Ausgabe Dezember 2020 | 17. Dezember 2020 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
Christian Müller
| 249 Besucher

Werden Cybergefahren für Industrieanlagen unterschätzt?

Diese Abwehrmaßnahmen und Sicherheitsvorkehrungen sollten Sie treffen



Angriffe auf die Operational Technology (kurz OT) nehmen durch die zunehmende Vernetzung der Systeme immer mehr zu. Ein Grund dafür ist, dass Standards und Protokolle größtenteils in den 70er und 80er Jahren entwickelt wurden, als IT-Sicherheit noch keine Priorität hatte. Hinzu kommt, dass eine Adaption von IT-Security Mechanismen in der OT nur bedingt möglich ist, da jegliche Software, die den Betrieb behindern könnte, von den Herstellern untersagt wird. In diesem Artikel wollen wir die Angriffsvektoren auf Industrieanlagen beleuchten und Abwehrmaßnahmen aufzeigen. Der Artikel gliedert sich hierbei in folgende Teilbereiche:

  • Design
  • Human Maschine Interface (kurz HMI)
  • Programmable Logic Controller (kurz PLC)
  • Protokolle
  • Vulnerability Management und Penetration Tests

Sicheres Design von Industrieanlagen

Es ist Best Practice, Industrieanlagen in separierten Netzwerksegmenten auszurollen, um die Angriffsvektoren zu minimieren. Ein Betrieb innerhalb der klassischen IT-Infrastruktur sollte hierbei nicht angestrebt werden. Leider werden derart grundlegende Vorgehensweisen bereits ignoriert, so dass Systeme teilweise auch direkt mit dem Internet verbunden und öffentlich einsehbar sind. Shodan hat dies sehr ansprechend in seinem ICS-Radar visualisiert und bietet auch eine dedizierte Suche für OT-Protokolle wie Modbus oder BACnet an. Aber auch Lieferanten von IIoT-Systemen umgehen gängige Sicherheitsdesigns, indem diese Router für eine VPN-Einwahl auf den Systemen ausliefern und direkt ans Internet koppeln. Diese befinden sich jedoch nicht in separierten Zonen und unterwandern meist gängige Sicherheitsstandards wie eine 2-Faktor-Authentifizierung oder die Protokollierung der Zugänge. Beides sind jedoch geforderte Maßnahmen in branchenspezifischen Sicherheitsstandard (B3S) oder der ISO 27001 Norm für IT-Sicherheit.

Die Purdue Enterprise Reference Architecture bietet hier eine Möglichkeit der Segmentierung, welche sich an den Bedürfnissen der Unternehmen orientiert, aber einen starken Sicherheitsfokus bietet. Hierbei werden Prozesse, wenn möglich, isoliert betrachtet und diese Systeme in einzelne Level untergliedert. Die Kommunikation ist nur mit dem nächst höheren/niedrigeren Level innerhalb des Prozesses zulässig. Andere Prozesse sind nur über ein übergeordnetes Management sichtbar. Der Bereich lokales Control Center umfasst hier:

  • Master Server
  • HMI
  • Speichersysteme für historische Daten

Der Bereich Side Wide Control ermöglicht die Kontrolle über alle lokalen Control Center und enthält auch Jump Hosts für die Verbindung aus externen Zonen, wie z.B. aus dem Office IT-Netzwerk. Es empfiehlt sich die DMZ nach Quelle bzw. Ziel zu unterteilen, um unterschiedliche Sicherheitsrichtlinien zu ermöglichen. Der Zugriff aus diesen Zonen darf jedoch nur über Jump Hosts erfolgen.
Hierbei handelt es sich um gehärtete Server oder Client-Systeme mit einem vordefinierten Set an Software, welche durch den Benutzer nicht verändert werden können. Optimal ist es, die Clients mittels VDI bereitzustellen und nach der Nutzung zu verwerfen und neu auszurollen. Für neu aufzubringende Software oder Updates ist ein Prüfprozess vorzusehen. Die Software sollte möglichst nicht durch Externe ins Netzwerk eingebracht werden. Die Abbildung 1 zeigt dieses Modell noch einmal grafisch. Die Segmentierung der Systeme kann hierbei auf vLAN Ebene erfolgen, so dass eine logische Trennung der Prozesse erfolgt und die Kommunikation über zentrale Gateways überwacht und geregelt werden kann. Zugriffe auf Netzwerkebene von nicht autorisierten und unbekannten Geräten sind hierbei zu unterbinden. Sofern die eingesetzten Switche dies unterstützen, können hierzu auch private vLANs zum Einsatz kommen, so dass die Anzahl an vLANs überschaubar bleibt.

Abbildung 1: Beispiel für ein sicheres Design gemäß Perdue Enterprise Reference Architecture

Human Machine Interface

Die HMI dienen der Interaktion mit den Controllern und ermöglichen Eingaben zur Steuerung der Prozesse. Diese zeigen meist Statusinformationen, bieten je nach Prozess aber auch Eingriffe in selbigen an. Hierbei ist darauf zu achten, dass Anpassungen am Bedienfeld, soweit diese möglich sind, nur durch privilegierte Nutzer durchgeführt werden können. Die täglichen Arbeiten durch das Bedienpersonal sollten aber nur mit normalen Nutzerrechten durchgeführt werden. Ansonsten kann es auch auf dieser Ebene zu Manipulationen kommen. Teilweise kommen hier windowsbasierte Systeme zum Einsatz. Da gängige Schutzmaßnahmen aufgrund von Herstellervorgaben nicht umsetzbar sind und Betriebssysteme teilweise veraltet sind, ist hier die oben genannte Segmentierung umso wichtiger.

Programmable Logic Controller

PLCs steuern die Aktoren und sammeln Informationen von Sensoren nach einem vorgegebenen Programmablauf. Die Ansteuerung erfolgt über Feldbus, serielle Schnittstellen oder IP. Für Angreifer bieten diese ein lohnendes Ziel, da hier direkt auf Protokollebene mit dem Zielsystem kommuniziert werden kann. Eine Validierung der Anfrage nach Sicherheitsaspekten erfolgt nur bei Einsatz neuerer Protokolle und wenn die notwendigen Einstellungen gesetzt sind. Dies ist jedoch selten der Fall. Somit können Angreifer an dieser Stelle Daten manipulieren, um Systeme zu sabotieren. Details hierzu werden im nächsten Abschnitt erläutert.

Protokolle

Es gibt eine Vielzahl an Protokollen zur Steuerung der PLCs, Sensoren und Aktoren. Die gängigsten Protokolle wie Modbus, HART oder Profinet wurden allerdings im letzten Jahrhundert entwickelt und bieten keinerlei Verschlüsselung, Authentifizierung oder Zeitstempel. Dies ermöglicht eine Vielzahl von Angriffsmöglichkeiten. Ein Beispiel sind Replay-Attacken, welche aufgezeichneten Datenverkehr wiederkehrend abspielen und so den Programmablauf des PLC stören. Dies kann in Einzelfällen bis zur Beschädigung der Anlage führen. So zum Beispiel wenn Pumpen aktiviert werden, wenn keine Flüssigkeit vorhanden ist. Neuere Protokolle wie z.B. IEC-104, MMS und ICCP bieten derartige Sicherungsmaßnahmen und sollten bei Anschaffungen von Neusystemen bevorzugt werden. In Abhängigkeit von den physischen Sicherheitsmaßnahmen gelten diese Angriffsvarianten auch für Feldbus und serielle Verbindungen.

Somit ist je nach Einsatzzweck auch der physische Zugriffsschutz relevant und sollte betrachtet werden. So sind z.B. kleine Verteilerstationen für Strom, Wasser, Abwasser oder auch Verkehrsregelanlagen selten mit Personal besetzt. Dementsprechend fallen auch Videoüberwachung und Zäune in eine mögliche Präventionsmaßnahme. Dies gilt für alle Level von Produktionssystemen.

Vulnerability Management und Penetration Tests

Um Schwachstellen aufzudecken, haben sich Penetration Tests und Schwachstellenscanner in der IT bewährt. Dieses Vorgehen sollte aber nicht 1:1 auf OT-Infrastrukturen angewendet werden, da hier sehr viel aktiver Traffic gegenüber den Systemen erzeugt wird, wofür diese nicht ausgelegt sind. Somit kann eine Schwachstellenüberprüfung zu einem kompletten Systemausfall führen, welcher einen Neustart der Anlage erfordert. Hier bietet sich ein Vorgehen aus folgenden Punkten an:

  • Design Review durch Security Experten
  • Sicherheitsbegehung vor Ort
  • Auswertung des Netzwerkdatenverkehrs
  • Penetration Tests und Schwachstellenscans ausgewählter Systeme

Bei den Penetration Tests und Scans sollte sich auf folgende Systeme konzentriert werden:

  • Gateways und Accesspoints mit Zugriff in das Produktionsnetz
  • Jump Hosts im Produktionsnetz
  • ICS Traffic welcher über öffentliche Netze transportiert wird
  • Neue Geräte vor der Inbetriebnahme
  • Test einzelner Geräte nach Absprache und Risikobewertung

Sie wollen mehr über die Absicherung von OT-Systemen erfahren oder wünschen eine Überprüfung Ihrer Sicherheitsmaßnahmen? Kontaktieren Sie uns.

 

 

Christian Müller
Autor:
Christian Müller | Technology Consultant
Website:
Bildquelle/Copyright: © tonton — shutterstock.com

Ausführliche Informationen auf unserer Website

SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Weihnachtliche Grüße von der SHD

Das zu Ende gehende Jahr war kein Jahr wie jedes andere vorher. Es war ein Jahr, das völlig anders als erwartet verlief und uns allen lange in Erinnerung bleiben wird. Die Corona Pandemie hat die Unternehmen und die Gesellschaft insgesamt mit ihren Höhen und Tiefen fast das ganz Jahr ...

289 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

SHD.ImPULS

Am 11.02.2021 findet ein weiterer SHD.ImPULS statt – unser neues, virtuelles und imPULSives Format rund um die Themen Prozessdigitalisierung, IT-Trends und Innovationen. Dieses außergewöhnliche Event richtet sich an Kunden, die bereits unsere Digitalisierungsplattform im Einsatz ...

262 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Gemeinsam bringen wir Weihnachten zum Leuchten

Die Weihnachtszeit ist eine Zeit der Familie, des gemütlichen Beisammenseins und der Geborgenheit im Kreise lieber Menschen. Nicht jeder hat die Möglichkeit, in diesem Rahmen die Festtage zu verbringen. Daher ist es SHD in diesem Jahr, das uns alle vor zusätzliche Herausforderungen ...

271 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Unsere Landingpage shd-managed-service.de hat ein neues Info-Center

In unserem Info-Center auf unserer Landingpage www.shd-managed-services.de erhalten Sie weiterführende Informationen zu diesem Thema. Sehen Sie sich Aufzeichnungen zu bereits stattgefundenen Webinaren an oder lesen Sie spannende Fachartikel, welche in unserer Kundenzeitschrift SHD.NEWS ...

412 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

SHD erhält erneut das Bonitätszertifikat von Creditreform

Am 11.12.2020 erhielt SHD zum zweiten Mal das Bonitätszertifikat von Creditreform. Vorausgegangen war eine genaue Jahresabschlussanalyse sowie eine ausführliche Befragung hinsichtlich der aktuellen Situation und den zukünftigen Perspektiven des Unternehmens. Durch die Zertifizierung ...

240 Besucher
SHD . NewsAlle Beiträge dieser Kategorie anzeigen

Was kommt 2021? “Wir müssen ein neues Verständnis von IT entwickeln”

Nicht nur die anhaltende Corona-Krise, sondern auch die IT in ihrer Dynamik selbst, führt zu tiefgreifenden Veränderungen, die insbesondere von Unternehmen schon heute ein Umdenken erfordern. Digitalisierung lautet das Schlagwort der Stunde. Und mit ihr verbunden werden sich neben der ...

282 Besucher