Industrial-Security-Lösungen stehen vor der Herausforderung, über Hersteller-Hürden hinweg bestmöglichen Schutz zu liefern, ohne die laufende Produktion zu stören und dabei den Personalaufwand möglichst gering zu halten. Am besten funktioniert das, wenn bei der Lösung klassische IT-Security und OT-Security miteinander kooperieren.
Die neuen Gefahren aus dem Cyberraum
Industrielle Netze sind heutzutage genauso verwundbar wie jede klassische IT-Umgebung auch. Hinter Controllern (PLCs) und komplexen SCADA-Systemen werkeln Computer, auf denen Betriebssysteme laufen, die auch in Heim- und Office-Netzen zur Anwendung kommen - und die sind auch immer öfter mit dem Internet verbunden. Denn Produktionsstandorte kommunizieren längst global über TCP/IP miteinander.
Schwachstellen ohne Gegenmittel
Klassische Office-Netze werden für eine bestmögliche Abschottung nach außen stetig gepatcht. Das funktioniert bei industriellen Netzwerken häufig nicht, denn Produktionenstraßen mit hochspezialisierten Steuercomputern dürfen softwareseitig meist nicht verändert werden, um einen reibungslosen Betrieb zu gewährleisten. Erschwerend kommt hinzu, dass Produktionsmaschinen häufig über Jahrzehnte in Gebrauch bleiben.
Die pragmatische Lösung war für viele nun lange, die anfälligen Netze abzukapseln. So versuchten sie, das Nadelöhr zwischen Office- und Industrienetzen so klein wie möglich zu halten und die anfälligen Produktionsgeräte händisch zu erfassen und individuell nachzurüsten. Dieses Vorgehen ist jedoch schlecht skalierbar und bei einer Vielzahl an Geräten und Herstellern intransparent und zeitintensiv.
IoT-Security steht erst am Anfang
Die Folge ist, dass Exploits zum Teil jahrelang unentdeckt bleiben und zur globalen Gefahr mutieren. Industriespionage und Cyberwar-Angriffe durch Schadsoftware wie Stuxnet oder NotPetya haben zudem das Potenzial, komplette Produktionen lahm zu legen.
Industrielle Netzwerke richtig schützen
Eine solide IT-Security fußt auf gezielter Schadenseindämmung durch Separation. Es ist also nicht damit getan, nur eine Firewall zwischen Produktions- und Office-Bereich hochzuziehen. Abgerundet wird dieser Basisschutz durch das Konzept Principle of least privilege (POLP), wonach die Zugriffrechte der Nutzer auf das Nötige beschränkt werden.
Sind diese Voraussetzungen gegeben, können hochspezialisierte Industrie-Sicherheitslösungen integriert werden. Für einen ganzheitlichen Überblick der IT-Infrastruktur braucht es jetzt unbedingt ein Asset-Inventory und ein damit verbundenes Asset-Tracking und -Scanning.
Doch in der Industrie wird nicht gerne aktiv gescannt. Die Gefahr eines Produktionsausfalls durch den Absturz empfindlicher Software ist zu hoch. Maßgeschneiderte Lösungen müssen somit von den Herstellern selbst erworben werden.
Eine vollwertige Industrial-Security-Lösung sollte zentral und herstellerunabhängig funktionieren. Daher gehen wir mit unserem Li eferanten Tenable neue Wege. Dieser Security-Anbieter ist für Vulnerability Risk Management im klassischen IT-Sektor bekannt. Mit dem Kauf des Industrial-Security-Startups Indegy soll jetzt das Zusammenspiel zwischen IT-Security im Office- und Industrie-Segment erleichtert werden.
Intelligente Sensorinfrastruktur
Um das aktive Ansprechen der Produktionskomponenten im laufenden Betrieb zu umgehen, setzen wir mit Tenable auf passive Informationsbeschaffung. Eine Sensorinfrastruktur ermöglicht es, laufende Datenströme abzuzweigen und auszuwerten. Die dafür eingesetzten Spiegelports (Port-Mirroring) sind zur reinen Analyse gedacht und verzichten auf jegliche Manipulation des Netzes. Ein Ausfallrisiko für empfindliche Software gibt es somit nicht mehr.
Managed Security Services - nicht einfach, aber unumgänglich
Der Sensorik wird zudem angelernt, wie sich die Standardkonfiguration der jeweiligen Systeme darstellt. So können Anomalien, wie ein verändertes Verhältnis von Computerzugriffen auf Controller, schnell entdeckt und durch das Zurücksetzen auf den Urzustand annulliert werden.
Tenable bedient sich dafür aus dem umfangreichen Informationsfundus von Indegy, der alle namhaften Hersteller von Produktionsmaschinen umfasst. Er ermöglicht der Sensorik nicht nur die genaue Geräte-Kennzeichnung und Steuerkomponenten zu erkennen, sondern auch das native Kommunikationsprotokoll zu identifizieren und zu sprechen.
So ergibt sich eine reibungslose Kommunikation zwischen Sicherheitslösung und Controllern. Werden dann nicht nur Ports einzelner Industriestraßen, sondern auch zentrale Ports, an denen Industrie- und Officenetze zusammenlaufen, abgezweigt, kann auf großangelegte Angriffsmuster geprüft werden. Das Ziel ist nicht, eine Insellösung für ein autarkes IT-Netzwerk zu schaffen.
Vielmehr soll das Reporting zu Schwachstellen und Anomalien in den Industriebreichen in Echtzeit in die gleichen Metriken einfließen wie die der klassischen IT-Security. Der verantwortliche Administrator kann so alle Bereiche des Unternehmens zentral auf einer Oberfläche überwachen. Absolute Sicherheit bleibt zwar weiterhin ein Wunschtraum, aber die Möglichkeit schneller reaktiver Eindämmungsmaßnahmen verhindert schlimmstenfalls komplette und kostspielige Produktionsstillegungen.