Industrial Security
29.05.2018

Security stärker in den Fokus rücken

Im Zuge der weiteren Umsetzung des Industrie-4.0-Gedankens und der damit verbundenen zunehmenden Vernetzung wird auch das Thema Security immer wichtiger. Wie schätzen Unternehmen die aktuelle Bedrohungslage ein, welche Ansätze gibt es, wie sehen konkrete Lösungswege aus und welche weiteren Wege beschreiten Security-Anbieter? Ein kleiner Überblick.

Die größte Bedrohung für Industrie 4.0 ist die Infektion mit Schadsoftware (Bild: VDE)

In der Industrie 4.0 schaffen vernetzte Sensoren, Aktoren, Maschinen und Anlagen neue Angriffsflächen für Cyber-Kriminelle. Auf der Hannover Messe hat der VDE deshalb eine Warnung an die Industrie ausgesprochen, dass global vernetzte Produktionen besser vor ­Cyber-Angriffen geschützt werden müssen. Hier wurde auch der VDE Tec Report 2018 vorgestellt. Als die größten Gefahren werden darin Infektionen mit Schadsoftware, Erpressung mittels Trojanern oder Ransomware, Einbrüche über Fernwartungszugänge und nicht zuletzt menschliches Fehlverhalten aufgeführt. Die im Rahmen des VDE Tec Reports 2018 durchgeführte Befragung fand unter den 1.350 Mitgliedsunternehmen und Hochschulen der Elektro- und Informa­tions­technik des VDE statt.

„Produktionsbetriebe brauchen modernste, hochflexible IT-Sicherheitsmaßnahmen, um die Vorteile der Industrie 4.0, wie Effizienzgewinne, flexiblere Fertigung oder ,Localized Production on Demand‘, voll ausschöpfen zu können“, sagte VDE-CEO Ansgar Hinz während einer Pressekonferenz in Hannover. In der Umfrage geben 68 % der Befragten an, dass die Infektion mit Schadsoftware die größte Bedrohung für Industrie 4.0 ist. Fast die Hälfte der Unternehmen und Hochschulen (49 %) betrachten „Einbrüche“ über Fernwartungszugänge als ernsthafte Bedrohung. Nach den Ergebnissen der Umfrage waren vier von zehn Unternehmen und Hochschulen bereits von Cyber-Attacken betroffen. Weitere vier von zehn Befragten wissen nicht, ob sie angegriffen worden sind. „Der VDE geht davon aus, dass die Dunkelziffer betroffener Unternehmen und Hochschulen sehr hoch ist“, sagte A. Hinz.

Ein Grundproblem ist laut Umfrage, dass Cyber Security in den Organisationen immer noch als Kos­tentreiber und nicht als Notwendigkeit gesehen wird. Dieser Aussage stimmt fast jeder dritte Befragte zu. „Systemische Cyber Security muss ein fester Bestandteil der Führungsaufgabe jedes Unternehmers sein“, so A. Hinz.
Das ist aber nicht immer einfach umsetzbar: Zwar gaben 61 % der Befragten in der Umfrage an, ihre Investitionen in die Abwehr von ­Cyber-Attacken steigern zu wollen. Allerdings stoßen viele Organisationen angesichts der zunehmenden Komplexität des Themas offenbar an ihre Grenzen: 79 % der Befragten sind davon überzeugt, dass viele Unternehmen aufgrund der wachsenden Anforderungen an die IT-­Sicherheit finanziell und personell überfordert sind.

Wannacry und Notpetya hätten verhindert werden können

Wie sollten Unternehmen nun also vorgehen, um die passende Secu­rity-Lösung zu finden? Diese Frage beantwortet Marcel Kisch, weltweiter Leiter IBM Security Manufacturing IoT, pauschal mit: „Die eine, beste Lösung gibt es nicht.“ Er ­verdeutlicht: „In der Regel sind ­einzelne Sicherheitslösungen nur für bestimmte Stadien innerhalb des Wirkungsbereichs geeignet. Einige wenige, besonders effektive Lösungen integrieren und automa-tisieren Sicherheitsmaßnahmen über mehrere dieser Phasen. Es werden allerdings immer auch etablierte Sicherheitsrichtli­nien und -prozesse benötigt, damit eingesetzte Technologien effektiv und nachhaltig arbeiten können.“ Er weist darauf hin, dass in OT-Umgebungen jede aktive Sicherheitsmaßnahme ein erhebliches Risiko für die Verfügbarkeit und Aktualität von Betriebsprozessen darstellen kann. „Jedes Sicherheits-Patching stellt hier eine zusätzliche Herausforderung dar: Jeder Patch muss vom Hersteller überprüft und genehmigt werden, um sicherzustellen, dass es keine ungewollten Nebeneffekte auf die Prozesssteuerung gibt. Werden Anlagen und Systeme ohne Herstellerfreigabe verändert, führt das häufig zu einem Verlust des Supports und der Systemzertifizierung – nicht ohne Grund, denn es könnten systemrelevante Funktionen betroffen sein.“ Es gibt aber auch andere Wege, um OT-Umgebungen auf Angriffe vorzubereiten. „Statt etablierte IT-Sicherheitsverfahren eins zu eins auf OT-Umgebungen zu übertragen, sollten sogenannte kompensierende Sicherheitsmaßnahmen berücksichtigt werden“, rät er.

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) sollten innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. „Im besten Fall sind die Sicherheitsmaßnahmen in Anlehnung an eine abgestimmte und regelmäßig aktualisierte IT- und OT-Sicherheitsstrategie festgelegt worden“, so M. Kisch.

(Bildquelle: IBM)

 

Zudem sollten verschiedene Sicherheitsstufen eingeführt werden und nur Systeme innerhalb einer bestimmten Sicherheitsstufe mit-einander kommunizieren dürfen. „Jegliche Kommunikation – insbesondere zwischen IT und OT – und relevanter Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden“, sagt der Experte. Er rät, für eine fundierte Risikoanalyse zudem ein Archiv über alle IT- und OT-Bestände (Assets) zu führen, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Back-up-Daten hinterlegt sind.

Präventive Sicherheitsmaßnahmen

In ihrer Analyse der bekannten Vorfälle Wannacry, Notpetya und Industroyer haben die IBM-Experten herausgefunden, dass alle bisher dokumentierten Angriffe auf Maschinen über die mit der OT verbundenen IT-Infrastrukturen in das ­Anlagennetzwerk gelangten. „Durch angemessenes Patching der ­IT-Komponenten, hätten Unternehmen den Attacken von Wannacry und Notpetya bereits Einhalt gebieten können“, meint M.?Kisch. Dabei sei der Aufwand überschaubar. „Relevante Patches können in ­IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das, wie beschrieben, jedoch mitunter nicht möglich“, berichtet er. Aus diesem Grund hat IBM neben einer Lösung für IT auch eine Patch-Management-Version für OT-Systeme ent-wickelt, die von ihrem Business-Partner Verve Industrial angeboten wird. Die Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. „Sowohl IBM Big-Fix für IT als auch Verve für OT lassen sich im Übrigen auch in IBMs zentrale Security Intelligence ,QRadar SIEM, Security Information and Event-Management‘ integrieren“, so M. Kisch. In dieser Kombination decken beide Lösungen folgende Security-Optionen ab:

  • Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;
  • Schwachstellen beseitigen, wenn ein Patch vorliegt;
  • anfällige Dienste erkennen und gegebenenfalls deaktivieren, bzw. Informationen zur tatsächlichen Bedrohungslage erhalten;
  • Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;
  • methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.

„Normalerweise sind zen­trale SIEM-Systeme dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und – basierend auf vordefinierten Regeln – Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cybergefahren erkennen können“, sagt M. Kisch. Dazu zählen auch IBM Big-Fix für IT und Verve für OT. Sie helfen, Bedrohungen schnell zu erkennen, in dem sie anomales Prozessverhalten registrieren und selbst unbekannte und Zero-Day-Bedrohungen identifizieren.  

Korrektive Maßnahmen

Aktuelle Patch-Anwendungen können Angriffe, die auf bereits bekannte Sicherheitslücken abzielen, erkennen und potenziell unterbrechen. „In einem üblichen Szenario wären Wannacry und Notpetya vermutlich rechtzeitig identifiziert – wenn auch nicht verhindert – worden. Ein modernes SIEM-System hätte zusätzlich gewarnt, sodass laufende Aktionen gestoppt und weitere Zugriffsversuche verhindert worden wären“, sagt der Security-Experte. So ist die Endpoint-Lösung von IBM und Verve beispielsweise fähig, Systemänderungen nahezu in Echtzeit zu erkennen und das System manuell in den ursprünglichen Zustand zurück zu versetzen. „Korrektive Maßnahmen werden in OT-Netzwerken nur dann eingesetzt, wenn der Sicherheitsprozess garantiert funktioniert – andernfalls ist das Risiko ungewünschter Nebeneffekte, wie Prozessunterbrechungen, zu groß“, erklärt er weiter.

Incident Response

Eine weitere Möglichkeit stellt Incident Response dar. Sie zielt darauf ab, auf einen Vorfall möglichst schnell zu reagieren. Kann Schadcode nicht zeitnah erkannt werden, muss die Analyse gegebenenfalls nachträglich erfolgen. „Das Potenzial, Angriffe nachträglich zu identifizieren, ihren Angriffsweg und -zeitpunkt nachzuverfolgen und poten­ziell gefährdete Systeme zu verorten sowie eine schnelle Rückkehr in den Regelbetrieb aufzunehmen, trägt wesentlich zur Reduzierung von Kosten eines Angriffs bei“, weiß der Experte. „Insbesondere bei gezielten Angriffen kann die forensische Analyse die erste, letzte und einzige Möglichkeit sein, einen Sicherheitsverstoß überhaupt zu identifizieren.“

Endpunkt-Lösungen schließlich unterstützen eine ganze Reihe von Response-Maßnahmen: Von der Geräte- und Dateiquarantäne (Wannacry, Notpetya) bis hin zum kompletten Prozessabbruch im Fall von Industroyer. Aber auch hier gilt: „Es sollten Reaktionspläne in der Schublade liegen, die regelmäßig überprüft werden. Die Verantwortlichen müssen damit umgehen können und in der Lage sein, schnell auf Zwischenfälle zu reagieren“, sagt M. Kisch.

Und als letzte mögliche Maßnahme nennt er: „Die Wiederherstellung. Protokolle, Konfigurationen, Firmware und Daten sollten in jedem Fall gesichert werden. Das Back-up sollte archiviert und die Mitarbeiter jederzeit in der Lage sein, Wiederherstellungsprozesse durchzuführen.“

Abschließend stellt er heraus: „Natürlich sind nicht alle Angriffe immer vermeidbar, insbesondere wenn sie sehr intelligent und ausgeklügelt durchgeführt werden. Allerdings gibt es in jedem Fall Alarmzeichen, mit denen Cyberattacken schneller erkannt und auch gestoppt werden können. Dazu ­müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen, zu denen auch automatische OT-System-Updates und der Einsatz von SIEM-Systemen gehören, getroffen werden.“

Sichere Fernwartungslösung

Nach diesem allgemeinen Überblick sollen nun Fernwartungslösungen etwas genauer betrachtet werden. So erachten laut dem VDE Tec Report 2018 49 % der befragten Unternehmen und Hochschulen „Einbrüche“ über Fernwartungszugänge als ernsthafte Bedrohung. Allerdings zählt Fernwartung (Remote Monitoring?&?Predictive Maintenance) zu den bedeutenden Dienstleistungsangeboten, die auf global vernetzten Betriebsmitteln und Anlagen basieren. Das Beispiel des Werkzeugmaschinenherstellers Komet Group zeigt, wie die Sicherheitsexperten von Genua eine einheitliche und sichere Fernwartungslösung etabliert haben.  
Ausgangssituation bei Komet war eine Produktion mit mehr als 90 Maschinen verschiedener Hersteller. Für die Fernwartung der einzelnen Maschinen wollte sich jeder Hersteller mit seiner speziellen Fernwartungslösung in das Komet-Produktions-Netzwerk einwählen. Dem Vorteil einer hohen Maschinenverfügbarkeit standen unwägbare Sicherheitsrisiken und ein hoher Verwaltungsaufwand entgegen. Deshalb sollte eine für alle Maschinenhersteller einheitliche, sichere und effiziente Fernwartungslösung eingeführt werden. Als Anforderungen an eine solche definierte Komet:

  • sie muss der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur ­Cyber-Sicherheit entsprechen: Jeder externe Zugriff muss über eine verschlüsselte Verbindung erfolgen und im Detail dokumentierbar sein,
  • einfaches Handling,
  • deutschsprachiger 8/5-Support des Herstellers,
  • Administration des Managements der Lösung über eine Webkonsole oder einen Webclient und
  • keine gesonderte Installation der Anwendung auf dem Support-PC.

Mit diesem Anforderungsprofil wurden verschiedene Angebote eingeholt. „Wir haben drei Lösungen in die engere Wahl genommen, wobei uns das Konzept von Genua mit einer Rendezvous-Lösung am meisten überzeugt hat“, berichtet Stephan Rupp, IT-Systemmanager bei der Komet Group. Genua ist IT-
Sicherheitsspezialist für die Absicherung sensibler Schnittstellen im Behörden- und Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen. Alle Produkte werden in Deutschland entwickelt und produziert. Bei seiner Fernwartungslösung setzt das Unternehmen auf einen zentralisierten Ansatz mit einem Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall des Maschinenbetreibers installiert ist. Über diesen laufen alle Service- und Wartungsverbindungen; einseitige Zugriffe in die Netze des Maschinenbetreibers sind nicht zugelassen. Zu einem verabredeten Zeitpunkt bauen sowohl der externe Wartungsservice als auch der Maschinenbetreiber Verbindungen auf. Erst mit dem Rendezvous auf dem Server entsteht die durchgängige Wartungsverbindung. Durch die Rendezvous-Lösung behält der Betreiber die vollständige Kontrolle über Wartungszugriffe auf Anlagen in seinem Netz. Für die Umsetzung der Lösung von Genua muss auf dem Support-PC keine gesonderte Software installiert werden.

Bei der Fernwartungslösung von Genua wird die Verbindung immer von innen heraus gestartet und alle Service- und Wartungsverbindungen laufen über einen sogenannten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) neben der Firewall installiert ist (Bildquelle: Genua)

 

Als zusätzliche Absicherung der installierten Anlagen hat Komet die Produktion in abgestufte Sicherheitszonen segmentiert. Für die unterschiedlichen Sicherheitsanforderungen wurden von Komet angepasste Netzwerksegmente mit eigenen Sicherheitsstufen und differenzierten Firewall-Regeln eingerichtet und durch VLAN umgesetzt. Die einzelnen Anlagen sind dadurch voneinander abgeschottet und vor außerplanmäßiger Einwirkung geschützt.

Unternehmensweite Nutzung

Ein wichtiges Element des einheit­lichen Fernwartungskonzepts war die Möglichkeit zur identischen Nutzung durch alle weiteren Produktionsstandorte der Unternehmensgruppe. Die Verteilung sollte von der deutschen Zentrale aus erfolgen, ohne aufwendige Vor-Ort-Anpassungen. Dies wurde durch einen automatisierten Installationsprozess realisiert. „Nachdem die standardisierten Fernwartungskomponenten im Standort aufgestellt waren, haben wir die Konfigura­tionsdatei erstellt und per sicherer VPN-Übertragung an den örtlichen IT-Mitarbeiter geschickt. Er hat die Datei auf einen USB-Stick übertragen und damit einen automatisierten Installationsprozess eingeleitet. Der Vorteil ist, dass der Mitarbeiter vor Ort keine Detailkenntnis über den Konfigurationsprozess benötigt“, so der IT-Systemmanager.

Als Vorteile nennt er: „Durch das zentrale Management sind Aktualisierungen und die Integration weiterer Maschinen sehr gut adminis­trierbar. Auch die Verteilung auf andere Produktionsstandorte können wir von der Zentrale aus managen.“ Nach erfolgreicher Installation wird bei der ersten Wartungsverbindung über das zentrale Management automatisch überprüft, ob die Software und die Maschinendaten noch aktuell sind. „Durch das zentrale Management sind Aktualisierungen und die Integration weiterer Maschinen sehr gut administrierbar. Wir nutzen das Berechtigungs- und Autorisierungskonzept, um den internen Maschinenführern und Meistern sowie den externen Servicekräften nur Zugriff auf die Anlagen in ihrem Zuständigkeitsbereich zu geben“, sagt er weiter.

Durch das zentrale Management sind bei der Genua-Lösung Aktualisierungen und die Integration weiterer Maschinen gut administrierbar. Auch die Vertei­lung auf andere Produktionsstandorte ist von der Zentrale aus managbar (Bildquelle: Genua)

Zufriedener Kunde

„Durch die sichere Fernwartung konnte die Verfügbarkeit der Maschinen verbessert und der Supportaufwand in der IT reduziert werden. Zudem ist die Produktion jetzt deutlich besser abgesichert und eine Network Access Control Appliance regelt den Netzwerkverkehr. Wird der Standort einer Maschine verändert, zieht das VLAN mit um. Will ein bisher unbekanntes Device darauf zugreifen, wird es automatisch in ein Quarantäne-VLAN verschoben und kann gegebenenfalls eingeschränkte Gastrechte zugeteilt bekommen“, fasst S. Rupp abschließend zusammen.

Gemeinsame Wege

Neben den genannten Unternehmen hat sich mittlerweile eine Vielzahl an Unternehmen aufgemacht, das Thema Security aktiv nach vorn zu treiben. Oftmals werden dazu auch Partnerschaften geschlossen. Ein Beispiel stellt die Anfang des Jahres auf der Münchner Sicherheitskonferenz geschlossene „Charter of Trust“ dar. Die von Siemens initiierte Charta für mehr Cybersicherheit fordert verbindliche Regeln und Standards, um Vertrauen in die Cybersicherheit aufzubauen und die Digitalisierung weiter voranzutreiben. Ebenfalls mit dabei: Airbus, Allianz, Daimler, IBM, die Münchner Sicherheitskonferenz, NXP, SGS und Deutsche Telekom. In der Charter wurden zehn Handlungsfelder definiert, in denen Politik und Unternehmen gleichermaßen aktiv werden sollen. So fordert das Dokument, die Verantwortung für Cyber-Sicherheit auf höchster Regierungs- und Unternehmens­ebene zu verankern und dort ein eigenes Ministerium sowie einen Chief Information Security Officer einzuführen. Zudem sollen verpflichtende, unabhängige Zertifizierungen durch Dritte für kritische Infrastrukturen im Internet der Dinge etabliert werden. Sicherheits- und Datenschutzfunktionen sollen künftig in Technologien vorkonfiguriert und ­Regeln zur Cybersicherheit ein Teil von Freihandelsabkommen sein.

Ebenfalls gemeinsame Wege beim Thema Cybersicherheit gehen das Leipziger Technologieunternehmen Rhebo GmbH und die T-Systems Multimedia Solutions GmbH. Mit dieser Partnerschaft erweitert die Telekom-Tochter ihr Portfolio um Anomalieerkennung von Rhebo erweitert die Telekom-Tochter ihr Portfolio für zukunftsfähige, effi­ziente Technologien im Bereich Industrie 4.0, IoT und Netzwerksicherheit. „Wir kennen die Herausforderungen an komplexe, inter­aktive Netzwerke sehr genau. Als zukunftsorientierter und starker Technologiepartner möchten wir unseren Kunden deshalb effiziente Lösungen bieten, welche die He­rausforderungen in Bezug auf Netzwerkverfügbarkeit und Cyber-Sicherheit in der Industrie 4.0 bestens adressieren“, erklärt Thomas Rahm, Senior Manager für Business Development bei T-Systems Multimedia Solutions, die Zusammenarbeit. „Mit Rhebo haben wir einen innovativen deutschen Hersteller als Partner gewonnen, der unseren Industriekunden ein umfassendes Network Condition Monitoring bietet, um die Anlagenverfügbarkeit, Cyber-Sicherheit und Kon-tinuität der Industrieprozesse zu gewährleisten.“

In einem ersten Schritt wurde die industrielle Anomalieerkennung Rhebo Industrial Protector von T-Systems Multimedia Solutions sowohl in der Industrie-4.0-Modellfabrik der HTW Dresden als auch in einer Muster-Verpackungsanlage von Festo Didactic integriert. In der Industrie-4.0-Modellfabrik erforscht und evaluiert die Dresdner Hochschule IoT-Lösungen im Fertigungsumfeld. Beide Installationen werden von T-Systems Multimedia Solutions als Showroom genutzt, um ihren Kunden die neuen Technolo­gien und Herausforderungen der ­Industrie 4.0 näher zu bringen. Sicherlich ein guter Schritt, um Interessenten näher an das Thema heranzuführen.

www.genua.de

www.ibm.com

www.rhebo.com

www.siemens.com

www.t-systems-mms.com

www.vde.com

Normen

DIN-VDE-Normen einfach online nutzen

Normen aus dem VDE VERLAG

» Mehr Informationen ...

Zum Schmunzeln

„Natürlich führe ich Selbstgespräche. Manchmal braucht man eben eine Expertenmeinung!“

Copyright © VDE VERLAG GMBH, zuletzt aktualisiert am 16.08.2018