzmechanismen allerdings oft nicht.

Zum einen erzeugt klassischer Virenschutz im Produktionsbereich unkalkulierbare Latenzzeiten. Zum anderen untersagen die Hersteller der Produktionssysteme den Betreibern oft, eigene Software aufzuspielen. Sonst verfällt die Garantieleistung. Eine Haltung, die die Hersteller auf Dauer ändern müssen, um ihren Kunden zu helfen. Abhilfe schaffen Lösungen wie Symantec Critical System Protection. Das System schützt vor neuartigen Angriffen und trägt zur Richtlinieneinhaltung bei, indem es verhaltensbasierte Sicherheitsrichtlinien auf Clients und Servern durchsetzt. Die Lösung unterstützt Plattformen wie Solaris, Windows und Linux und bietet Erkennungsfunktionen (Intrusion Detection System, IDS) für AIX und HP-UX sowie über die Remote Edition zahlreiche weitere Systeme. Auf diese Weise lässt sich die produktionsnahe IT umfassend schützen.

Den Ernstfall erkennen

Daneben empfieht es sich, wichtige Konfigurationsdaten auf den Steuerungssystemen zu modifizieren, damit voreingestellte Passwörter nicht mehr von Angreifern ausgenutzt werden können. Zudem ist es wichtig, den Fluss wichtiger Dateien, etwa solche mit Steuerungsdaten, zu überwachen. Konzepte wie Data Loss Prevention können im gesamten Netzwerk, sei es in Produktion oder Büroumgebung, gezielt nach manipulierten Dateien Ausschau halten und ihren Fluss stoppen. Auf dem Markt findet sich auch Software, die Dateien automatisch verschlüsselt, sobald sie ein autorisierter Anwender von einem bestimmten System auf einen USB-Stick kopieren will.

Doch bei all diesen Vorkehrungen ist nicht ausgeschlossen, dass eine Infektion geschieht. Sei es, weil ein Dienstleister ein frisch infiziertes Notebook einschleust oder ein Angreifer gezielt Sabotage betreibt. Es ist daher genauso wichtig, mögliche Verdachtsfälle eindeutig prüfen zu können. Symantec hat dazu das Konzept des ‚Assessements‘ entwickelt. Hierbei sucht ein spezielles Gateway-System am Übergang zwischen Produktions- und Bürowelt nach Indizien für Malware-Aktivität und kann so Infektionen erkennen und isolieren. Denn dass Produktionsstraßen durch Malware bedroht werden, steht inzwischen fest. Die Frage ist, ob Unternehmen in der Lage sind, die kritischen Systeme abzusichern, und im Ernstfall Schadsoftware-Infektionen unverzüglich zu isolieren und zu beseitigen.

 

Zehn Regeln für den sicheren Betrieb von Produktionssystemen

  1. Risiko-Assessment durchführen und Systeme entsprechend priorisieren
  2. Starke Authentifizierung und Autorisierung über Verzeichnisdienste einführen
  3. Zugriffsrechte für interne und externe Mitarbeiter definieren
  4. Sicherheitsregeln für Notebooks und andere mobile Geräte durchsetzen
  5. USB-Sticks inventarisieren und wie Notebooks nach Viren durchsuchen
  6. Angemessene Anti-Malware- oder Security-Software auf den Produktionssystemen installieren
  7. Patch-Management-Prozess und -Workflow etablieren
  8. Fluss wichtiger Dateien per Data Loss Prevention kontrollieren und Informationen verschlüsseln
  9. Im Verdachtsfall Assessment durchführen, um potenzielle Infektionen zu erkennen
  10. Partner mit entsprechendem Sicherheits-Know-How finden


Das könnte Sie auch interessieren:

Steuerungsplattform für eine sich ändernde Welt

Auf der SPS IPC Drives 2016 hat Phoenix Contact mit der PLCnext Technology der breiten Öffentlichkeit erstmals seine neue Steuerungsgeneration vorgestellt. Was auf den ersten Blick als neue Steuerungsplattform erscheint, entpuppt sich auf den zweiten Blick als völlig neues Steuerungskonzept, bei dem Offenheit ganz oben auf der Entwicklungsagenda stand. Mit Hans-Jürgen Koch, Executive Vice President der Business Area Industry Management & Automation, und Holger Meyer, Head of Control Systems Marketing, sprachen wir über das neue Konzept und die Anforderungen, die eine sich ändernde Welt für moderne Steuerungstechnik mit sich bringt.
‣ weiterlesen

Maschinen mit dem MES verbunden

Viele mittelständische Fertigungsunternehmen stehen vor der großen Herausforderung, ihren Maschinen- und Anlagenpark in bereits digitalisierte Businessprozesse zu integrieren. Zwar erfassen und speichern heutzutage bereits viele Maschinen, Anlagen und sonstige periphere Einrichtungen auf dem Shop Floor Betriebs- und Prozessdaten automatisch, jedoch fehlt es an einer einheitlichen Kommunikationssprache. Allerdings existieren praxistaugliche Lösungen zur einfachen und nahtlosen Integration von Maschinen und Anlagen. ‣ weiterlesen

Anagnost ist neuer CEO von Autodesk

Andrew Anagnost ist aber sofort neuer CEO und Präsident von Autodesk. Amar Hanspal, Senior Vice President, Chief Product Officer und Interims-Co-CEO, hat sich dazu entschlossen, das Unternehmen zu verlassen.

‣ weiterlesen

„Komplexität ohne Aufwand“

Im globalen Wettbewerb um Kosten, Qualität und Flexibilität sind die Anforderungen an produzierende Unternehmen rasant gestiegen: Aspekte wie Ressourceneffizienz, Kostenersparnis oder auch wirtschaftliche Fertigung in Losgröße 1 zwingen zum Hinterfragen von Prozessen und der Suche nach alternativen Produktionsverfahren. Additive Fertigung, beziehungsweise der 3D-Druck, gewinnt branchenübergreifend an Relevanz. Trotz bekannter Potenziale steckt der breite Einsatz in der Praxis jedoch noch in Kinderschuhen. Initiativen wie das EU-Forschungsprojekt Bionicaircraft tragen dazu bei, neue Technologien, Methoden und Konzepte für den effizienten Einsatz der Additiven Fertigung zu entwickeln. Michael Schwartz (Bild) äußert sich im Interview zum Status quo additiver Fertigung in der Industrie. Schwartz ist Manager für innovative Aerospace-Lösungen bei Cenit, einem Unternehmen, dass sich auch als Partner in dem EU-Projekt engagiert. ‣ weiterlesen

Fehler effizient reduzieren

Ein funktionierendes Fehlermanagementsystem ist eine wichtige Säule des Qualitätsmanagements. Eine detaillierte Erfassung und Zusammenführung aller Fehlerinformationen sowie deren Analyse ist unabdingbar, um Planung und Ablauf von Korrektur- und Vorbeugungsmaßnahmen zu ermöglichen.
‣ weiterlesen

Achim Berg ist neuer Bitkom-Präsident

Der Bitkom hat im Rahmen seiner Jahrestagung einen neuen Präsidenten gewählt: Achim Berg soll in den kommenden beiden Jahren die Geschicke des Verbandes führen.

‣ weiterlesen