Über unsMediaKontaktImpressum
Wolfgang Kiener 24. September 2019

Abwehr von Cyberangriffen auf produzierendes Gewerbe

Angesichts der zunehmenden Verschmelzung von Informationstechnologie und Automatisierungstechnik oder Prozessleittechnik sehen sich viele Industrieunternehmen mit einer veränderten Bedrohungslage konfrontiert. Weil immer mehr Bestandteile der IT in den Bereich der Operational Technology (OT) integriert werden, nimmt die Gefahr von Cyberangriffen auf Produktionsanlagen und kritische Infrastrukturen zu.

TÜV Rheinland hat anhand des Purdue-Modells für industrielle Anlagen bekannte Schwachstellen und potenzielle Angriffe auf verschiedenen Ebenen analysiert (s. Abb. 2). Die zunehmende Kombination von IT und OT sorgt dafür, dass typische Schwachstellen aus dem IT-Umfeld – bei der Risikobetrachtung von OT-Umgebungen – in den Vordergrund rücken; und das ist durchaus kritisch zu betrachten. Darüber hinaus werden vermehrt Schwachstellen in OT-Komponenten auf Ebene 1 und 2 identifiziert und veröffentlicht.

Einer Studie zur industriellen Sicherheit zufolge [1] mangelt es den Unternehmen an Sichtbarkeit über Assets und verwendeten Technologien im Produktionsumfeld. Von den Befragten geben 62 Prozent an, dass es an einem Asset-Management mangelt. Nur 14 Prozent der Befragten führen eine automatische Erkennung und Aktualisierung der Assets im Produktionsumfeld durch. Ein aktueller Überblick vorhandener Assets ist für eine effektive Kompensierung von Schwachstellen unabdingbar und die Grundlage zum Erkennen, Bewerten und Behandeln von Bedrohungen und Angriffen in einem Security Operation Center (SOC).

Aktive Scans nach Asset-Konfigurationen und Schwachstellen auf Level 1 und 2 im Purdue-Modell zeigen ein hohes Risiko von Ausfällen, da die Infrastruktur teilweise bereits vor Jahrzehnten ohne Berücksichtigung eines Asset- oder Schwachstellenmanagements installiert wurde. Zunehmend zeigt sich, dass sich ein passiver Ansatz unter der Verwendung von Überwachungssensoren durchsetzt.

Konkret wird der Netzwerkverkehr am Netzwerkswitch zum Sensor kopiert (gespiegelt). Der Datenverkehr ist nur in eine Richtung möglich: vom Switch zum Sensor. Die Sensoren besitzen keine Möglichkeiten in die verschiedenen Level und deren Zonen einzugreifen bzw. negative Auswirkungen zu verursachen.

Anhand des mitgeschnittenen Netzwerkverkehrs werden automatisch die Assets, deren Schwachstellen und die Kommunikationsbeziehungen identifiziert. Diese Identifizierung erfolgt kontinuierlich, d. h. Veränderungen in der Infrastruktur werden in Echtzeit erkannt und gemeldet. Betriebsverantwortliche können anhand der Meldung entscheiden, ob die Veränderung normal ist, oder ob diese weiter untersucht werden muss. Darüber hinaus wird eine mögliche Schadsoftware und verdächtiges Verhalten erkannt. In der IT-Abteilung werden diese Überwachungssensoren als modernes NIDS (Network Intrusion Detection System) bezeichnet.

Viele Angriffswege verlaufen aus dem Internet über Level 4 und 5 des Purdue-Modells und bahnen sich den Weg durch die OT-Level (3,2,1), um schließlich auf Level 0 physikalischen Schaden zu verursachen. Zur Steigerung der Angriffserkennungsrate und Erkennungsgeschwindigkeit fließen OT-Sensordaten in ein unternehmensweites SIEM (Security Information Event Management) oder Security-Analytics-System ein. Durch eine unternehmensweite Bedrohungsüberwachung über IT und OT werden Angriffe früher erkannt und können effektiv abgewehrt werden.

In industriellen Umgebungen und kritischen Infrastrukturen hat das rechtzeitige Erkennen und das entsprechende Reagieren auf Bedrohungen und Abwehren von Angriffen einen besonders hohen Stellenwert. Zumindest bis heute existieren oftmals auf den unteren Ebenen nur wenige bis keine effektive Schutzmaßnahmen. Ein Vordringen des Angreifers zu diesen Ebenen muss unbedingt verhindert werden. Ansonsten drohen unmittelbare Gefahren für den Schutz des Menschen und der Umwelt – abgesehen von direkt messbaren Ausfällen und den damit verbundenen Auswirkungen auf die Produktion des betroffenen Unternehmens.

Fazit: Unternehmen müssen auf Angriffe vorbereitet sein

Die zunehmende Verwendung von IT-Komponenten in der Operational Technology sowie die Vernetzung der beiden Bereiche sind integrale Bestandteile der digitalen Transformation. Vor diesem Hintergrund wird der Schutz von Produktionsanlagen und kritischen Infrastrukturen vor Cyber-Angriffen immer wichtiger. Klassische Sicherheitsmechanismen, wie zum Beispiel Segmentierung und Firewalls, können keinen hundertprozentigen Schutz gewährleisten. Daher sollten die Unternehmen auf einen Angriff auf OT-Umgebungen vorbereitet sein und entsprechende weitere Maßnahmen zur Erkennung und Behandlung von Bedrohungen und Angriffen berücksichtigen.

Die operativen Teams im SOC müssen die Besonderheiten von IT bzw. OT sowie die entsprechenden Schutzzielmodelle verstehen und entsprechend handeln.

Autor

Wolfgang Kiener

Wolfgang Kiener (M.Sc.) leitet das Center of Excellence für Advanced Threats im Bereich Cybersecurity bei TÜV Rheinland. Er verantwortet die strategische Entwicklung von Dienstleistungen im Bereich Threat-Management und...
>> Weiterlesen
Das könnte Sie auch interessieren
botMessage_toctoc_comments_9210