Vernetzen auf menschlicher Ebene

Das automatisierte Überwachen, Steuern und Optimieren von vernetzten Industrieanlagen übernehmen in der Regel SCADA (Supervisory Control and Data Acquisition)-Systeme. Die letzte Kontrollinstanz im Zusammenspiel von Betriebstechnologie (Operational Technology, OT) und IT bleibt jedoch der Mensch, der den Status des Risikofaktors nicht los wird.

Zwar sollte jedem Mitarbeiter heute eigentlich klar sein, dass Schädlinge die Sicherheitsstruktur mühelos überwinden können, wenn er seinen eigenen USB-Stick in eine Maschine steckt – selbst fabrikneue USB-Sticks können Schadsoftware enthalten. Trotzdem gelangt Schadsoftware oft über die eigenen Reihen in Unternehmen. Daher führt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware wie Wartungsnotebooks in der Top-Ten-Liste der Bedrohungen für Industrial Control Systems (ICS) 2019 auf Rang eins auf.

Weiterhin droht Industrie-4.0-Umgebungen Gefahr durch Fernwartungszugänge, die Hacker nutzen könnten, um in die Systeme einzudringen und sie zu manipulieren. Diese möglichen Einfallstore lassen sich über verschlüsselte Kommunikation – die über sichere Protokolle erfolgen muss – und Zugriffsrechte schließen.

Längst haben die Hersteller von Sicherheitslösungen reagiert und bieten Produkte an, die den erschwerten Bedingungen wie Hitze oder Staub in Produktionshallen trotzen und die nötigen Protokolle für die Maschinenkommunikation sprechen. Die Technik steht also bereit. Um jedoch eine Industrie-4.0-Sicherheit zu etablieren, müssen die Teams aus IT und OT zusammenarbeiten. Ein externer Berater kann hier wertvolle Unterstützung leisten – und zum Vernetzen auf menschlicher Ebene beitragen, die für das Erstellen eines Sicherheitskonzeptes nötig ist.

Alte Systeme in Teilnetze segmentieren

Was abzusichern ist, klärt eine Bestandsaufnahme der OT-Umgebung. Dazu eignet sich ein Asset Inventory, welches die angeschlossenen Systeme, ihre Konfiguration und die genutzten PLCs (Programmable Logic Controller) protokolliert. Die Lösung zeigt vor allem mögliche Schwachstellen auf. Auf dieser Grundlage lässt sich eine sichere Kommunikation entwerfen und erforderliche Maßnahmen ableiten. Zum Beispiel kann man eine dreißig Jahre alte Anlage, auf der sich keine Updates und Patches aufspielen lassen, mit Firewalls von sicheren Segmenten abtrennen.

Technologisch müssen sich Unternehmen allerdings auf weiteren Ebenen absichern. Zwingend nötig ist der Einsatz einer Cyber-Visibility-Lösung, die Daten in OT-Netzwerken sammelt, überwacht und analysiert. Sie erkennt typische Netzwerk- und Prozessverhaltensweisen, und verwendet diese zum Prüfen auf Anomalien. Über aufgedeckte Auffälligkeiten und damit mögliche Gefahren informiert dann ein Threat Intelligence Feed. Es empfiehlt sich zudem, auf Network Access Control (NAC) und Security Information and Event Management (SIEM) zu setzen. Ein SIEM sammelt sicherheitsrelevante Log-Daten aus verschiedenen Quellen, analysiert sie und schlägt Alarm, falls es etwas Verdächtiges bemerkt.

Network-Traffic-Analyse, Audits und Schwachstellen-Scans sowie Backup und Disaster Recovery Planning (DRP) komplettieren die Technologien, die sich in der Praxis bewährt haben. Wichtig ist auch, dass Unternehmen Sicherheitsvorkehrungen bei der Administration und Nutzung am Client vornehmen. Betreiber von kritischen Infrastrukturen müssen außerdem laut Gesetz ein Information Security Management System (ISMS) einführen. Dieses brauchen Firmen auch, wenn sie sich nach ISO 27001 zertifizieren lassen wollen. Experten raten zusätzlich zu Business Continuity Plans (BCP), die ICS einschließen, und mit denen sich Unternehmen auf außergewöhnliche Vorkommnisse vorbereiten, gegen die alle bisherigen Maßnahmen gescheitert sind.

Gemeinsam gegen die Gefahr

Entscheidend für das Absichern von Industrie-4.0-Umgebungen ist, IT- und OT-Verantwortliche an einen Tisch zu holen. Industrie-4.0-Security lässt sich nur erfolgreich umsetzen, wenn beide Teams eng zusammenarbeiten und Verständnis für die gegenseitigen Bedürfnisse entwickeln. Manchmal ist die Lösung, die sich die IT wünscht, vielleicht in der OT nicht umsetzbar, weil sie den laufenden Betrieb der Produktion stören würde. Dann muss man Alternativen finden, die vielleicht keine hundertprozentige, aber immerhin die bestmögliche Sicherheit liefern. Fast die Hälfte der Industrieunternehmen (47,5 %) betrachtet Hacker-, insbesondere DDoS-Attacken (Distributed Denial of Service), als die größte Bedrohung, hat eine Umfrage von IDG Research Services ermittelt. Die Gefahr lässt sich allerdings nur gemeinsam bannen.

Autor: Ben Kröger

(c)2019
Vogel Communications Group