„Geh davon aus, dass es bereits passiert ist“

Interview mit Erwin Kruschitz, Vorstand des Risikospezialisten Anapur, zu Cybersecurity

10.07.2019 Im Schatten der Digitalisierung wächst auch in der Prozessindustrie die Bedrohung durch Cyberattacken. Im CT-Gespräch erläutert Erwin Kruschitz, Vorstand des Risikospezialisten Anapur und Obmann des Namur-Arbeitskreises „Automation Security“, warum es keine hundertprozentige Sicherheit geben kann.

Erwin Kruschitz Anapur

Erwin Kruschitz hat seine Berufslaufbahn als Ingenieur für Prozessleittechnik gestartet. Seit 2006 beschäftigt er sich mit dem Thema „Security“. Bei Anapur arbeitet er an der Entwicklung von Produkten für die sichere Kommunikationssteuerung und unterstützt namhafte internationale Kunden bei Security- Bewertung und Absicherung von Industrieanlagen. Kruschitz leitet je einen Arbeitskreis in der Namur und der DKE zum Thema Security.

CT: Die Vernetzung von Automatisierungssystemen schreitet fort. Doch der gezielte Angriff auf die Sicherheitssteuerung Triconex mit der Schadsoftware Triton vor anderthalb Jahren hat die Branche alarmiert. Eigentlich sollten Sicherheitssysteme sauber von der restlichen Automatisierung getrennt sein und auch nicht am Netz hängen. Sind also nur nachlässige Betreiber betroffen?
Kruschitz: So einfach ist das nicht. Es gibt praktisch keine Safety-Systeme mehr, die nicht in irgendeiner Weise am Netz hängen. Auch ein Sicherheitssystem muss programmiert und geändert werden. Und das geschieht in der Regel über ein windowsbasiertes Engineering-System – und dieses ist durchaus auch ab und zu mit dem Internet verbunden.

CT: Warum gewinnt die IT-Security in der Prozesstechnik generell an Bedeutung?
Kruschitz: Der Megatrend ist die Digitalisierung – wir bauen immer mehr digitale Brücken, über die wir Nutzdaten transportieren wollen, weil wir uns davon betriebswirtschaftliche Vorteile versprechen. Mit jeder Brücke steigt die Gefahr, dass Elemente über den Fluss gelangen, die wir dort nicht haben wollen.

CT: Was empfehlen Sie Ihren Kunden, um diese Risiken so klein wie möglich zu halten?
Kruschitz: Zunächst einmal Enthaltsamkeit. Man sollte Verbindungen nur dort bauen, wo diese notwendig und sinnvoll sind. Und dann sollen auch nur die Daten über die Verbindungen transferiert werden dürfen, die vorher festgelegt wurden. Den Rest schließt man durch Firewalls, Whitelisting oder Netzwerk-Monitoring aus. Außerdem muss man sich von Anfang an klar machen, dass es mit der Investitionsentscheidung für die Brücke nicht getan ist. Man muss auch darüber nachdenken, wie man diese Brücke überwacht – das geht nicht automatisch: Auch eine Firewall oder ein Whitelisting muss konfiguriert werden. Die Security-Einrichtungen haben einen Wartungsbedarf und müssen im Betrieb gepflegt werden. Der Nutzer der Datenverbindung muss diesen Aufwand gegen den Nutzen abwägen. In Chemieanlagen, die ein großes Gefahrenpotenzial bergen, sollte man nur so konservativ wie möglich digitalisieren.

CT: Mit der Namur Open Architecture NOA werden ganz viele Brücken gebaut. Diese sollen als Einbahnstraße ausgeführt werden, sodass man sich den Aufwand für die Brückenwächter sparen kann. Ist das eine Illusion?
Kruschitz: Jede Datenverbindung birgt das Potenzial, zum Schaden der angeschlossenen Systeme missbraucht zu werden. Die Einbahnstraße ist ein schönes Bild, das sehr schnell einleuchtet. Der Elektroniker hat ein Bild der Diode im Kopf. In der Praxis funktioniert das nicht so eindeutig, und man sollte aufpassen, dass man sich nicht in falscher Sicherheit wiegt. Aber ein Teil des NOA-Teams beschäftigt sich im Detail mit der Frage der Security. Insofern ist es möglicherweise eines der ersten Projekte, bei dem Security von Anfang an mitgedacht wird. Die hundertprozentige Sicherheit wird man allerdings nicht schaffen.

IMI_Keyvisual_CMYK_300dpi_small

Chemieanlagen werden künftig ebenfalls zur „kritischen Infrastruktur“ gezählt werden und müssen dann Sicherheitsvorfälle melden. Bild: Anapur

CT: Um die Risikobeurteilung von IT-Systemen für Sicherheitsingenieure handhabbar zu machen, hat die Namur im Dezember 2017 das Arbeitsblatt 163 veröffentlicht. Wie sind die ersten Erfahrungen damit?
Kruschitz: NA 163 ist ein Mittel zur Risikoanalyse von Safety-Systemen, und es gibt tatsächlich schon viele Risikoanalysen, die danach erstellt wurden. Größere Chemieunternehmen haben die Checklisten daraus bereits in ihre firmeneigenen Regelwerke eingebaut. Zunehmend interessieren sich auch Behörden dafür.

CT: Ein Ziel der NA 163 war es, den Aufwand für die Risikoanalyse zu reduzieren. Hat sich das in der Praxis bewährt?
Kruschitz: Ja. Wir wollten die Einstiegshürde so niedrig wie möglich halten. Die Checklisten lassen sich relativ schnell abarbeiten. Voraussetzung ist allerdings, dass die eingesetzten Komponenten und Systeme dokumentiert sind. Wenn man aber zuerst einmal eine Bestandsaufnahme machen muss, dann dauert es natürlich deutlich länger. Man kann das Risk Assessment in einem Tag durchführen, aber natürlich nicht sämtliche Maßnahmen, die daraus folgen. An vielen Stellen wird nach der Risikoanalyse klar, dass man aktiv werden muss.

CT: Der Triton-Angriff markiert eine neue Qualität, weil nun explizit auch Sicherheitssteuerungen im Fokus der Hacker stehen. Ist das so gravierend, wie man das gelesen hat, oder wurde ein Hype um den Vorfall gemacht?
Kruschitz: Dass auch eine Sicherheitssteuerung angegriffen werden kann, damit haben wir gerechnet. Im Namur-Arbeitsblatt NA 163, das wir im Dezember 2017 veröffentlicht haben, ist die Risikoanalyse solcher Systeme das zentrale Thema. Damals hatte allerdings niemand damit gerechnet, dass dieses Szenario bereits kurz darauf Realität werden würde. Ein Nato-General hat auf dem Kongress „IT meets Industry“ im vergangenen Jahr gesagt, dass die Industrie zum Schlachtfeld großer Nationen werden wird. Triton war bereits eine kleine Schlacht: Hier wurde ein Industriebetrieb Opfer von internationalen Spannungen. Deshalb glaube ich nicht, dass das nur ein Hype ist.

Triton-Angriff

Im Dezember 2017 wurde bekannt, dass es in einem Kraftwerk im Mittleren Osten aufgrund einer mit Schadsoftware infizierten Sicherheitssteuerung zu einer Notabschaltung gekommen war. Hacker hatten offenbar gezielt Sicherheitssteuerungen von Schneider Electric (Triconex) mit der „Triton“ genannten Malware infiziert.

Nach Angaben des IT-Sicherheitsspezialisten Fireeye versuchten die Angreifer die Controller der Sicherheitssteuerung über einen Remote-Zugang einer Workstation neu zu programmieren. Als eine Gültigkeitsprüfung eines Anwendungscodes zwischen zwei redundanten Prozessoren scheiterte, fuhr die Sicherheitssteuerung die Anlage sicher herunter. Erst dadurch wurde der Angriff bemerkt und der Vorfall eingehend untersucht. Wie die Malware in die Sicherheitssteuerung gelangt ist, wurde bislang nicht bekannt. Am wahrscheinlichsten scheint unter Sicherheitsexperten eine erfolgreiche Phishing-Attacke.

Was genau mit dem Angriff bezweckt wurde und von wem dieser ausging, ist bis heute unklar. Unstrittig ist allerdings, dass es das Ziel der Angreifer war, Industrieanlagen zu schaden. Spekuliert wird zum Beispiel, dass es sich um einen Test für potenzielle weitere Angriffe handelte.

Die Entwicklung einer auf spezielle Systeme von Industrieanlagen gerichteten Malware setzt gezielte Entwicklungsanstrengungen und intime Kenntnisse der dort eingesetzten Soft- und Hardware voraus.

Triconex ist in Sicherheitssystemen der Chemie, der Öl- und Gasindustrie und in Kernkraftwerken weit verbreitet.

 

CT: Hätte sich der Angriff vermeiden lassen können, wenn der Betreiber eine Risikoanalyse nach NA 163 durchgeführt hätte?
Kruschitz: Ja. Wir hätten ein Whitelisting vorgeschlagen. Damit hätte man erkannt, dass eine Programmkomponente zwar genauso heißt wie die offizielle Programmkomponente des Steuerungsherstellers, aber einen anderen Inhalt hat. Aber damit das Whitelisting seine Wirkung hätte entfalten können, hätte auch ein Ingenieur oder Techniker davorsitzen müssen, den die Warnung des Whitelistings über die falsche Quersumme stutzig gemacht hätte.

Aber wir reden viel zu viel über die Frage, wie man Cyberangriffe vermeiden kann und viel zu wenig darüber, wie man mit solchen Ereignissen umgehen sollte. Sicherheitsprofis empfehlen die Perspektive „Geh davon aus, dass es bereits passiert ist.“ Man muss dann in der Lage sein, so ein Ereignis zu managen.

Maschinensteuerung Not Aus

Für Anlagen gibt es einen Not-Aus-Knopf. Eine äquivalente Lösung für OT-Netzwerke ist derzeit bei Anapur in Entwicklung. Bild: getti – AdobeStock

CT: Welche Vorsorgemaßnahmen empfehlen Sie?
Kruschitz: Man sollte frühzeitig überlegen, was man tut, wenn so etwas passiert. Können beispielsweise Netzwerksegmente schnell und zuverlässig abgetrennt werden? Für Anlagen gibt es einen Not-Aus-Knopf – diese Funktion sehe ich in der OT-Netzwerktechnik noch nicht, aber ich glaube, dass dort ein Bedarf ist. Das heißt, wenn irgendeine Teilkomponente des Netzwerks der OT nicht mehr vertrauenswürdig ist, dann sollte der Betrieb in der Lage sein, steuernd einzugreifen. Und zwar nicht, indem man erst den Firewall-Administrator anruft, sondern per Schalter oder Mausklick. Die Geräte dafür sind heute verfügbar.

CT: Programmcode breitet sich mit Lichtgeschwindigkeit aus. Ist es nach einem Ausbruch nicht sowieso zu spät?
Kruschitz: Nicht unbedingt. Viele Ereignisse könnte man damit lösen, dass man rechtzeitig informiert. Aus meiner Sicht ist das ein weiteres Handlungsfeld: ein Informationssystem zu schaffen, mit dem Betroffene die Community über Vorfälle informieren. Im Falle von Triton haben wir im Dezember von einem Vorfall erfahren, der bereits im August geschehen war.

CT: Für kritische Infrastrukturen hat das BSI das Kritis-System geschaffen.
Kruschitz: Es ist davon auszugehen, dass auch die Chemie mit der Novelle des IT-Sicherheitsgesetzes zur kritischen Infrastruktur werden wird. Ich finde diese Plattform gut, ich weiß allerdings nicht, wie gerne dieser staatlich verordnete Kommunikationsweg von der Industrie angenommen wird. Dort, wo der Betreiber mit rechtlichen Konsequenzen rechnen muss, wird so eine öffentliche Meldung erst einmal durch die Rechtsabteilung gehen – und dann ist es vielleicht zu spät. Deshalb ist der kleine Dienstweg aus meiner Sicht zielführender. Es geht zunächst darum zu wissen, welche Geräte betroffen sind und ob es eine kurzfristige Lösung gibt. Im Falle von Triton hätte es geholfen, die Engineeringstation von der Sicherheitssteuerung zu trennen.

Kongress IT meets Industry

Beim Kongress IT meets Industry, der am 19. und 20. November in Mannheim stattfinden wird, stehen Aspekte der Cybersecurity in der Industrie und in kritischen Infrastrukturen im Mittelpunkt. Neben der Rolle der Security bei der Digitalisierung von Industrieanlagen geht es um die Frage, wie OT und IT erfolgreich zusammenwachsen und wie sich Unternehmen auf den Worst Case vorbereiten können. Aktuelles Fokusthema ist die Mobilfunktechnik 5G und ihr sicherer Einsatz in der Industrie.

Heftausgabe: Juli/2019
Die Fragen stellte  Armin Scheuermann, Chefredakteur der CHEMIE TECHNIK

Über den Autor

Die Fragen stellte Armin Scheuermann, Chefredakteur der CHEMIE TECHNIK
Loader-Icon