Stuxnet hat Fakten geschaffen: Malware kann bei gezielten Angriffen selbst streng isolierte industrielle Produktionssysteme infizieren. Zudem wächst durch das zunehmend einheitliche Management von Office- und Produktions-IT sowie die Öffnung isolierter Netze für Fernwartungszwecke das Risiko – und damit der Druck, auch zum Schutz der Automatisierungsdaten bewährte Praktiken aus der Office-IT einzusetzen.

Bild: Symantec

Sommer 2010: Obwohl das attackierte Produktionsnetz als Insel isoliert war, hat der Computerschädling Stuxnet die Zentrifugen einer Anlage für Urananreicherung befallen und sabotiert. Anders als bisherige Angriffe suchte Stuxnet heimlich und fokussiert nach seinen Zielsystemen, eingeschleust via USB-Stick. Erst als der Schadcode den passenden digitalen ‚Fingerabdruck‘ erfasste, schlug er zu. Was bisher nur theoretisch galt, steht nun als Blaupause für Nachahmungstäter zur Verfügung. Damit steigt die Wahrscheinlichkeit des Auftretens vergleichbarer Vorfälle – und das Sicherheitsrisiko für Produktionsstraßen. Zudem verzahnen immer mehr Unternehmen ihre Produktions- und Betriebs-IT miteinander, um erhoffte Effizienzgewinne zu realisieren. Firmen koppeln also ihre wohl kontrollierten, sauber strukturierten Produktionsnetze freiwillig an die Office-Welt. Dies geschieht in vielen produzierenden Branchen.

Sicherheitsrisiko IT-Monokultur

Einer der wesentlichen Treiber für die Kopplung von Produktions- und Office-IT ist der Druck, effizienter zu arbeiten und Kosten zu senken. Dies geschieht einmal durch die Standardisierung auf eine bewährte Plattform – den PC nach IBM-Architektur. Diese Plattform lässt gemeinsame Schnittstellen und Protokolle wie OPC oder XML zu, der Service-Techniker kann sich per Laptop direkt an einen Roboter ankoppeln und per windows-kompatibler Software Statusdaten oder Bewegungsmuster auslesen. Diese Vereinheitlichung der kompletten IT-Landschaft hilft es Verantwortlichen, nicht länger auf teures Expertenwissen angewiesen zu sein.

Auch die Kooperation mit Partnern und Zulieferern wird dank solcher Standards immens vereinfacht. Diese Öffnung nach außen wird auch an anderer Stelle forciert. Denn ein Mitarbeiter, der beispielsweise am Wochenende per Smartphone auf die Wartungskonsolen zugreift, anstelle freie Tage vor dem Rechner in der Fabrik zu verbringen, arbeitet effizienter. Auf der Habenseite stehen schneller Informationsaustausch oder die Fernunterstützung von Wartung und Instandhaltung – auf der Sollseite sammlen sich eine Reihe von Fragen, die sich bezüglich der IT-Sicherheit stellen. Denn die Vereinfachung von Prozessen wird zu einem hohen Preis erkauft: Sie führt langfristig zu einer Monokultur der Systemlandschaft, die für IT-Angriffe von Hackern günstige Rahmenbedingungen schafft.

Hierarchisches Zugriffsmodell etablieren

Als ersten Schritt hin zu einem sicheren Produktionssystem sollte der Zugriff auf die Maschinen strenger kontrolliert werden als es bisher der Fall ist. Stuxnet beispielsweise hat sich über die Systeme der Dienstleister in die isolierte Umgebung eingeschlichen. In der Regel setzen Firmen auf Hunderte von Dienstleistern, um ihre Systeme vor Ort an den Standorten pflegen zu lassen. Diese schließen ihre Rechner und Diagnosegeräte an die Produktionsanlagen an und haben vielfach freie Hand innerhalb der Anlagen. Schließlich verfügen diese Partner über ausgeprägtes Expertenwissen, was eine umfangreiche Kontrolle deutlich erschwert. Es ist daher sinnvoll, in der Maschinenwelt ähnlich robuste Authentifizierungsprozesse aufzusetzen, wie sie in jeder IT-Umgebung bereits seit einer Dekade zum Standard gehören.

In einem ‚Directory‘, also einem zentralen Verzeichnisdienst mit eindeutig definierten Maschinen- und Anwendernamen sowie Zugriffsrechten, kann der Zuständige klare Regeln für interne und externe Zugriffe auf Maschinen durchsetzen. Auf diese Art lässt sich im Detail festlegen, wie sich ein Anwender und eine Maschine gegenüber dem Verzeichnis authentifizieren müssen. Auch Regeln für Passwörter lassen sich so durchsetzen, zusätzlich können Zertifikate die Authentifizierung von Geräten absichern. Solche Directories haben sich in Umgebungen mit Hunderttausenden von Teilnehmern bewährt, so dass sich die Frage der Skalierung nicht mehr stellt.

Bekannte Sicherheitslücken zeitnah schließen

Für die Absicherung sensibler Infrastrukturen stehen die Hersteller der Hardwarekomponenten ebenfalls in der Pflicht. Sie sollten den Betreiber über bekannte Sicherheitslücken und Gegenmaßnahmen aufklären. Insbesondere die Themen Patch- und Systemmanagement sind hier wichtig. Erst kürzlich wurden rund 34 Sicherheitslücken für Scada-Systeme entdeckt. Unter dem Strich reißen diese Software-Fehler Löcher in jede gute Abwehrstruktur. Diese Lücken lassen sich in der Regel mit Hilfe von Updates und Patches des Software-Anbieters – der vielfach gleichzeitig der Steuerungshersteller ist -zuverlässig schließen. Um solche Patches sicher, schnell genug und trotzdem zuverlässig auf mehr als 1.000 Systemen zu verteilen, haben die Verantwortlichen in der Office-IT über Jahre hinweg tragfähige Workflows und Prozesse etabliert, die sie mit Hilfe eines zentralen System- und Patch-Managements anstoßen. In solchen Software-Werkzeugen wird ein detalliertes Inventar der Infrastruktur, der jeweiligen Systeme und deren Versionsstand erfasst und den Komponenten eine Risikostufe zugewiesen. Von zentraler Stelle aus lassen sich dann die jeweiligen Updates auf die Infrastruktur verteilen. Es gilt dabei: Je wichtiger das Gerät für die Produktion, desto höher ist das Risiko eines Ausfalls zu bewerten.

Säuberungsmechanismen für Produktionssysteme

Auf Anwenderseite wiederum sollte bei allen eingesetzten Dienstleistern jedes Gerät darauf geprüft werden, ob eine aktuelle Virensoftware läuft. USB-Sticks sollten nur noch benutzt werden können, wenn die Kombination aus Anlage und verantwortlicher Person stimmt. Außerdem müssen auch diese Geräte permanent auf Malware gescannt werden. Um die Produktionssysteme selbst vor Schadcode zu schützen, helfen traditionelle Schutzmechanismen allerdings oft nicht.

Zum einen erzeugt klassischer Virenschutz im Produktionsbereich unkalkulierbare Latenzzeiten. Zum anderen untersagen die Hersteller der Produktionssysteme den Betreibern oft, eigene Software aufzuspielen. Sonst verfällt die Garantieleistung. Eine Haltung, die die Hersteller auf Dauer ändern müssen, um ihren Kunden zu helfen. Abhilfe schaffen Lösungen wie Symantec Critical System Protection. Das System schützt vor neuartigen Angriffen und trägt zur Richtlinieneinhaltung bei, indem es verhaltensbasierte Sicherheitsrichtlinien auf Clients und Servern durchsetzt. Die Lösung unterstützt Plattformen wie Solaris, Windows und Linux und bietet Erkennungsfunktionen (Intrusion Detection System, IDS) für AIX und HP-UX sowie über die Remote Edition zahlreiche weitere Systeme. Auf diese Weise lässt sich die produktionsnahe IT umfassend schützen.

Den Ernstfall erkennen

Daneben empfieht es sich, wichtige Konfigurationsdaten auf den Steuerungssystemen zu modifizieren, damit voreingestellte Passwörter nicht mehr von Angreifern ausgenutzt werden können. Zudem ist es wichtig, den Fluss wichtiger Dateien, etwa solche mit Steuerungsdaten, zu überwachen. Konzepte wie Data Loss Prevention können im gesamten Netzwerk, sei es in Produktion oder Büroumgebung, gezielt nach manipulierten Dateien Ausschau halten und ihren Fluss stoppen. Auf dem Markt findet sich auch Software, die Dateien automatisch verschlüsselt, sobald sie ein autorisierter Anwender von einem bestimmten System auf einen USB-Stick kopieren will.

Doch bei all diesen Vorkehrungen ist nicht ausgeschlossen, dass eine Infektion geschieht. Sei es, weil ein Dienstleister ein frisch infiziertes Notebook einschleust oder ein Angreifer gezielt Sabotage betreibt. Es ist daher genauso wichtig, mögliche Verdachtsfälle eindeutig prüfen zu können. Symantec hat dazu das Konzept des ‚Assessements‘ entwickelt. Hierbei sucht ein spezielles Gateway-System am Übergang zwischen Produktions- und Bürowelt nach Indizien für Malware-Aktivität und kann so Infektionen erkennen und isolieren. Denn dass Produktionsstraßen durch Malware bedroht werden, steht inzwischen fest. Die Frage ist, ob Unternehmen in der Lage sind, die kritischen Systeme abzusichern, und im Ernstfall Schadsoftware-Infektionen unverzüglich zu isolieren und zu beseitigen.

Das könnte Sie auch interessieren:

Beitrag zum digitalen Zwilling
PTC tritt IDTA bei

Die Industrial Digital Twin Association hat mit PTC ein neues Mitglied. Gestartet mit 23 Organisationen, umfasst die Initiative nun 94 Mitglieder.‣ weiterlesen

KI-basierte Software
Zusammenbau per AR-Anleitung

Industrielle Montagelinien sind vielfältig: Einige arbeiten mit häufig wechselnden Produktaufbauten, während sich andere durch komplexe Prozesse und hohen Abstimmungsbedarf zwischen Werker und weiteren Experten auszeichnen. Das Fraunhofer IGD will Anwender mit einer Kombination aus Augmented Reality (AR) und künstlicher Intelligenz (KI) unterstützen.‣ weiterlesen

Neuer Rekord
Neuer 1 Million Roboter in der Autoindustrie weltweit

Rund 1 Million Industrieroboter werden allein im Automotive-Bereich eingesetzt. Laut der International Federation of Robotics ein Rekordwert. Das größte Wachstum beobachtet der Robotik-Verband derzeit in China.‣ weiterlesen

Sichere Firewall
4 grundlegende Tipps

Firewalls gehören in Unternehmen zu den wichtigsten Sicherheitskomponenten, um das Netzwerk vor Angriffen zu schützen. Mehr noch, im integrierten und vernetzen Zusammenspiel mit weiteren Security-Lösungen, beispielsweise für die Endpoint-, Mobile- oder Cloud-Security und mit den immer wichtigeren Security-Services durch menschliche Experten, fügt sich die Firewall in ein ganzheitliches Security-Ökosystem ein, das alle IT-Bereiche im Unternehmen bestmöglich vor Angriffen und vor Schäden bewahren kann.‣ weiterlesen

Aus- und Weiterbildung
VDI bietet Big-Data-Schulungen an

Auf Grundlage der im November 2022 veröffentlichten Richtlinie VDI/VDE-MT 3714 bietet der VDI Schulungen für die Implementierung und den Betrieb von Big-Data-Anwendungen an. ‣ weiterlesen

Überwachungsbedürftige Anlagen
Anforderungen an Cybersecurity konkretisiert

Die Anforderungen an die Cybersecurity von überwachungsbedürften Anlagen werden deutlich konkretisiert. Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln. Die zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.‣ weiterlesen

19. Deutscher IT-Sicherheitskongress
Eröffnung des Anmeldeportal für den digitalen Kongress

Mit dem Start der Anmeldung öffnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die digitalen Pforten für den 19. Deutschen IT-Sicherheitskongress. Am 10. und 11. Mai 2023 findet der Kongress unter dem Motto 'Digital sicher in eine nachhaltige Zukunft' digital statt.‣ weiterlesen

Neue Variante ausgebrochen
USB-Wurm überquert gleich drei Kontinente

Die längst verstaubt geglaubte Masche des 'Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen' wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt.‣ weiterlesen

KI-Funktionen in Standardsoftware
Qualitätsmanagement-System mit integrierter KI

Softwareanbieter Consense ergänzt sein Qualitätsmanagement-System um KI-gestützte Funktionen. Die Algorithmen sollen helfen, Prozesse zu automatisieren und einfacher zu gestalten. ‣ weiterlesen

Sonicwall Cyber Threat Report 2023
Neue Cyberfronten und verändertes Verhalten von Bedrohungsakteuren

Sonicwall hat den Sonicwall Cyber Threat Report 2023 veröffentlicht. Dieser zweimal jährlich erscheinende Bericht gibt Einblicke in eine zunehmend diversifizierte Cyberbedrohungslandschaft und die sich verändernden Strategien der Bedrohungsakteure.‣ weiterlesen

Smart Factories schützen
Secure Digital Platform sorgt für umfassende IT-Sicherheit

Smart Factories bieten eine breite Angriffsfläche für Cyberattacken. Deshalb sichert die Freie Universität Bozen ihre 'Smart Mini Factory', eine Lernfabrik für Industrie-4.0-Technologien, mit der Endian Secure Digital Platform. Neben umfassender IT-Sicherheit ermöglicht die Plattform die Nutzung von Edge Computing und das Management von Rollen und Rechten.‣ weiterlesen