OT-Security im Fadenkreuz

Sicherheit der Produktionsinfrastruktur erfordert Systembetrachtung

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

15.07.2019 IT-Sicherheit wird bereits seit vielen Jahren mit mehr oder weniger Aufwand im Office-Umfeld betrieben, dem Schutz der Produktionsinfrastrukturen (OT-Security ) wurde dabei bisher nur wenig Aufmerksamkeit geschenkt. Die Angriffsziele der Hacker haben sich jedoch in den letzten Jahren geändert, so sind seit Stuxnet oder Triton erstmals Automatisierungssysteme direkt angegriffen worden.

Entscheider-Facts

  • Das sichere Zusammenspiel verschiedener Anwendungen bildet die größte Herausforderung bei der OT Security in der Automatisierungstechnik.
  • Die Sicherheit dieser Infrastrukturen kann nur als System sinnvoll betrachtet werden.
  • OT-Security ist komplex, doch bereits einfache Mittel können bereits ein grundsätzliches Maß an Sicherheit schaffen.

Zwischenablage02

Bild: TÜV Nord und Atelier W. – AdobeStock

Wie Automatisierungs- und Sicherheitssteuerungen vor dem Zugriff Dritter geschützt werden können, wird von verschiedenen Arbeitsgruppen diskutiert. So beschäftigen sich neben dem KAS44-Leitfaden, dem Namur Arbeitsblatt NA 163 auch die aktuelle Fassung der VDE/VDI2180 Blatt 1 und auch die DIN EN 61511 mit dem Thema. Schon das lässt darauf schließen, dass die Bedrohungen real sind. Es sei aber vorweggeschickt, dass es nicht ausreicht, ein Stück Hardware wie z. B. eine Firewall oder ein VPN-Gateway zu kaufen. Entscheidend ist das Zusammenspiel der verschiedenen Komponenten sowie das bewusste Handeln der Mitarbeiter.

IT-Security versus OT-Security

Bei der Anzahl der verschiedenen Regelwerke und Leitfäden ist es nicht immer leicht, die für das eigene Unternehmen erforderlichen Maßnahmen zu definieren. Daher ist es wichtig, dass die (Betriebs-)Verantwortlichen sich ihrer Aufgabe bewusst sind. Erfahrungen aus der Office-IT können dabei oft nicht 1:1 umgesetzt werden, da die Anforderungen und Technologien mitunter stark voneinander abweichen. In einem ersten Schritt sollte man sich einen Überblick über die vorhandenen Systeme und Komponenten sowie Verfahrensweisen verschaffen. Hierbei sind Topologiepläne und Komponentenlisten sehr aufschlussreich. Nach erfolgter Ist-Aufnahme kann eine Systembetrachtung in Bezug auf die OT-Security (OT=Operational Technology) durchgeführt werden. Hier gibt es noch einigen Nachholbedarf.

Der Automatisierungsgrad der verschiedenen Produktions- und Prozessanlagen hat in den letzten Jahren signifikant zugenommen. Nicht zuletzt Industrie-4.0-Systeme, die ursprünglich über proprietäre Bussysteme miteinander kommunizierten, deren Code und Funktion nur Fachleuten bekannt war, verwenden in aktuellen Konfigurationen gut dokumentierte Standard-Netzwerkschnittstellen (Ethernet, Wlan, Bluetooth etc.). Über sogenannte MESH-Netzwerke gibt es zudem eine Vielzahl sich dynamisch verändernder Zugangspunkte und Routen. Das sichere Zusammenspiel solcher Anwendungen bildet die größte Herausforderung bei der OT-Security in der Automatisierungstechnik. Die Sicherheit dieser Infrastrukturen kann nur als System sinnvoll betrachtet werden, da neben den Geräten, Systemen und Diensten auch deren Schnittstellen berücksichtigt werden müssen. Grundsätzlich sind folgende Sachverhalte als Grundlage für eine gute und nachhaltige OT-Security erforderlich:

  • Sicherheitsbewusstsein der Mitarbeiter schaffen,
  • Asset Register (Geräteliste) aller Komponenten im Automatisierungsumfeld,
  • Systemübersicht aller vorhandenen Verbindungen und Beziehungen,
  • Schnittstellendefinition (Festlegung erlaubter Verbindungen/Protokolle),
  • Organisatorische Regelungen zum Thema Security (z. B. Arbeitsanweisungen etc.).

Wie viel Sicherheit ist genug?

Zwischenablage03

Prinzip der mehrstufigen Barrieren (Quelle: DIN EN 62443). Bilder: TÜV Nord und aguiters – AdobeStock

Um die erforderlichen Security-Maßnahmen definieren zu können, ist es entscheidend, zu wissen, wie viel Sicherheit für einzelne Komponenten oder Netzwerksegmente notwendig ist. Durch eine Segmentierung der vorhandenen Netze in z. B. Produktionsbereiche lassen sich für die verschiedenen Bereiche unterschiedliche Sicherheitsniveaus festlegen. Hierfür bedarf es einer Festlegung der zu schützenden Assets (kritische Server, wichtige Dienste etc.) des Unternehmens. Dazu wird unterschieden zwischen der Integrität, Verfügbarkeit und Vertraulichkeit.

Für die Anlagensicherheit ist die Integrität von Daten von größter Bedeutung. Eine unerlaubte Manipulation, beispielsweise von Messwerten, kann zu gefährlichen Anlagensituationen führen. Um die Anlagenverfügbarkeit sicherzustellen, müssen die Daten in Echtzeit in der Sicherheitssteuerung und dem Prozessleitsystem verfügbar sein, wobei in anderen Anwendungen die Aktualität eine untergeordnete Rolle spielt. Eine Unterscheidung einzelner Funktionen kann hier sehr hilfreich sein und Kosten bei der Umsetzung der Maßnahmen reduzieren. Wenn es sich aber um den Schutz von Firmen-Know-how handelt, ist auch die Vertraulichkeit der Daten besonders schützenswert.

Neben der als Standard in der Prozessautomation etablierten DIN EN 62443, die auf dem System der ISO-27000-Reihe basiert, bieten sich ebenfalls weitere Regelwerke an, die mit einer eingegrenzten Sichtweise an die Sache herangehen. Unter anderem hat die Namur mit der NA 163 – IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen – eine pragmatische Herangehensweise für die ersten Schritte herausgegeben. Um sich tiefergehend mit dem Thema zu beschäftigen, bietet sich der BSI Standard 200 des BSI an. Die genannten Regelwerke bieten zweckmäßige Hilfestellungen, um die eigenen Systeme zu bewerten.

Systembetrachtung statt Einzelmaßnahme

Mit Verfügbarkeit der Informationen und Rahmenbedingungen kann eine ganzheitliche Gefährdungsbeurteilung für die Systeme durchgeführt werden. Dabei sollte man berücksichtigen, dass jede Kette nur so stark ist wie ihr schwächstes Glied. Der Aufbau einer leistungsfähigen Firewall kann sinnvoll sein, kann aber ggf. durch ein schwaches Passwort kompromittiert werden. Neben einer geeigneten Passwortrichtlinie mit zentraler Verwaltung sollte außerdem das Least-Privi­lege-Prinzip beachtet werden, wobei jeder Mitarbeiter nur genau die für die Erfüllung seiner Aufgaben benötigten Rechte und Freigaben bekommt. Auch die Verwendung mobiler Datenträger sollte geregelt werden. Bereits durch diese simplen Maßnahmen wird ein deutlicher Sicherheitsmehrwert erzielt. Um eine unabhängige Betrachtung durchzuführen, kann es sinnvoll sein, sich durch externe Stellen unterstützen zu lassen. Der OT-Security-Check ist beispielsweise eine Dienstleistung, mit der die Systemlandschaft erfasst wird und die dabei hilft, einen Maßnahmenkatalog für die nächsten Schritte zu erstellen. Damit entsteht die Basis für ein Informations-Sicherheitsmanagement-System (ISMS) oder eine spätere Zertifizierung (ISO 27000, DIN EN 62443 etc.).

Bei der aktuellen Diskussion um OT-Security geht es im Wesentlichen um das Thema der Bedrohungen für Sicherheits-, Kontroll- und Regel­einrichtungen. Dabei gehen die meisten Betrachtungen von Bedrohungen von Angriffen außerhalb des Firmennetzwerks aus. In vielen Fällen ist dieser Betrachtungsumfang aber nicht ausreichend. Neben Szenarien mit frustrierten Mitarbeitern (Innentäter) sind auch noch weitere Fälle denkbar. Schnittstellen zu MES-Systemen, Asset Management Tools oder PIMS, die häufig eine Kommunikation mit Teilnehmern außerhalb des Netzwerks erfordern, sowie die immer „intelligenter“ und „kommunikativer“ werdenden Feldgeräte am Ende der Automatisierungspyramide dürfen nicht unbeachtet bleiben.
Nicht zuletzt beinhaltet heute fast jede Prozessanlage auch sogenannte Package Units, welche die Hersteller komplett liefern und warten. Hierzu werden in den meisten Fällen Wartungszugänge, also Remote-Access-Funktionen, benötigt. Ein besonderes Augenmerk ist dabei darauf zu legen, dass diese Zugänge nicht die festgelegten Schutzebenen aushebeln (siehe Infobox).

Keep security simple

OT-Security ist aufgrund ihrer Komplexität keine einfache Aufgabe, die von einer einzelnen Person „nebenbei“ erledigt werden kann. Es sind Strukturen und Systeme im Unternehmen erforderlich, um OT-Security kontinuierlich weiterzuentwickeln. Doch bereits einfache Mittel, wie z. B. eine Passwortrichtlinie oder das Segmentieren der Netze, können ein grundsätzliches Maß an Sicherheit schaffen. Auch wenn sich nicht alle Security-Maßnahmen aus dem Office-Umfeld übertragen lassen, gibt es dennoch Synergien. Getreu dem Leitsatz „keep security simple“ sollten alle festgelegten Maßnahmen möglichst einfach gestaltet sein. Neben dem Management sollten auch die Mitarbeiter umfassend informiert sein, um das Sicherheitsbewusstsein aller auf ein Maximum anzuheben.

Remote-Zugriffe

Bild 1 Beispiel eines unzulässigen Remotezugriffs_neu

Beispiel eines unzulässigen Remote-Zugriffs.

An vielen Stellen besteht in modernen Anlagen die Notwendigkeit, Datenübertragungen von „außen“ zuzulassen. Sei es zur Wartung einer einzelnen Maschine, bei der Programmierung des PLS oder bei der Konfiguration von Netzwerkkomponenten. Oft finden sich hier eigene Kommunikationsschnittstellen in Form von UMTS-Modems oder Routern, durch die dieser Zugriff ermöglicht wird. Solche Verbindungen hebeln unter Umständen die Schutzebenen aus und sind möglichst zu vermeiden. Der Zugang sollte deshalb auf bestimmte Zeitfenster beschränkt oder ausschließlich bei Bedarf gewährt werden. Dadurch lässt sich die Wahrscheinlichkeit eines Angriffs erheblich reduzieren. Zusätzlich steigt die Sicherheit, wenn die dort vorgenommenen Handlungen nachvollzogen und beispielsweise von einem eigenen Mitarbeiter am Bildschirm beobachtet oder diese automatisch aufgezeichnet werden. Welches System man zur Absicherung von Remote-Zugängen wählt, hängt von der Anzahl und Komplexität der Zugriffe ab. Für große Anwendungen gibt es automatisierte Lösungen, die aber meistens mit Verwaltungs- und Kostenaufwand verbunden sind. Oft genügen manuelle Lösungen, die einfach zu implementieren sind. Wichtig ist aber an dieser Stelle, dass man die Verantwortung und die Handlungshoheit nicht aus der Hand gibt.

Heftausgabe: Juli/2019

Über den Autor

Klaus Kleine Büning, Fachreferent Cybersecurity, TÜV Nord Systems, Thorsten Lasrich, Sachverständiger, TÜV Nord Infrachem
Loader-Icon