OT Security – Wie Sie ICS-& IACS-Infrastrukturen sicher betreiben

Autor
Reinhold Zurfluh
Veröffentlicht
24. Juli 2019

Die Digitalisierung erfasst sämtliche Bereiche von Wirtschaft und Gesellschaft. Daher wird sich früher oder später nahezu jedes Unternehmen mit den Themen OT (Operational Technology), IIoT und Industrie 4.0 auseinandersetzen müssen. Sie bieten jedoch nicht nur ein immenses Potenzial – sie bergen auch grosse Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig und die Zahl der Malware und Exploits steigt kontinuierlich. Trotzdem zählen ICS-Infrastrukturen immer noch zu den am meisten unterschätzten Bereichen der Cyber Security. Was es braucht, sind ganzheitliche Ansätze wie die IEC 62443 Norm, um Cyber Security in der vernetzten ICS- und IACS-Welt zu etablieren.

Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter den Begriffen «Industrial Control Systems» (ICS) oder «Industrial Automation & Control Systems» (IACS) – werden in nahezu allen Infrastrukturen eingesetzt, die physische Prozesse abwickeln. Dies reicht von der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik, Fahrzeugleittechnik, modernem Gebäudemanagement etc. Mit ICS werden aber auch Business-Bereiche miteinander vernetzt, welche bislang voneinander unabhängig waren. In der Vergangenheit wurden Produktionsumgebungen (Operational Technology; OT) in der Regel als Offline-Insellösung geplant und gebaut. Viele dieser Insellösungen werden nun «modernisiert» und auf digitale Kommunikation getrimmt. Das Thema Sicherheit wird dabei in den seltensten Fällen ausreichend betrachtet. Gründe dafür sind nicht nur die Vorteile der digitalen Integration, sondern auch die Sorge um Wettbewerbsfähigkeit und bestehende Investitionen in Produktionsanlagen. Nachvollziehbar, aber womöglich mit fatalen Folgen…

Wie wir alle wissen, ist kein digitales System absolut sicher – insbesondere nicht Maschinen und Steuerungen, die eigentlich nicht für eine Kommunikation mit Systemen ausserhalb des eigentlichen Einsatzfeldes entwickelt wurden. Deshalb sind auch ICS zunehmend denselben Cyberangriffen ausgesetzt, wie dies in der konventionellen IT der Fall ist. Unternehmen mit ICS-Infrastrukturen müssen sich angesichts einer zunehmenden Häufigkeit von Vorfällen und neu entdeckten Schwachstellen dringend dieser Thematik annehmen. Das Risiko und Schadenspotenzial muss berücksichtigt werden – sowohl von nicht-zielgerichteter Schadsoftware als auch von gezielten, professionellen und aufwändig durchgeführten Angriffen gegen ICS-Infrastrukturen. Dies gilt sowohl für Infrastrukturen, die unmittelbar mit dem Internet verbunden sind, als auch für diejenigen, welche auf mittelbarem Wege durch Cyberangriffe attackiert werden können. Trotzdem finden grundlegende Sicherheitsprinzipien, die man schon seit Jahren als Best Practice in der traditionellen IT erachtet, oft den Weg nicht in OT-Systeme.

Bedrohungen für ICS-Infrastrukturen

Risiken resultieren aus Bedrohungen, die aufgrund von Schwachstellen Schaden verursachen können – sowohl Ihrer ICS-Infrastruktur als (folglich) auch Ihrem Unternehmen. Das BSI hat zu Jahresbeginn (Version 1.3, Januar 2019) die kritischsten und am häufigsten auftretenden Bedrohungen für ICS veröffentlicht:

  1. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
  2. Infektion mit Schadsoftware über Internet und Intranet
  3. Menschliches Fehlverhalten und Sabotage
  4. Kompromittierung von Extranet und Cloud-Komponenten
  5. Social Engineering und Phishing
  6. (D)DoS-Angriffe
  7. Internet-verbundene Steuerungskomponenten
  8. Einbruch über Fernwartungszugänge
  9. Technisches Fehlverhalten und höhere Gewalt
  10. Kompromittierung von Smartphones im Produktionsumfeld

Ausgehend von den meisten dieser Cyberattacken kann sich ein Angreifer durch Folgeangriffe sukzessive im Unternehmen ausbreiten. Dazu gehören das Auslesen von Zugangsdaten zur Erweiterung von Rechten, der unberechtigte Zugriff auf weitere interne Systeme (nicht nur in der OT), der Eingriff und die Manipulation der Feldbus-Kommunikation oder auch die Manipulation von Netzwerkkomponenten – sei es zwischen den Netzwerkzonen oder am Perimeter. Erschwert kommt hinzu, dass oftmals organisatorische Mängel, Unkenntnis oder menschliches Fehlverhalten Angriffe begünstigen. Dadurch steigt auch das Risiko von Folgeangriffen. Durch diese Mängel werden auch die Erkennung von Angriffen und die Bereinigung sowie Wiederherstellung der Systeme nach einem erfolgreichen Angriff erschwert. Die möglichen Schadensfolgen sind ebenfalls vielseitig und können durchaus als äusserst kritisch bewertet werden. Das sind unter anderem:

  • Verlust der Verfügbarkeit des ICS / Produktionseinbussen
  • Datenabfluss / Verlust von Know-how (Intellectual Property)
  • Herbeiführen von physischen Schäden an Anlagen
  • Auslösen von Safety-Prozeduren oder Beeinträchtigung von Safety-Systemen
  • Minderung der Qualität der Erzeugnisse

Vertrauen ist in der OT-Welt entscheidend

Trotzdem werden Security und Safety oftmals immer noch als voneinander getrennte Welten betrachtet, was zu einem Ungleichgewicht führt. Während für die Safety klare Richtlinien gelten und aufwändige Assessments durchgeführt werden müssen, wird das Thema Security stark vernachlässigt. Mit ICS oder IIoT (Industrial Internet of Things) entwickeln sich die Produktionsumgebungen jedoch in eine offene «OT-Welt» (Operational Technology), in der kritische Systeme nicht mehr isoliert sind. So hängt der Erfolg von Industrie 4.0 nicht zuletzt von der Sicherheit ab. Ein wichtiger Aspekt dabei ist auch das Vertrauen der Kunden und Partner, welche im Gegensatz zu früher diesbezüglich affiner geworden sind. Denn ohne Vertrauen sind keine langfristigen Geschäftsbeziehungen möglich, weshalb Sicherheits- und auch Datenschutzfragen geklärt sein müssen.

IEC 62443 – diese Norm sollten Sie als Betreiber von ICS-Infrastrukturen kennen

IEC 62443 befasst sich mit der Cyber Security von Industrial Automation & Control Systems (IACS). Dieser Begriff steht dabei für alle Bestandteile wie Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Neben den erwähnten Bestandteilen zählen ebenso Softwarekomponenten, Anwendungen und organisatorische Teile dazu. Die Norm ISA/IEC 62443 ist somit ein ganzheitlicher Ansatz für Industrial Security im Produktions- und Automatisierungsbereich. Alle ISA-62443-Standards und technischen Berichte sind in vier Kategorien unterteilt:

  • Allgemein: Hier werden die grundsätzlichen Begriffe, Konzepte und Modelle beschrieben.
  • Richtlinien und Verfahren: Beschreiben neben technischen Vorgaben für die IT-Sicherheit von Steuerungsanlagen ein System zum Management industrieller Cyber Security. Hier existiert ein enger Bezug zur ISO 27000-Reihe. Wenn Sie also ein Informationssicherheits-Management-System (ISMS) nach ISO 27001 im Einsatz haben, ergeben sich viele Synergien mit IEC 62443-2. Das Grundziel ist auch hier die kontinuierliche Verbesserung der Security durch Bewertung der Risiken und Vorgaben für Prozesse und Organisation.
  • Systeme: Hier werden verschiedene Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen beschrieben. Vor allem werden die Schwerpunkte um die Fertigungs- und Prozessautomatisierung behandelt. Das beinhaltet somit auch Themen wie die Steuerung und Überwachung von kontinuierlichen oder diskreten Herstellungsprozessen.
  • Komponenten: Hier werden die Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung beschrieben.

«Defense-in-depth»-Ansatz

IEC 62443 basiert dabei auf dem «Defense-in-depth»-Ansatz. Dieses im Militär verbreitete Prinzip soll sicherstellen, dass ein Angreifer – oder in unserem Fall auch ein anderweitig ausgelöster Störfall – sich nicht durch das Aushebeln einer einzigen Massnahme ungehindert ausbreiten und Schaden anrichten kann. Für die durchdachte Umsetzung eines Sicherheitskonzepts ist eine Verbesserung der Sicherheitsfunktionen aller beteiligten Systeme, Produkte und Lösungen notwendig. Aber auch Richtlinien, Prozesse und letztendlich das Betriebspersonal müssen angemessen betrachtet werden, damit verschiedene Schutzschichten etabliert werden können. Wird eine Schicht umgangen, bietet die nächste weiterhin Schutz. Dies ist insbesondere bei industriellen Netzen sinnvoll. Denn oftmals sind die beteiligten Systeme und Komponenten aufgrund fehlender Updates nicht auf einem aktuellen Sicherheitsstand.

IACS-Sicherheit – ein Zusammenspiel von drei Parteien

Zudem identifiziert die Norm drei Instanzen, die im Rahmen von industriellen Betriebsprozessen Einfluss nehmen. Dies sind die Geräte- und Maschinenhersteller, die Systemintegratoren sowie die Betreiber der Anlagen. Diese Instanzen übernehmen dabei verschiedene Rollen. Dabei wird aber auch die Zusammenarbeit der Instanzen untereinander behandelt. Damit liefert die IEC 62443 einen ganzheitlichen Ansatz für mehr Sicherheit und berücksichtigt gleichzeitig die verschiedenen Player. Auf der Basis von IEC 62443 können Unternehmen die potenziellen Schwachstellen ihrer Steuerungs- und Leittechnik überprüfen und sinnvolle Schutzmassnahmen entwickeln.

IEC 62443 unterscheidet zwischen Sicherheits- und Maturitäts-Level

IEC 62443 adressiert dabei aber explizit, dass die Sicherheit von IACS mehr ist als eine rein technische Vorkehrung. Nur zu gut wissen wir, dass technische Vorkehrungen von den Mitarbeitenden oder in Betriebsprozessen umgangen und dadurch entkräftet werden. Daher unterscheidet die Norm zwischen den funktional-technischen «Security-Levels» und dem Reifegrad der organisatorischen Prozesse und Mitarbeitenden, dem «Maturity-Level». Mit den Security-Levels können Systeme, Netze und Komponenten hinsichtlich ihrer IT Security bewertet werden. Die Maturity-Levels behandeln hingegen die prozessuale Einhaltung organisatorischer Richtlinien. Durch die Kombination aus den beiden Betrachtungsweisen ergibt sich ein umfassendes Sicherheitskonzept, das weitaus mehr Schutzpotenzial bietet als die rein technische Betrachtung.

Sicherheit mit System, Verantwortung und Kompetenz

Sie sehen: Ein Grund mehr, weshalb Cyber Security weit oben auf jeder Agenda stehen sollte. Wer sich mit ICS-Infrastrukturen resp. Industrie 4.0 beschäftigt, muss sich zwingend auch mit dem Thema Sicherheit auseinandersetzen. Internationale Standards bieten anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung auf Basis eines Informationssicherheits-Management-Systems (ISMS). Dazu gehören beispielsweise der erwähnte IEC 62443-Standard, die ISO/IEC 270xx-Reihe-Familie oder das Cyber Security Framework von NIST – auch als IKT-Minimalstandard bekannt. Soll im Zusammenhang mit Industrie 4.0 ein ISMS etabliert werden, ist ein ganzheitlicher Ansatz erforderlich, der die traditionelle IT-Landschaft, die Entwicklung und die Produktions-IT (OT) umfasst.

Unternehmensübergreifendes Sicherheitsverständnis

Für die Sicherheit und ein nachhaltiges Risikomanagement ist es unabdingbar, dass ein Unternehmen seine kritischen und schützenswerten Assets kennt. Dazu gehören beispielsweise Anlagen und Maschinen, Produktionsprozesse und -verfahren oder Daten über Fertigungsparameter, Rezepturen und Prozess-Know-how. Diese kritischen und schützenswerten Assets sind entsprechend zu dokumentieren und in regelmässigen Abständen zu aktualisieren. Dabei gilt es, die möglichen Bedrohungen und Zusammenhänge für die einzelnen Assets aufzuzeigen. Anhand der Eintrittswahrscheinlichkeit und dem möglichen Schadensausmass werden die Kritikalität, der Schutzbedarf und die Massnahmen abgeleitet. Im Kontext von IIoT und Industrie 4.0 braucht es hierzu ein unternehmensübergreifendes Verständnis und eine einheitliche Klassifizierung der Daten. Nur so können über die Unternehmensgrenze hinweg die Sicherheit garantiert und Missverständnisse beseitigt werden.

Segmentieren, identifizieren und authentisieren

Technologisch liegt einer der Schlüssel für effektive Cyber Security in einer geeigneten Authentisierung, Architektur und der Zonierung bei Industrie 4.0-Netzwerken. Die Segmentierung in der Produktions-IT beschreibt häufig eine vertikale Trennung. Anlagen-Subnetze lassen sich dagegen auch horizontal trennen. Zonen mit einem ähnlichen Schutzbedarf müssen identifiziert und mit technischen Mitteln voneinander separiert werden. Dabei gilt es, verschiedene Verteidigungslinien (Lines of Defense resp. Defence-in-depth) aufzubauen. So können die Daten und Anlagen dank einer Segmentierung der Umgebungen, Datenströme und Betriebsprozesse geschützt sowie gleichzeitig die Zonenübergänge überwacht werden.

Sichere Identitäten sind der Start der Vertrauenskette in der automatisierten Kommunikation. Jeder am Wertschöpfungsnetzwerk beteiligte Kommunikationspartner benötigt eine individuelle (sichere) Identität, die eine eindeutige Identifizierung und gegebenenfalls Authentifizierung erlaubt. In der IT ist Identitäts-Management heute bereits gängige Praxis. Dieses Identitäts-Management muss auf die Produktion ausgeweitet und über die Unternehmensgrenzen hinaus gewährleistet werden. Nur so lässt sich die Sicherheit in der hochvernetzten ICS-Systemlandschaft gewährleisten. Sowohl bei der Segmentierung als auch beim Identitäts-Management gilt es, sich an den bewährten Best-Practice-Ansätzen zu orientieren und diese zu adaptieren.

Lieferanten und Partner in der Wertschöpfungskette

Analog zur traditionellen IT-Landschaft müssen auch bei ICS-Infrastrukturen alle Lieferanten- und Partner-Systeme in der Wertschöpfungskette inventarisiert und dokumentiert werden. Auf dieser Basis können dann Regeln zur Einbringung von Softwareupdates oder neuer Software- und Hardwarekomponenten aufgestellt werden. Der Hersteller ist verantwortlich für Entwicklung, Vertrieb und Pflege der Komponenten. Der Integrator verantwortet das Design und die Inbetriebsetzung der Automatisierungslösung. Der Betreiber ist verantwortlich für den Betrieb und die Wartung der Automatisierungslösung sowie den Abbau der Anlage am Ende des Lebenszyklus. Aufgrund der oft langen Lebenszeit einer industriellen Anlage und der problematischen Patch-Situation, muss bei der Planung und der Implementation einer ICS-Infrastruktur ein höheres Mass an Sicherheit vorgesehen werden. Bestehende Anlagen werden gegebenenfalls erst im Rahmen von Veränderungen oder Erweiterungen nachgerüstet.

Hierbei empfiehlt es sich, gegenüber den Lieferanten und Partnern in der Wertschöpfungskette klare Sicherheitsvorgaben zu stellen und ein gezieltes Supplier Risk Management aufzubauen. Denn Sicherheitslücken in der Wertschöpfungskette können schnell zu einem Sicherheitsrisiko für alle beteiligten Parteien werden. Gleichzeitig sollten nicht genutzte Dienste und Funktionen von Hard- und Softwarekomponenten deaktiviert und so gehärtet werden. Lieferanten sollten deshalb eine entsprechende Dokumentation für die gelieferten Komponenten und der implementierten Sicherheitsmechanismen zur Verfügung zu stellen. Vor der Inbetriebnahme neuer Systeme und auch im Betrieb sollten Komponenten und Infrastrukturen getestet und beispielsweise durch einen Penetration Test überprüft werden.

ICS & IACS Security ist ein Optimierungsprozess

ICS-Sicherheit ist keine einmalige Angelegenheit, da sich die Risikosituation stetig ändert. Unternehmen müssen kontinuierlich die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv, unter Berücksichtigung von neuen Bedrohungen und Schwachstellen, optimieren und verbessern – genau, wie es auch die Norm IEC 62443 vorsieht. Wichtige Elemente einer Security Governance beinhalten deshalb Risk Assessments, organisatorische Audits, System Security Testing, Penetration Tests und Vulnerability Scans. Gleichzeitig sollten Betreiber von ICS-Infrastrukturen jederzeit in der Lage sein, Sicherheitsvorkommnisse zu erkennen, gezielt darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren (Stichwort Cyber Resilience). Die Sicherstellung der Verfügbarkeit steht in Produktionsumgebung an oberster Stelle.

OT-Sicherheit ist also kein Thema, dem man sich irgendwann hinterher widmet ‒ womöglich erst, wenn ein Vorfall eingetreten ist. Wer sich mit Industrie 4.0 beschäftigt, muss sich zwingend auch mit Cyber Security auseinandersetzen. Denn nur so kann das Vertrauen über die Unternehmensgrenzen hinweg bei allen beteiligten Parteien aufgebaut werden.

Artikel teilen