Industrial-Security-Lösungen stehen vor der Herausforderung, über Hersteller-Hürden hinweg bestmöglichen Schutz zu liefern, ohne die laufende Produktion zu stören und dabei den Personalaufwand möglichst gering zu halten. Am besten funktioniert das, wenn bei der Lösung klassische IT-Security und OT-Security miteinander kooperieren.
Die neuen Gefahren aus dem Cyberraum
Industrielle Netze sind heutzutage genauso verwundbar wie jede klassische IT-Umgebung auch. Hinter Controllern (PLCs) und komplexen SCADA-Systemen werkeln Computer, auf denen Betriebssysteme laufen, die auch in Heim- und Office-Netzen zur Anwendung kommen - und die sind auch immer öfter mit dem Internet verbunden. Denn Produktionsstandorte kommunizieren längst global über TCP/IP miteinander.
Schwachstellen ohne Gegenmittel
Klassische Office-Netze werden für eine bestmögliche Abschottung nach außen stetig gepatcht. Das funktioniert bei industriellen Netzwerken häufig nicht, denn Produktionenstraßen mit hochspezialisierten Steuercomputern dürfen softwareseitig meist nicht verändert werden, um einen reibungslosen Betrieb zu gewährleisten. Erschwerend kommt hinzu, dass Produktionsmaschinen häufig über Jahrzehnte in Gebrauch bleiben.
Die pragmatische Lösung war für viele nun lange, die anfälligen Netze abzukapseln. So versuchten sie, das Nadelöhr zwischen Office- und Industrienetzen so klein wie möglich zu halten und die anfälligen Produktionsgeräte händisch zu erfassen und individuell nachzurüsten. Dieses Vorgehen ist jedoch schlecht skalierbar und bei einer Vielzahl an Geräten und Herstellern intransparent und zeitintensiv.
IoT-Security steht erst am Anfang
Die Folge ist, dass Exploits zum Teil jahrelang unentdeckt bleiben und zur globalen Gefahr mutieren. Industriespionage und Cyberwar-Angriffe durch Schadsoftware wie Stuxnet oder NotPetya haben zudem das Potenzial, komplette Produktionen lahm zu legen.
Industrielle Netzwerke richtig schützen
Eine solide IT-Security fußt auf gezielter Schadenseindämmung durch Separation. Es ist also nicht damit getan, nur eine Firewall zwischen Produktions- und Office-Bereich hochzuziehen. Abgerundet wird dieser Basisschutz durch das Konzept Principle of least privilege (POLP), wonach die Zugriffrechte der Nutzer auf das Nötige beschränkt werden.
Sind diese Voraussetzungen gegeben, können hochspezialisierte Industrie-Sicherheitslösungen integriert werden. Für einen ganzheitlichen Überblick der IT-Infrastruktur braucht es jetzt unbedingt ein Asset-Inventory und ein damit verbundenes Asset-Tracking und -Scanning.
Doch in der Industrie wird nicht gerne aktiv gescannt. Die Gefahr eines Produktionsausfalls durch den Absturz empfindlicher Software ist zu hoch. Maßgeschneiderte Lösungen müssen somit von den Herstellern selbst erworben werden.
- IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."
Eine vollwertige Industrial-Security-Lösung sollte zentral und herstellerunabhängig funktionieren. Daher gehen wir mit unserem Li eferanten Tenable neue Wege. Dieser Security-Anbieter ist für Vulnerability Risk Management im klassischen IT-Sektor bekannt. Mit dem Kauf des Industrial-Security-Startups Indegy soll jetzt das Zusammenspiel zwischen IT-Security im Office- und Industrie-Segment erleichtert werden.
Intelligente Sensorinfrastruktur
Um das aktive Ansprechen der Produktionskomponenten im laufenden Betrieb zu umgehen, setzen wir mit Tenable auf passive Informationsbeschaffung. Eine Sensorinfrastruktur ermöglicht es, laufende Datenströme abzuzweigen und auszuwerten. Die dafür eingesetzten Spiegelports (Port-Mirroring) sind zur reinen Analyse gedacht und verzichten auf jegliche Manipulation des Netzes. Ein Ausfallrisiko für empfindliche Software gibt es somit nicht mehr.
Managed Security Services - nicht einfach, aber unumgänglich
Der Sensorik wird zudem angelernt, wie sich die Standardkonfiguration der jeweiligen Systeme darstellt. So können Anomalien, wie ein verändertes Verhältnis von Computerzugriffen auf Controller, schnell entdeckt und durch das Zurücksetzen auf den Urzustand annulliert werden.
Tenable bedient sich dafür aus dem umfangreichen Informationsfundus von Indegy, der alle namhaften Hersteller von Produktionsmaschinen umfasst. Er ermöglicht der Sensorik nicht nur die genaue Geräte-Kennzeichnung und Steuerkomponenten zu erkennen, sondern auch das native Kommunikationsprotokoll zu identifizieren und zu sprechen.
So ergibt sich eine reibungslose Kommunikation zwischen Sicherheitslösung und Controllern. Werden dann nicht nur Ports einzelner Industriestraßen, sondern auch zentrale Ports, an denen Industrie- und Officenetze zusammenlaufen, abgezweigt, kann auf großangelegte Angriffsmuster geprüft werden. Das Ziel ist nicht, eine Insellösung für ein autarkes IT-Netzwerk zu schaffen.
Vielmehr soll das Reporting zu Schwachstellen und Anomalien in den Industriebreichen in Echtzeit in die gleichen Metriken einfließen wie die der klassischen IT-Security. Der verantwortliche Administrator kann so alle Bereiche des Unternehmens zentral auf einer Oberfläche überwachen. Absolute Sicherheit bleibt zwar weiterhin ein Wunschtraum, aber die Möglichkeit schneller reaktiver Eindämmungsmaßnahmen verhindert schlimmstenfalls komplette und kostspielige Produktionsstillegungen.