Gefahrenquellen für OT-Systeme

Top 10 Bedrohungen und Gegenmaßnahmen

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

11.07.2019 Stuxnet war nicht der Anfang, aber bislang wohl die prominenteste Cyber-Bedrohung für Prozesssteuerungen. Mit dem jüngsten Angriff auf die Sicherheitssteuerung Triconex SIS hat die Bedrohungslage für die Industrie eine neue Qualität erhalten. In seiner jüngsten Empfehlungsliste hat das BSI die Top 10 Bedrohungen und Gegenmaßnahmen für Steuerungssysteme gelistet.

Entscheider-Facts

  • Das BSI hat eine Top-10-Liste der größten Bedrohungen für industrielle Steuerungssysteme veröffentlicht.
  • Neben menschlichen Fehlern listet die Aufstellung verschiedene technische Probleme und Einfallstore.
  • Die Gegenmaßnahmen sind häufig organisatorischer Art: Aufklärung und Sensibilisierung der Mitarbeiter sind besonders wichtig.

3D rendering. Abstract background concept of cyber security and attack, system crash.

Bild: pinkeyes – AdobeStock

Das Bundesamt für Sicherheit in der Informationstechnik kommt in der Empfehlungsliste zum Schluss, dass industrielle Steuerungssysteme (ICS), die den OT-Systemen zugerechnet werden, zunehmend denselben Cyber-Angriffen ausgesetzt sind wie die konventionelle IT. Mit der Bedrohungsliste zielt das BSI in erster Linie auf Selbsthilfe: Sie soll die Anlagenbetreiber dabei unterstützen, das eigene Sicherheitsniveau einzuschätzen und bietet einen Selbsttest für die Bewertung der Risiken.

Der Fokus der Liste liegt auf primären Angriffen, mit denen Angreifer in industrielle Anlagen und Unternehmen eindringen, während Folgeangriffe den An- oder Zugriff auf weitere interne Systeme erlauben. Ausgehend von den Primärangriffen kann sich ein Angreifer durch Folgeangriffe sukzessive im Unternehmen ausbreiten.

USB-Sticks sind die größte Bedrohung

An erster Stelle der Bedrohungen mit steigender Tendenz steht das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware. Schadsoft-ware auf USB-Sticks die in der Büroumgebung oder im privaten Umfeld infiziert worden sind, kann auch in Automatisierungsnetze eindringen, wenn dort USB-Anschlüsse vorhanden sind. Aber auch Wartungsnotebooks, die sowohl für den Internet-Zugriff oder in Office-Netzen als auch in ICS-Netzen verwendet werden, können industrielle Steuerungssysteme identifizieren. Dazu kommen Projektdateien oder ausführbare Anwendungen, die einen Schadcode enthalten.

Als Gegenmaßnahmen empfiehlt das BSI strikte organisatorische Vorgaben und technische Kontrollen für Wechseldatenträger. Dazu gehören das Whitelisting zugelassener Wechseldatenträger oder Schleusen, bei denen Virenschutz und Whitelisting auf einem Rechner bereitgestellt werden, der ein anderes Betriebssystem verwendet, als die Wartungsrechner. Die Maßnahmenliste reicht bis hin zu physischen Sperren. Für den Einsatz externer Wartungsnotebooks empfiehlt das BSI die Einrichtung von Quarantänenetzen, Virenscans vor der Benutzung und die Vollverschlüsselung.

Internet und Intranet: Das Tor zur Schadsoftware-Welt

Das Internet, aber auch ein unternehmensinternes Intranet ist ein großes Einfallstor für Schadsoftware. Mit der zunehmenden Verbreitung von Ethernet-basierten Techniken im Automatisierungsumfeld sowie der zunehmenden Vernetzung der ICS mit dem Unternehmensnetz steigt die Gefahr für die Steuerungssysteme.

Als Gegenmaßnahmen empfiehlt das BSI die maximale Abschottung der unterschiedlichen Netze (Segmentierung) durch Firewalls und VPN-Lösungen sowie den Einsatz konventioneller Schutzmaßnahmen am Perimeter (z. B. Firewalls, Antivirensoftware) oder an den ICS (z. B. Firewalls, Application Whitelisting). Um den Abfluss kritischer Informationen zu erschweren, sollten die im Unternehmen frei verfügbaren Informationen beschränkt werden. Logfiles sollten auf ungewöhnliche Verbindungen oder Verbindungsversuche hin überwacht werden, und es sollten bestmöglich gehärtete IT-Komponenten (Dienste, Rechner) eingesetzt werden.

Fehlerquelle Mensch

Maintenance engineer looking at monitor control in thermal power

Oft werden die Mitarbeiter durch Fehlverhalten zur Ursache für Cyber-Risiken. Bild: kinwun – AdobeStock

Es muss nicht immer gleich die mutwillige Sabotage eines Steuerungssystems sein, die zu einem Sicherheitsrisiko wird – oft sind es gedankenlose Handlungen wie die Fehlkonfiguration sicherheitsrelevanter Komponenten – auch hier ist die Tendenz klar steigend. Beispiele sind der Einsatz nicht genehmigter Soft- und Hardware wie Digitalkameras, Smartphones oder Spielekonsolen. Flashplayer oder Browsergames sind Beispiele für Bedrohungszenarien durch falsche Softwarenutzung.

Als Gegenmaßnahme empfiehlt das BSI in erster Linie die Qualifizierung und Sensibilisierung der Mitarbeiter, Bediener und Administratoren. Für das Einstellen neuer Mitarbeiter oder das Ausscheiden von Personal sowie Externe sollten standardisierte Prozesse etabliert werden. Generell plädiert das BSI für die Anwendung des „Need-to-Know“-Prinzips: Nur wer den Zugriff zwingend benötigt, erfährt auch die Systemdetails oder Passwörter. Zudem sollte der Internetzugang für Steuerungssysteme und produktionsnahe Systeme deaktiviert werden.

Kompromittierung von Extranet- und Cloud-Komponenten

Der Trend zum Outsourcing von IT-Komponenten erreicht über Cloud-Dienste inzwischen auch die Automatisierungstechnik. Dies führt dazu, dass der Anlagenbetreiber nur noch eine sehr eingeschränkte Kontrolle über die Sicherheit dieser Komponenten hat. Wird die Kommunikation zwischen der Produktion und den ausgelagerten Komponenten gestört, können Kaskadeneffekte die Produktion zum Erliegen bringen. Liegen Implementierungsfehler vor oder sind die Sicherheitsmechanismen unzureichend, sind Datendiebstahl oder Löschung mögliche Bedrohungsszenarien.

Deshalb sollten Kunden die Betreiber externer Komponenten zu einem hinreichenden Sicherheitsniveau, verpflichten und nur vertrauenswürdige und möglichst auch zertifizierte Anbieter auswählen. Dazu kommt die Verschlüsselung der in der Cloud gespeicherten Daten und die Kommunikation über VPN. Der Betrieb einer privaten Cloud hilft, um die Kontrolle zu behalten und um Prozess-Know-how zu schützen.

Social Engineering und Phishing

Mit leicht fallender Tendenz sieht das BSI die Bedrohung durch Social Engineering und Phishing. Gemeint sind Ablenkungsstrategien, bei denen Angreifer menschliche Eigenschaften wie Hilfsbereitschaft oder Angst ausnutzen, um Mitarbeiter zu unbedachten Handlungen zu verleiten – beispielsweise das Öffnen von infizierten Mail-Anhängen. Aber auch der unberechtigte Zugang zu einem Gebäude, den sich Angreifer durch sicheres Auftreten oder Vorspiegeln einer Legitimierung verschaffen, gehört zum Social Engineering. Auch hier gehört die Sensibilisierung der Mitarbeiter zu den wichtigsten Gegenmaßnahmen. Dazu das Etablieren von Alarmierungswegen im Verdachtsfall und technische Sicherheitsmechanismen.

Bot-Netze und Internetanschluss

DDoS-Angriffe zielen auf die Kommunikation zwischen den Komponenten des Steuerungssystems: Durch eine sehr hohe Anzahl von Anfragen wird dabei ein Kommunikationssystem überlastet und zum Ausfall gebracht. Immer häufiger werden dazu Botnetze und auch IoT-Komponenten genutzt. Um die Datenkommunikation über WLAN-Verbindungen oder Mobilfunknetze zu stören, werden verstärkt Störsender oder gefälschte Basisstationen genutzt. Das BSI empfiehlt deshalb Netzzugänge und Kommunikationskanäle zu härten und für kritische Verbindungen dezidierte kabelgebundene Verbindungen zu nutzen.

An siebter Stelle der Top 10 der Bedrohungen für Steuerungssysteme stehen mit dem Internet verbundene Steuerungskomponenten. Denn laut BSI werden Automatisierungskomponenten entgegen den Empfehlungen der Hersteller oft direkt mit dem Internet verbunden und sind über Suchmaschinen leicht auffindbar – beispielsweise mit speziellen Suchmaschinen wie Shodan. Da die Komponenten in der Regel schlechter als klassische IT gegen Internet-Angriffe geschützt sind und öffentlich verfügbare Standardpasswörter eingestellt sind, können diese manipuliert werden.
Auch hier heißt die erste Empfehlung: Steuerungskomponenten nicht direkt mit dem Internet verbinden! Zudem sollten nicht benötigte Dienste abgeschaltet und Standardpasswörter geändert werden. Updates sollten möglichst zeitnah durchgeführt werden.

Fernwartung als Einfallstor

Externe Zugänge sind in Steuerungssystemen weit verbreitet. Doch häufig sind diese Zugänge in der Praxis nur mit Standardpasswörtern gesichert, die sich zum Teil auch nicht ändern lassen. Damit sind unzureichend geschützte Systeme anfällig für direkte Angriffe, aber auch für indirekte Angriffe, beispielsweise über die IT-Systeme des Dienstleisters, wenn diese per Trojaner ausgespäht oder Tokens aufgezeichnet werden.

Die Standard-Passwörter sollten deshalb schon bei der Abnahme gesperrt werden und sichere Authentifizierungsverfahren genutzt werden. Durch Segmentieren der Netze soll die Reichweite von Fernzugängen in das Automatisierungssystem minimiert werden. Zudem sollten Fernzugänge nur für die Dauer der Fernwartung und durch Personal des Anlagenbetreibers freigeschaltet werden. Auch die Personalisierung der Zugänge hilft, Mißbrauch zu vermeiden.

Technik-Ausfall und Smartphones

Softwarefehler und defekte Hardware in Steuerungssystemen stellen ebenfalls eine Bedrohung für den Anlagenbetrieb dar – das BSI listet diese an vorletzter Stelle mit sinkendem Bedrohungspotenzial. Gegen sie empfiehlt das Bundesamt den Aufbau eines Notfallmanagements und das Vorhalten von Ersatzgeräten.

An der zehnten Stelle der häufigsten Bedrohungen von Steuerungssystemen sieht das BSI die Kompromittierung von Smartphones im Produktionsumfeld. Immer öfter können Komponenten der Automatisierung über Apps auf dem Smartphone oder Tablet ausgelesen oder sogar bedient werden. Das kann dann zum Problem werden, wenn das Smartphone gestohlen oder gehackt bzw. kompromittiert wird. Das Bundesamt empfiehlt deshalb vor dem Einsatz eine Nutzen-Risiko-Betrachtung. Grundsätzlich sollte der Zugriff auf Steuerungssysteme nur lesend sein, und über ein Mobile Device Management sollte sichergestellt werden, dass nur Smartphones ohne sicherheitskritische Manipulation und nur Apps aus zertifizierten Quellen genutzt werden. Wie bei allen Kommunikationsvorgängen sollten verschlüsselte Verbindungen (VPN) genutzt werden.

Die Top 10 der größten Bedrohungen für Steuerungssysteme wird im BSI-Dokument durch einen Fragekatalog abgerundet, mit dem vor allem kleine und mittelständische Unternehmen ihr Sicherheitsniveau abschätzen können. Das Dokument ist zum Download verfügbar.

Heftausgabe: Juli/2019
Armin Scheuermann ist Chefredakteur der CHEMIE TECHNIK

Über den Autor

Armin Scheuermann ist Chefredakteur der CHEMIE TECHNIK
Loader-Icon