Blog

Der Unterschied zwischen ICS-Systemen und anderen, etwa Office-Systemen von Unternehmen, besteht darin, dass Unterbrechungen oder ein erfolgreicher Cyberangriff auf ein ICS-Netzwerk zu massiven Ausfällen, Hunderttausenden von betroffenen Benutzern und sogar zu einer nationalen Katastrophe führen können. Der Stuxnet-Angriff auf eine iranische Urananreicherungsanlage im Jahr 2010 als auch die Malware BlackEnergy, die 2015 gegen das ukrainische Stromnetz eingesetzt worden ist, brachten einen bitteren Vorgeschmack auf mögliche Katastrophenszenarien.

Risiken für ICS-Systeme kennen

Die Sicherung von Industriesystemen ist keine triviale Aufgabe. Die meisten wurden gebaut, noch bevor die erste Cyber-Bedrohung auftauchte, und verfügen daher nicht über integrierte Sicherheitsmechanismen, die bereits in ihre Konstruktion einbezogen worden sind. Daher ist die Kenntnis einiger der häufigsten Bedrohungen für industrielle Steuerungssysteme der erste Schritt, den jedes Industrieunternehmen zum Schutz seines Netzwerks unternehmen kann. Grundsätzlich lassen sich diese Risikoarten unterscheiden:

• Externe Bedrohungen und gezielte Angriffe
  Wenn man bedenkt, dass industrielle Steuerungssysteme häufig in den Bereichen Chemietechnik, Fertigung, Vertrieb und Gesundheitswesen eingesetzt werden, ist es nicht verwunderlich, dass diese Systeme ein beliebtes Ziel von terroristischen Gruppen, Hacktivisten und anderen Gruppen mit bösartigen Absichten sind. Politisch motivierte Angriffe zielen in der Regel darauf ab, physischen Schaden anzurichten oder den Betrieb zu stören, während Industriespionage-Angriffe eher auf den Diebstahl oder die Beschädigung von geistigem Eigentum ausgerichtet sind.
   
• Interne Bedrohungen
  Insider-Bedrohungen sind für IT-Netzwerke gut dokumentiert, aber sie können auch für industrielle Netzwerke ein grosses Risiko darstellen. Von verärgerten Mitarbeitenden bis hin zu Auftragnehmern, die mit der betroffenen Organisation noch ein Hühnchen zu rupfen haben - die interne Bedrohung ist real. Die meisten ICS-Netzwerke erfordern wenig bis gar keine Authentifizierung oder Verschlüsselung, die Benutzeraktivitäten kontrolliert oder einschränkt. Das bedeutet, dass jeder Insider in der Regel uneingeschränkten Zugang zu jedem Gerät im Netzwerk hat.
   
• Menschliche Fehler
  Es liegt in der menschlichen Natur, Fehler zu machen. Wenn jedoch in einem Netzwerk für industrielle Steuerungssysteme Fehler gemacht werden, können diese kostspielig sein und grosse Auswirkungen auf den Betrieb und das Ansehen haben. In vielen Fällen wird menschliches Versagen sogar als die grösste Bedrohung für ein ICS-Netzwerk angesehen. Zu den menschlichen Fehlern gehören falsche Konfigurationen, Fehler bei der SPS-Programmierung oder das Vergessen der Überwachung wichtiger Metriken oder Alarme.

Primäre und Folgebedrohungen

Bei den konkreten Bedrohungen für ICS muss zwischen primären Angriffen und Folgeangriffen unterschieden werden. Primäre Angriffe sind darauf ausgerichtet, in die Anlagen und Unternehmen einzudringen. Folgeangriffe zielen darauf ab, nach einer primären Attacke weitere interne Systeme anzugreifen oder Zugriff darauf zu erhalten. Zu den Folgeangriffen gehören etwa das Auslesen von Zugangsdaten zur Rechteerweiterung, der unberechtigte Zugriff auf weitere interne Systeme sowie die Manipulation von Netzwerkkomponenten.

Zero Trust für die Absicherung von ICS Netzwerken

Die Sicherung von ICS gegen die verschiedensten Bedrohungen erfordert gut geplante und umgesetzte Strategien, die den Netzwerkverteidigungsteams die Möglichkeit geben, einen Angreifer schnell und effektiv zu erkennen, zu bekämpfen und zu vertreiben. Dabei gewinnt das Konzept des Null-Vertrauens für die Sicherung von Informationsnetzwerken zunehmend an Popularität. Eine Zero-Trust-Architektur ist ein leistungsfähiges Instrument, das Sicherheitsexperten dabei hilft, optimale Wege zur Gestaltung von Sicherheitskontrollen für ihre Netzwerke zu finden. ICS- und kritische Infrastrukturnetzwerke unterscheiden sich jedoch erheblich von IT-Netzwerken und erfordern einen modifizierten Ansatz - insbesondere in Bezug auf die Entscheidung, wo der Datenverkehr verschlüsselt werden soll und ab welchem Punkt eine Ende-zu-Ende-Verschlüsselung die Verfügbarkeit von Schutz- und Kontrollgeräten beeinträchtigt. 

Schutzmassnahmen für ICS-Systeme

Neben der Architektur spielen auch die richtigen Schutzmassnahmen eine wesentliche Rolle. Wichtig sind:

1. Implementierung von Application Whitelisting, um die versuchte Ausführung von Malware erkennen und verhindern zu können, die von Angreifern hochgeladen wird. 
2. Gewährleistung einer ordnungsgemässen Konfigurations-/Patch-Verwaltung: Angreifer haben es auf ungepatchte Systeme abgesehen. Ein Konfigurations-/Patch-Management-Programm mit Schwerpunkt auf den sicheren Import und die Implementierung vertrauenswürdiger Patches hilft dabei, Kontrollsysteme sicherer zu machen.
3. Verringerung der Angriffsfläche: Dazu gehört die Isolierung von ICS-Netzwerken von allen nicht vertrauenswürdigen Netzwerken, insbesondere vom Internet und das Sperren aller ungenutzten Ports.
4. Aufbau einer verteidigungsfähigen Umgebung, um den Schaden, der durch Verletzungen des Netzwerkrands entsteht, zu begrenzen. Dazu gehören die Segmentierung von Netzwerken in logische Enklaven und die Einschränkung der Host-to-Host-Kommunikationspfade. Dies kann Angreifer daran hindern, ihren Zugang zu erweitern, während die normale Systemkommunikation weiterläuft. Enclaving begrenzt zudem den möglichen Schaden, da kompromittierte Systeme nicht verwendet werden können, um Systeme in anderen Enklaven zu erreichen Die Eindämmung durch Enclaving macht auch die Bereinigung von Vorfällen deutlich weniger kostspielig.
5. Verwaltung der Authentifizierung: Angreifer konzentrieren sich zunehmend darauf, die Kontrolle über legitime Anmeldedaten zu erlangen, insbesondere solche, die mit hoch privilegierten Konten verbunden sind. Die Kompromittierung dieser Berechtigungsnachweise ermöglicht den Kriminellen, sich als legitime Benutzer auszugeben, was weniger Beweise hinterlässt als das Ausnutzen von Schwachstellen oder die Ausführung von Malware. Daher sollten, wo immer möglich, eine mehrstufige Authentifizierung implementiert und die Berechtigungen auf die wesentlichen Aufgaben eines Benutzers eingeschränkt werden. 
6. Implementierung eines sicheren Fernzugriffs: Einige Angreifer sind in der Lage, sich aus der Ferne Zugang zu Kontrollsystemen zu verschaffen, indem sie Zugangsvektoren und sogar “versteckte Hintertüren”, die von den Systembetreibern für andere Zwecke geschaffen wurden, nutzen.
7. Überwachen und reagieren: Die Verteidigung eines Netzwerks gegen moderne Bedrohungen erfordert eine aktive Überwachung und im Fall des Falles die schnelle Durchführung einer vorbereiteten Reaktion.

Organisatorische Massnahmen

In der klassischen Office IT haben sich mittlerweile viele Sicherheitsprinzipien durchgesetzt und sind quasi bereits by Design in Betriebssystemen, Anwendungen und Update Konzepten berücksichtigt. Diese setzen sich in der ICS Welt jedoch wesentlich langsamer durch. Dieser Umstand ist einerseits auf die ungleich längeren Planungs- und Lebenszyklen zurückzuführen, zu einem erheblichen Teil aber auch auf konzeptionelle Unterschiede. Traditionell wurden und werden in ICS Umgebungen die Verfügbarkeit eher höher gewichtet als Integrität oder Vertraulichkeit von Informationen. Das BSI empfiehlt hier zum Beispiel die Einführung folgender organisatorischer Massnahmen:

• Etablieren des „Need-to-Know“-Prinzips: Kenntnis von Systemdetails, Passwörtern, etc. sowie Zugriff auf sensible Daten nur wenn erforderlich.
• Etablieren geeigneter Policies insbesondere für kritische Prozesse im ICS-Netz: Beispielsweise Vorgaben bzgl. Sicherheits- und Konfigurationsmanagement, welche die Einbindung von Sicherheitsexperten und anderen relevanten Rollen regeln, sodass Änderungen oder Aktualisierungen ausschliesslich nach Abstimmung mit diesen erfolgen. Wichtig ist dabei, sämtliche Festlegungen zu dokumentieren und möglichst flankierende Vorkehrungen (z.B. Vieraugenprinzip) zu treffen.
• Geeignete Vorgaben («Policies & Procedures») für den Umgang der Mitarbeitenden mit technischen Systemen (z. B. Handhabung von Wechseldatenträgern, Kommunikationsverhalten bei E-Mail und in Sozialen Netzen, Passwort-Richtlinien, Installation individueller Software, etc.). Diese sollten Massnahmen zum zielgruppenspezifischen Awareness Training umfassen und sollten nicht nur die eigenen Mitarbeitenden, sondern auch Mitarbeitende von Partnern und Dienstleistern miteinschliessen. Eine weitere Massnahme ist das Etablieren von Alarmierungswegen bei Vorfällen und auch bereits bei Verdacht. Diese sollten definiert und kommuniziert werden und keine negativen Konsequenzen für die Mitarbeitenden haben.

Umgang mit Drittpartei Risiken (Third Party Risks)

Outsourcing ist auch bei Betreibern von ICS-Systemen längst zum Trend geworden. Dabei wird zunehmend auf spezialisierte Anbieter zurückgegriffen. Unternehmen mit ICS-Systemen sollten das erforderliche Sicherheitsniveau als Teil der vertraglich vereinbarten Leistungserbringung (Service Level Agreement) im Vertrag mit der Drittpartei festhalten. Es sollte auch regelmässig durch den Leistungserbringer ausgewiesen werden und für den Leistungsempfänger überprüfbar sein. Bei Cloud-basierten Lösungen ist darauf zu achten, dass die Informationen durch entsprechende kryptographische Lösungen jederzeit vor dem Zugriff von Dritten geschützt sind, und zwar sowohl bei der Speicherung wie auch bei der Übermittlung.
 

Zusammen. Sicher.

Angesichts der rasanten Zunahme von Bedrohungen für ICS-Systeme benötigen Industrieunternehmen eine gute Sicherheitsstrategie und eine professionelle Umsetzung aller Sicherheitsmassnahmen. Wie ist der Status diesbezüglich bei Ihnen? Kontaktieren Sie uns, wenn Sie Unterstützung benötigen. Unsere Experten stehen Ihnen gerne zur Verfügung.

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.