Anzeige
Anzeige
Anzeige

Bessere Verteidigung gegen industrielle Schadsoftware

Beitrag drucken

Ansatz: Professioneller Umgang mit Schwachstellen

Die Werkzeuge, mit denen Sicherheitsforscher und Hacker gegenüber Industriesystemen auftreten, sind ebenfalls umfangreicher geworden. Viele Programme zur Netzwerkprüfung inkludieren zumindest Module, die Industriesteuerungen am Netzwerk als solche identifizieren und nicht mehr als unbekannte Geräte klassifizieren. Für gängige Hacking-Werkzeuge wie das Metasploit-Framework existieren durchaus auch offensivere Funktionen: Befehle zum Stoppen und Starten von speicherprogrammierenden Steuerungen (SPS) werden nachgebildet oder spezifische Angriffe auf Implementierungs-Schwachstellen bereitgestellt. Automatisierungshersteller haben bereits begonnen, professioneller mit Sicherheitsschwachstellen umzugehen. Die meisten Automatisierungshersteller haben nun endlich die ersten Gehversuche im Umgang mit Sicherheitsschwachstellen hinter sich, in vielen Fällen ist daraus eine eigene Sicherheitsorganisation entstanden. Mitunter ist sogar ein eigenes Geschäftsfeld entwickelt worden, in dem Anlagenbetreibern Zusatzdienste wie Patch- und Update-Management, Risikoanalysen oder der Aufbau von Sicherheitskonzepten angeboten werden. Ein großes Problem liegt weiterhin im Bereich Security Know-how in der Industrie. Die Industrie als Ganzes muss nun lernen, mit Security umzugehen. Security war bisher kein Kernthema der Industrieunternehmen, und wenn dann typischerweise eher den IT-Abteilungen oder -Unternehmen zugeordnet. Durch Industrie 4.0 und eine noch stärkere Durchdringung von Software in Industrieanlagen sowie die stärkere Vernetzung muss Security aber ebenso gut umgesetzt werden. Dies ist nur möglich, wenn das Industriepersonal auch mit dem richtigen Security Know-how ausgestattet ist. Spezialisierte Schulungen und Zertifizierungen zum Thema Industrial Security sind ebenfalls erst in den letzten zwei bis drei Jahren nach Stuxnet entstanden. Besonders hervorzuheben ist beispielsweise die Zertifizierung GIAC Global Industrial Cyber Security Professional (GICSP), für die in Zusammenarbeit mit dem SANS Institute ein Training entwickelt wurde, um Anlagen- und Industrietechniker besser auf Security-Fragestellungen vorzubereiten und IT-Sicherheitsexperten in die Welt der ICS einzuführen. Wichtig ist, dass beide Seiten die gleiche Sprache sprechen und Lösungsansätze zusammen entwickeln, um die Systeme besser zu schützen.

Fazit

Die größte Herausforderung bleibt weiter bestehen: Auch wenn Hersteller begonnen haben, Konzepte wie Security by Design in neue Produkte zu integrieren, läuft der größte Teil von Industrieanlagen noch immer mit der älteren ‚Legacy‘-Technologie nach dem Motto ‚Never Change a Running System‘ (auch bei Updates nicht) und damit eher spärlichem Sicherheitsdesign. Es liegt also in der Verantwortung der Systemintegratoren und Anlagenbetreiber, die Security von bestehenden Anlagen zu verbessern, indem bei entsprechenden Wartungsfenstern auch Sicherheitsmechanismen nachgerüstet werden. Welche Maßnahmen hier am effektivsten für die jeweilige Anlage sind, sollte mit ausreichender Vorbereitung gemeinsam mit internen oder externen Fachleuten in einer Risiko- oder Schwachstellenanalyse geklärt werden. Denn leider belegen die eingangs aufgeführten Bedrohungen, dass sie sich stetig vermehren und immer mehr Angreifer ihre Zeit auf die Weiterentwicklung aufwenden. ICS zu manipulieren, zu sabotieren oder aber in Geiselhaft zu nehmen, bleibt für Angreifer ein lohnenswertes Ziel.


Das könnte Sie auch interessieren:

Die Berechnungen für die Produktionsplanung können nur so gut sein wie die Qualität der einfließenden Grunddaten. Bei Fehlern in den Daten stimmen auch die nicht. Dieser Beitrag beschäftigt sich mit der automatisierten Korrektur von Daten im Rahmen der Termin- und Kapazitätsplanung mit einem APS-System.‣ weiterlesen

Die Nortec – Fachmesse für Produktion lädt vom 21. bis zum 24. Januar nach Hamburg ein. Unter dem Motto ‘Zukunft? Läuft!‘ finden Besucher Lösungen und Technologien für eine moderne Produktion.‣ weiterlesen

Der Softwareanbieter Sage hat fünf IT-Trends identifiziert, die 2020 für Unternehmen wichtig werden — darunter die Themen Hybrid Cloud, Predictive Data Analytics und Nachhaltigkeit.‣ weiterlesen

Im dritten Quartal 2019 sank der Auftragseingang der deutschen Werkzeugmaschinenindustrie im Vergleich zum Vorjahreszeitraum um 25%. Dabei gingen die Bestellungen aus dem Inland um 29% zurück. Die Auslandsbestellungen verloren 23%. In den ersten neun Monaten 2019 sank der Auftragseingang um 23%.‣ weiterlesen

Das Blechbearbeitungsunternehmen HA-BE hat die bislang extern durchgeführte Pulverbeschichtung mit einer neuen Anlage in den eigenen Produktionsprozess integriert. Als Drehscheibe fungiert dabei die Sphinx Open Online-Plattform der In-GmbH, mit der die Kommunikation zwischen Produktion und Ressourcenplanung sichergestellt wird.‣ weiterlesen

Im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojektes ProPlanE haben die Projektpartner den Prototypen einer Analyseplattform entwickelt, mit der sich die Fertigungsplanung auf Basis von Process-Mining-Verfahren in Echtzeit optimieren lässt.‣ weiterlesen

Meistens wird künstliche Intelligenz in Bezug auf ihren Nutzen diskutiert, während mögliche Risiken allenfalls beiläufig erwähnt werden. Doch die autonomen Systemen haben das Potenzial, auf die gesamte Gesellschaft einzuwirken. Darum sollten beim Einsatz von KI stets ethische Aspekte einbezogen werden.‣ weiterlesen

Ein Cyberangriff auf das eigene Unternehmen sowie auf einen Zulieferer führte beim DAX-Konzern Beiersdorf zu einem Umdenken in Sachen IT-Sicherheit. Das Unternehmen entschied sich daraufhin, seine kritischen Zulieferer einem Security-Assessment zu unterziehen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige