Sicherheit ist für die für Industrieanlagen Verantwortlichen kein Fremdwort. Auch vor Stuxnet gab es immer wieder Angriffe, die ganze Produktionsstraßen lahmgelegt haben. „Die Übergriffe kamen hauptsächlich aus der Office-Welt“, sagt Alexander Tsolkas, freier Sicherheitsberater und Executive Advisor bei der Experton Group. „Die Gegenmaßnahme war recht einfach: Man schützte sich mit dem so genannten Zonenmodell, in dem man die Produktion mittels Firewalls einfach von der Office-Welt abgetrennt hat.“
Stuxnet hat diesem Konzept schonungslos die Grenzen aufgezeigt. Dafür gibt es hauptsächlich zwei Gründe. Erstens: Noch nie haben Angreifer einen derartig großen Aufwand für die Konstruktion eines Computerwurms betrieben, der ausschließlich auf Zerstörung ausgerichtet war. Stuxnet ist damit ein Paradigmenwechsel in der Cyberkriminalität.
Zweitens: Die heutige industrielle Automation ist im zunehmenden Maße von Dezentralisierung geprägt. Die Komponenten kommunizieren miteinander immer häufiger über Webapplikationen. Das bedeutet, ihre Vernetzung basiert auf einem Ethernet-System, das die bisherigen Feldbussyteme ablöst oder zumindest ergänzt. Damit sind die Bedingungen für die unkontrollierte Verbreitung von Viren, Trojanern und Würmern geschaffen.
Schlechtes Zeugnis
Doch obwohl die Industrie den Schutzbedarf ihrer Anlagen durchaus erkannt hat, reagiert sie kaum auf das neue Bedrohungsszenario. Das belegt die Corporate-Trust-Studie Industriespionage 2012 (PDF), die in Zusammenarbeit mit Brainloop und dem TÜV Süd im April erarbeitet wurde. Über 60 Prozent der Befragten gaben an, dass ein Angriff auf ihr Unternehmen einen deutlich finanziellen Schaden verursachen würde. Über 45 Prozent halten einen Angriff auf ihre Steuerungsanlagen sogar für unternehmensgefährdend.
Der tatsächliche Schutz vor Cyberangriffen steht dazu im krassen Widerspruch. Wie die Studie weiter aufzeigt, setzen weniger als die Hälfte der Unternehmen angemessene Maßnahmen um. Regelmäßige Audits und Penetrationstests gibt es nur in jedem fünften Unternehmen. Lediglich 19,5 Prozent setzen auf den Steuerungskomponenten Virenscanner ein; 40,3 Prozent haben Virenscanner auf den weiteren Komponenten der Leitstelle installiert.
Patchmanagement gibt es nur bei 37,7 Prozent der Befragten. Ein Sicherheitskonzept ist nur bei der Hälfte in die Sicherheitsstrategie integriert. Fazit der Studie: Der Schutz vor Malware und Angriffen ist schwach. Das Thema Sicherheit in der industriellen Automation- und Leittechnik steht ganz am Anfang.
Standardlösungen passen nicht
Auch wenn die Studie der Industrie kein gutes Zeugnis ausstellt, muss man sie ein bisschen in Schutz nehmen. Die Anlagen mit modernster IT-Sicherheitstechnik auszustatten, wie sie für die Office-Welt bereits existieren, ist nicht so einfach. Das liegt an den unterschiedlichen Anforderungen. Während in der Office-Welt Vertraulichkeit und Integrität oberste Priorität haben, gilt es in der Produktion hauptsächlich Verzögerung und Unterbrechung zu vermeiden.
„Für IT-Sicherheit gibt es Standardlösungen“, sagt Analyst Tsolkas. „Sie auf die Anforderungen der Produktionswelt anzuwenden ist schwierig und mit hohen Kosten verbunden, da die heutigen Malware- und Patchkonzepte nicht für die Anforderungen von Echtzeitverarbeitung ausgelegt sind.“
Die meisten Anlagen sind mit alten Systemen bestückt, wo Sicherheit vor Cyberangriffen bei der Entwicklung und beim Einbau gar nicht berücksichtigt wurden. Zahlreiche Systeme sind zudem schon so alt, dass es inzwischen kaum noch Experten gibt, die sich damit auskennen. Steuerungsoftware ist von vielen Herstellern nur für Windows XP freigegeben, Kunden dürfen das Servicepaket 2 nicht selber installieren.
Selbst wenn man die Systeme auf den aktuellen Stand der Dinge bringen könnte, steht der Aktualisierung immer noch ein Problem im Wege: Die Latenzzeit. In der Office-Welt wird das System zum patchen einfach runtergefahren und die neue Version eingespielt. In Produktionsumgebungen ist das meist nur schwer denkbar. Dasselbe gilt für Virenscanner. Um eine Datei zu scannen, braucht es Zeit. Wie viel, hängt von ihrer Größe ab. Wie lange der Scan dauert, kann also niemand genau sagen. Jede zeitliche Verzögerung bedeutet aber, dass sie den Takt der Produktionsstraße auf unbestimmte Zeit unterbricht und damit den Ablauf verzögert. Diese Unterbrechung könnte dafür sorgen, dass eine Schweißnaht nicht an der richtigen Stelle sitzt – die Folgen kann sich jeder selbst ausmalen. Zudem gibt es bei SCADA-Systemen keine Möglichkeiten zur Authentifizierung, keine Verschlüsselung und keine Zugriffskontrolle.
Ansätze zur Besserung
Dennoch ist der Fall nicht ganz hoffnungslos. Es gibt derzeit durchaus Konzepte, wie man das Sicherheitsproblem zumindest anpacken kann. „Ideal wäre, wenn die Ingenieure IT-Sicherheit bereits in der Planung von Anlagen berücksichtigen würden“, sagt Heinz Bedenbender, wissenschaftlicher Mitarbeiter beim Verband Deutscher Ingenieure (VDI). „Die Hersteller müssen schon beim Design ihrer Software die Sicherheitslücke schließen. Betreiber, Integratoren und Hersteller müssten da an einem Strang ziehen. Doch bis es soweit ist muss die Industrie mit dem leben, was sie gerade hat.“
Der VDI empfiehlt eine „defence in depth“. Dabei werden verschiedene Ebenen der Abschottung hintereinander nach dem bekannten Prinzip der Trennung positioniert. „Mehr als eine passive Abwehr durch Regler ist im Moment nicht möglich“, sagt auch Sicherheitsexperte Alexander Tsolkas. „Intrusion Prevention Systeme zu installieren ist ein erster Schritt für mehr Perimetersicherheit. Sie helfen zumindest einen bestimmten Zustand zu verstehen. Eine aktive Sicherheit ist noch Zukunftsmusik.“
Mit seiner Richtlinie 2182 zeigt der VDI, wie Unternehmen beim Aufbau einer passiven Sicherheit seiner Ansicht nach vorgehen sollten. „Im Grunde genommen ist das eine simple Geschichte“, sagt VDI-Experte Bedenbender. „Zunächst gilt es Assets zu identifizieren und zu analysieren. Danach sind die relevanten Schutzziele zu bestimmen und die Risiken zu bewerten. Schließlich erfolgt die Umsetzung. Und das Ganze wird dann zyklisch durchlaufen.“
Das klingt wie das kleine Einmaleins in der ersten Klasse. Doch da müssen beide Seiten anfangen. Das ist die Realität. Die Industrie muss lernen, IT-Sicherheit zu verstehen und Anbeiter von IT-Sicherheit müssen lernen, die Industrie zu verstehen. Auch das ist nicht so einfach. „Deutsche Ingenieure sind es gewohnt, in messbaren Ergebnissen zu denken. Immer wieder begegnen wir der Frage, wie hoch den die Produktionssteigerung mit Sicherheitskomponenten sei“, sagt Olaf Mischkovsky, Senior Principal Presales Consultant bei Symantec.
„Auf diese Frage kann es nur eine Antwort geben: Unter Umständen können sie gar nichts produzieren“, erklärt Bedenbender. IT-Sicherheit ließe sich nun mal nicht messen. Man könne zwar Fehler in Systemen nachweisen, die Abwesenheit von Fehlern jedoch nicht. Eine gemeinsame Vorgehensweise zu Verbesserung der Sicherheit, wie sie der VDI in seiner Richtlinie vorschlägt, gibt es zumindest.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…