Beitrag drucken

IT-Angriffen einen Riegel vorschieben

Stuxnet hat Fakten geschaffen: Malware kann bei gezielten Angriffen selbst streng isolierte industrielle Produktionssysteme infizieren. Zudem wächst durch das zunehmend einheitliche Management von Office- und Produktions-IT sowie die Öffnung isolierter Netze für Fernwartungszwecke das Risiko – und damit der Druck, auch zum Schutz der Automatisierungsdaten bewährte Praktiken aus der Office-IT einzusetzen.

Bild: Symantec

Sommer 2010: Obwohl das attackierte Produktionsnetz als Insel isoliert war, hat der Computerschädling Stuxnet die Zentrifugen einer Anlage für Urananreicherung befallen und sabotiert. Anders als bisherige Angriffe suchte Stuxnet heimlich und fokussiert nach seinen Zielsystemen, eingeschleust via USB-Stick. Erst als der Schadcode den passenden digitalen ‚Fingerabdruck‘ erfasste, schlug er zu. Was bisher nur theoretisch galt, steht nun als Blaupause für Nachahmungstäter zur Verfügung. Damit steigt die Wahrscheinlichkeit des Auftretens vergleichbarer Vorfälle – und das Sicherheitsrisiko für Produktionsstraßen. Zudem verzahnen immer mehr Unternehmen ihre Produktions- und Betriebs-IT miteinander, um erhoffte Effizienzgewinne zu realisieren. Firmen koppeln also ihre wohl kontrollierten, sauber strukturierten Produktionsnetze freiwillig an die Office-Welt. Dies geschieht in vielen produzierenden Branchen.

Sicherheitsrisiko IT-Monokultur

Einer der wesentlichen Treiber für die Kopplung von Produktions- und Office-IT ist der Druck, effizienter zu arbeiten und Kosten zu senken. Dies geschieht einmal durch die Standardisierung auf eine bewährte Plattform – den PC nach IBM-Architektur. Diese Plattform lässt gemeinsame Schnittstellen und Protokolle wie OPC oder XML zu, der Service-Techniker kann sich per Laptop direkt an einen Roboter ankoppeln und per windows-kompatibler Software Statusdaten oder Bewegungsmuster auslesen. Diese Vereinheitlichung der kompletten IT-Landschaft hilft es Verantwortlichen, nicht länger auf teures Expertenwissen angewiesen zu sein.

Auch die Kooperation mit Partnern und Zulieferern wird dank solcher Standards immens vereinfacht. Diese Öffnung nach außen wird auch an anderer Stelle forciert. Denn ein Mitarbeiter, der beispielsweise am Wochenende per Smartphone auf die Wartungskonsolen zugreift, anstelle freie Tage vor dem Rechner in der Fabrik zu verbringen, arbeitet effizienter. Auf der Habenseite stehen schneller Informationsaustausch oder die Fernunterstützung von Wartung und Instandhaltung – auf der Sollseite sammlen sich eine Reihe von Fragen, die sich bezüglich der IT-Sicherheit stellen. Denn die Vereinfachung von Prozessen wird zu einem hohen Preis erkauft: Sie führt langfristig zu einer Monokultur der Systemlandschaft, die für IT-Angriffe von Hackern günstige Rahmenbedingungen schafft.

Hierarchisches Zugriffsmodell etablieren

Als ersten Schritt hin zu einem sicheren Produktionssystem sollte der Zugriff auf die Maschinen strenger kontrolliert werden als es bisher der Fall ist. Stuxnet beispielsweise hat sich über die Systeme der Dienstleister in die isolierte Umgebung eingeschlichen. In der Regel setzen Firmen auf Hunderte von Dienstleistern, um ihre Systeme vor Ort an den Standorten pflegen zu lassen. Diese schließen ihre Rechner und Diagnosegeräte an die Produktionsanlagen an und haben vielfach freie Hand innerhalb der Anlagen. Schließlich verfügen diese Partner über ausgeprägtes Expertenwissen, was eine umfangreiche Kontrolle deutlich erschwert. Es ist daher sinnvoll, in der Maschinenwelt ähnlich robuste Authentifizierungsprozesse aufzusetzen, wie sie in jeder IT-Umgebung bereits seit einer Dekade zum Standard gehören.

In einem ‚Directory‘, also einem zentralen Verzeichnisdienst mit eindeutig definierten Maschinen- und Anwendernamen sowie Zugriffsrechten, kann der Zuständige klare Regeln für interne und externe Zugriffe auf Maschinen durchsetzen. Auf diese Art lässt sich im Detail festlegen, wie sich ein Anwender und eine Maschine gegenüber dem Verzeichnis authentifizieren müssen. Auch Regeln für Passwörter lassen sich so durchsetzen, zusätzlich können Zertifikate die Authentifizierung von Geräten absichern. Solche Directories haben sich in Umgebungen mit Hunderttausenden von Teilnehmern bewährt, so dass sich die Frage der Skalierung nicht mehr stellt.

Bekannte Sicherheitslücken zeitnah schließen

Für die Absicherung sensibler Infrastrukturen stehen die Hersteller der Hardwarekomponenten ebenfalls in der Pflicht. Sie sollten den Betreiber über bekannte Sicherheitslücken und Gegenmaßnahmen aufklären. Insbesondere die Themen Patch- und Systemmanagement sind hier wichtig. Erst kürzlich wurden rund 34 Sicherheitslücken für Scada-Systeme entdeckt. Unter dem Strich reißen diese Software-Fehler Löcher in jede gute Abwehrstruktur. Diese Lücken lassen sich in der Regel mit Hilfe von Updates und Patches des Software-Anbieters – der vielfach gleichzeitig der Steuerungshersteller ist -zuverlässig schließen. Um solche Patches sicher, schnell genug und trotzdem zuverlässig auf mehr als 1.000 Systemen zu verteilen, haben die Verantwortlichen in der Office-IT über Jahre hinweg tragfähige Workflows und Prozesse etabliert, die sie mit Hilfe eines zentralen System- und Patch-Managements anstoßen. In solchen Software-Werkzeugen wird ein detalliertes Inventar der Infrastruktur, der jeweiligen Systeme und deren Versionsstand erfasst und den Komponenten eine Risikostufe zugewiesen. Von zentraler Stelle aus lassen sich dann die jeweiligen Updates auf die Infrastruktur verteilen. Es gilt dabei: Je wichtiger das Gerät für die Produktion, desto höher ist das Risiko eines Ausfalls zu bewerten.

Säuberungsmechanismen für Produktionssysteme

Auf Anwenderseite wiederum sollte bei allen eingesetzten Dienstleistern jedes Gerät darauf geprüft werden, ob eine aktuelle Virensoftware läuft. USB-Sticks sollten nur noch benutzt werden können, wenn die Kombination aus Anlage und verantwortlicher Person stimmt. Außerdem müssen auch diese Geräte permanent auf Malware gescannt werden. Um die Produktionssysteme selbst vor Schadcode zu schützen, helfen traditionelle Schutzmechanismen allerdings oft nicht.

Zum einen erzeugt klassischer Virenschutz im Produktionsbereich unkalkulierbare Latenzzeiten. Zum anderen untersagen die Hersteller der Produktionssysteme den Betreibern oft, eigene Software aufzuspielen. Sonst verfällt die Garantieleistung. Eine Haltung, die die Hersteller auf Dauer ändern müssen, um ihren Kunden zu helfen. Abhilfe schaffen Lösungen wie Symantec Critical System Protection. Das System schützt vor neuartigen Angriffen und trägt zur Richtlinieneinhaltung bei, indem es verhaltensbasierte Sicherheitsrichtlinien auf Clients und Servern durchsetzt. Die Lösung unterstützt Plattformen wie Solaris, Windows und Linux und bietet Erkennungsfunktionen (Intrusion Detection System, IDS) für AIX und HP-UX sowie über die Remote Edition zahlreiche weitere Systeme. Auf diese Weise lässt sich die produktionsnahe IT umfassend schützen.

Den Ernstfall erkennen

Daneben empfieht es sich, wichtige Konfigurationsdaten auf den Steuerungssystemen zu modifizieren, damit voreingestellte Passwörter nicht mehr von Angreifern ausgenutzt werden können. Zudem ist es wichtig, den Fluss wichtiger Dateien, etwa solche mit Steuerungsdaten, zu überwachen. Konzepte wie Data Loss Prevention können im gesamten Netzwerk, sei es in Produktion oder Büroumgebung, gezielt nach manipulierten Dateien Ausschau halten und ihren Fluss stoppen. Auf dem Markt findet sich auch Software, die Dateien automatisch verschlüsselt, sobald sie ein autorisierter Anwender von einem bestimmten System auf einen USB-Stick kopieren will.

Doch bei all diesen Vorkehrungen ist nicht ausgeschlossen, dass eine Infektion geschieht. Sei es, weil ein Dienstleister ein frisch infiziertes Notebook einschleust oder ein Angreifer gezielt Sabotage betreibt. Es ist daher genauso wichtig, mögliche Verdachtsfälle eindeutig prüfen zu können. Symantec hat dazu das Konzept des ‚Assessements‘ entwickelt. Hierbei sucht ein spezielles Gateway-System am Übergang zwischen Produktions- und Bürowelt nach Indizien für Malware-Aktivität und kann so Infektionen erkennen und isolieren. Denn dass Produktionsstraßen durch Malware bedroht werden, steht inzwischen fest. Die Frage ist, ob Unternehmen in der Lage sind, die kritischen Systeme abzusichern, und im Ernstfall Schadsoftware-Infektionen unverzüglich zu isolieren und zu beseitigen.

 

Zehn Regeln für den sicheren Betrieb von Produktionssystemen

  1. Risiko-Assessment durchführen und Systeme entsprechend priorisieren
  2. Starke Authentifizierung und Autorisierung über Verzeichnisdienste einführen
  3. Zugriffsrechte für interne und externe Mitarbeiter definieren
  4. Sicherheitsregeln für Notebooks und andere mobile Geräte durchsetzen
  5. USB-Sticks inventarisieren und wie Notebooks nach Viren durchsuchen
  6. Angemessene Anti-Malware- oder Security-Software auf den Produktionssystemen installieren
  7. Patch-Management-Prozess und -Workflow etablieren
  8. Fluss wichtiger Dateien per Data Loss Prevention kontrollieren und Informationen verschlüsseln
  9. Im Verdachtsfall Assessment durchführen, um potenzielle Infektionen zu erkennen
  10. Partner mit entsprechendem Sicherheits-Know-How finden


Das könnte Sie auch interessieren:

Auf der IT-Sicherheitsmesse IT-SA hat das Bundesamt für Sicherheit in der Informationstechnik seinen aktualisierten IT-Grundschutz vorgestellt. In der Veröffentlichung findet sich eine Methode, um anhand verschiedener Module die IT-Sicherheit gezielt zu erhöhen. Viele Erneuerung zielen darauf ab, gerade kleine und mittlere Unternehmen bei der Aufgabe IT-Sicherheit zu unterstützen.‣ weiterlesen

KrackAttacks: BSI warnt vor WLAN-Nutzung

Das Bundesamt für Sicherheit in der Informationstechnik hat kürzlich davor gewarnt, sensible Daten über WLAN-Verbindungen zu übertragen. Grund seien Schwachstellen im Sicherheitsstandard WPA2. Beim Antiviren-Softwarehersteller F-Secure heißt es, das noch keine Angriffstools bekannt sind, die die Schwachstelle ausnutzen. Jetzt sind Hardware- und Softwarehersteller gefragt, schnell Updates anzubieten, die den Fehler beheben.‣ weiterlesen

Produktionsbarometer August 2017

Die deutschen Produzenten haben im Monat August 2,6 Prozent mehr Güter hergestellt als im Vormonat. Das teilte das statistische Bundesamt mit.
‣ weiterlesen

Adel B. Al-Saleh wird Telekom-Vorstand und CEO von T-Systems

Adel B. Al-Saleh wird zum 1. Januar 2018 neues Vorstandsmitglied der Deutschen Telekom AG und CEO der T-Systems International GmbH. Al-Saleh folgt auf Reinhard Clemens, der die Deutsche Telekom zum Jahresende verlässt.
‣ weiterlesen

Datenschutzgrundverordnung Mehrheit ignoriert Anforderungen

Aktuell haben erst 13 Prozent erste Maßnahmen angefangen oder umgesetzt. Nur eine Minderheit glaubt, die EU-Verordnung fristgerecht umzusetzen. Größte Hürden sind unklarer Umsetzungsaufwand und Rechtsunsicherheit.‣ weiterlesen

Holografische Produktentwicklung bei Ford

Ford erweitert seine Tests mit der Microsoft Hololens-Technologie beim Fahrzeugdesign. Die drahtlosen Headsets können Entwicklern Hologramme von Teilen so anzeigen, als ob sie bereits in ein physisches Fahrzeug integriert seien. Der Fahrzeughersteller verspricht sich davon, die Entwicklungsprozesse zu beschleunigen.
‣ weiterlesen