Heutzutage gibt es kaum mehr einen Bereich im öffentlichen Leben der nicht mit fortgeschrittenen Technologien ausgestattet ist. Industrielle Kontrollsysteme, kurz ICS (Industrial Control Systems) stecken in allen Infrastrukturen. Für das Funktionieren der Gesellschaft sind ICS überlebensnotwendig. In welchen Dimensionen diese Einfluss auf unser Leben haben, wird deutlich, wenn man sich die Einrichtungen betrachtet, die ohne ICS heute schon nicht mehr sicher funktionieren. Zu nennen sind hier zum Beispiel Krankenhäuser, Kraftwerke, Wasserversorgung, Minenförderbänder und Ölraffinerietürme. Dazu kommen auch Alarme von Gebäudeinformationssystemen. Kritische Infrastrukturen wie diese, sind auf die einwandfreie Funktionstüchtigkeit und auf die Sicherheit der verbauten Systeme angewiesen.  

Schnelle Reaktion auf Auffälligkeiten

ICS werden häufig über ein Überwachungs- und Datenerfassungssystem, kurz SCADA (Supervisory Control and Data Acquisition), verwaltet. Ein SCADA stellt die grafische Benutzeroberfläche für die Bediener bereit und erlaubt Zugriff auf Kontrollfunktionen. Damit kann der Status eines Systems ohne großen Aufwand überwacht sowie Alarmsignale empfangen werden um Auffälligkeiten umgehend erkennen und beheben zu können.

ICS- und SCADA-Technologien werden immer häufiger eingesetzt. Dabei erfolgt die Kommunikation innerhalb der Systeme heute zunehmend auf Basis von Transmission Control Protocol (TCP)-basierten Internettechniken. Das macht die Technologie und ihre zugehörigen Geräte im Industrial IoT (IIoT) zu einem attraktiven Ziel für Hackerangriffe. Dabei können beispielsweise die Software lahmgelegt, Lösegeld erpresst oder die gesamte kritische Infrastruktur gefährdet werden. Angriffe auf SCADA- und ICS-Systeme können nicht nur die Sicherheit von Mitarbeitern beeinträchtigen, sondern im schlimmsten Fall Ausfälle in der öffentlichen Versorgung auslösen, wenn beispielsweise die Wasser- oder Stromversorgung lahmgelegt wird.

Cyber-Angreifer kommen aus unterschiedlichsten Bereichen

Angreifer von kritischen Infrastrukturen haben den unterschiedlichsten Hinter- und Beweggrund. Häufig stecken sowohl internationale Nachrichtendienste, Nerds als auch kriminelle oder extremistische Organisationen hinter einer solchen Cyber-Attacke. Bei einem Angriff versuchen es die Angreifer meist mit sogenannten Targeted Attacks. Diese Targeted Attacks haben zum Ziel, Daten zu stehlen, die in Infrastrukturen oder den Backends zusammenlaufen. Oft wird ein solcher Angriff über mehrere Phasen ausgeführt und kann deshalb über einen längeren Zeitraum andauern und hochkomplex gestaltet sein. Diese Komplexität ist der ausschlaggebende Grund dafür, dass ein Angriff oft unbemerkt bleibt und die Entwicklung von Abwehrmaßnahmen sich nur schwer gestalten lässt. Dies kann verheerende Folgen nach sich ziehen.

Mehrschichtiger Schutz gegen Cyber Angriffe notwendig

Damit SCADA- und ICS-Systeme reibungslos funktionieren und sicher gegenüber Cyberangriffen sind, brauchen sie einen mehrschichtigen Schutz. Dieser minimiert Risiken signifikant und erschwert es Angreifern erheblich, bis zu sicherheitskritischen Funktionalitäten vorzudringen. Dazu müssen Abwehrmaßnahmen in Kombination, sowohl auf Geräteebene, als auch auf der Ebene des Netzwerks, installiert werden. Unternehmen brauchen also heute mehr denn je eine umfassende Sicherheitsarchitektur mit integrierten mehrschichtigen Security-Lösungen.

Einfallstore für Cyber Angriffe auf kritische Infrastrukturen

Die Sicherheitslücken bei ICS- und SCADA-Systemen haben sich in den letzten Jahren immer mehr in die Erfassungs- und Darstellungsebene verlagert. Die immer weiter verbreitete Nutzung von webbasierten Human-Machine-Interfaces (HMI)-Systemen erleichtert es Cyber-Angreifern, in die Systeme vorzudringen, da sich webbasierte HMIs im Vergleich zu Datenkommunikations- und Umwandlungskomponenten im ICS- und SCADA Systemen leichter penetrieren lassen.

Alle ICS- und SCADA-Systeme sind zwar unterschiedlich aufgebaut, die Komponenten Datenerfassung, Datenumwandlung, Kommunikation und Darstellung sind jedoch in leicht abgewandelten Formen bei jedem dieser Systeme vorhanden. Nach Analysen von Qualys befinden sich aktuell in der Darstellungskomponente über die Hälfte der für Hacker interessanten Sicherheitslücken. Diese Komponente ist für die Überwachung und Steuerung der über diverse Kommunikationskanäle eintreffenden Daten zuständig.

Absicherung gegenüber Cyber Angriffen – was ist zu tun?

Ein aktueller umfassender Angriff auf ein ICS- oder SCADA-System, ist der auf Norsk Hydro, einem international führenden Aluminiumhersteller. Aus den öffentlich verfügbaren Informationen geht hervor, dass den Cyber-Angreifern eine breite Angriffsoberfläche zur Verfügung stand. Die mehrschichtige Absicherung der Systeme ist eine komplexe Aufgabe. Um die Sicherheitsinfrastruktur zu verbessern sind grundlegende Sicherheitspraktiken notwendig. Dazu gehören Zugriffskontrollen, rollenspezifische Zugriffe, Patchen und Entfernung von Debugging-Diensten in Kombination mit der Prüfung ob die Systeme versehentlich vom Internet aus erreichbar sind sowie die Etablierung von Auditing Maßnahmen und Schwachstellenanalysen.

Um ICS- und SCADA-Systeme umfassend zu sichern, ist die Integration von Cyber Security Lösungen unbedingt erforderlich. Um aus erster Hand mehr über die Sicherung von ICS- und SCADA-Systemen zu erfahren, interviewten wir von magility Herrn Ilan Barda, Gründer und CEO von Radiflow. Radiflow ist eines der führenden Unternehmen für industrielle Cyber Security Lösungen aus Tel Aviv, Israel. Radiflow bietet mehrschichtige Schutzsysteme und Cyber Security Komplettlösungen für Industrieunternehmen und Betreiber kritischer Infrastrukturen an. Ilan Barda (IB) blickt auf jahrzehntelange Erfahrung in den Bereichen Sicherheit und Telekommunikation zurück. Zuletzt war Barda CEO von Seabridge, einer Siemens-Tochter, die weltweit für das Carrier-Switches-Portfolio von Siemens/Nokia-Siemens verantwortlich ist.

Portrait Ilan Barda, Gründer & CEO Radiflow © Radiflow

Herr Barda, was ist aktuell die größte Herausforderung für die Cyberwelt?

Ilan Barda (IB): Der Trend von Cyber-Attacken im Bereich industrielle Automatisierung weitet sich immer mehr von Angriffen auf kritische Infrastrukturen von Staaten hin zu Angriffen, die auf Betriebsunterbrechungen in Produktionsstätten abzielen, wie im jüngsten Fall von Norsk Hydro, aus. Dies sollte produzierende Unternehmen in höchste Alarmbereitschaft versetzen, mögliche Schwachstellen in ihren Produktionsabläufen zu identifizieren.

Wie kann ein Betreiber von ICS / SCADA-Systemen potenzielle Schwachstellen erkennen?

IB: Wir empfehlen mit einer Sicherheitsbewertung des Produktionsnetzwerks zu beginnen. Bei diesem Vorgang werden alle Netzwerkkomponenten und ihre Konnektivität abgebildet und die möglichen Angriffsvektoren analysiert. Im Anschluss sollten die Vektoren mit den Produktionsprozessen abgeglichen werden, um die Risiken zu bewerten und die erforderlichen Maßnahmen nach Prioritäten zu planen.

Welche Gemeinsamkeiten bestehen zwischen der Cyber Security für Unternehmen (IT-Sicherheit) und der Cyber Security für industrielle Netzwerke (OT-Sicherheit)? Gibt es Unterschiede?

IB: Durch die Industrie 4.0 werden stetig mehr digitale und vernetzte Systeme in Produktionsnetzwerke integriert, so dass diese den Unternehmensnetzwerken (IT) immer ähnlicher werden. Der Schlüsselfaktor für den Erfolg von Unternehmen ist eine kontinuierliche Fertigung rund um die Uhr. Deshalb werden viele dieser digitalen Produktionssysteme nicht wie die PCs des Unternehmens durch regelmäßige Sicherheitsupdates auf dem aktuellsten Stand gehalten. Der Fokus auf Verfügbarkeit und Produktivität führt darüber hinaus auch dazu, dass unsichere Methoden zur Anwendung kommen, wie z. B. die Nutzung gleicher Kennwörter oder veraltete Systeme beibehalten werden, die nicht über ausreichenden Zugangsschutz und nötige Kontrollmechanismen verfügen.

Wie können ICS- und SCADA-Systeme cybersicher gestaltet werden? Wie können bestehende Systeme nachgerüstet werden?

IB: Die Einführung der Cyber Security in neue ICS- und SCADA-Systeme sollte mithilfe von SDLC (Secure Development Life Cycle) erfolgen, um sicherzustellen, dass das Design alle Sicherheitsaspekte integriert. Dies ist bei bestehenden Netzinfrastrukturen, die sehr umfangreich sein können, nicht zielführend. In diesen Netzwerken sollte die Einführung von Cyber Security Personen, Prozesse und Produkte einbeziehen. Auf Produktebene geht es dabei hauptsächlich um die Einführung von Überwachungssystemen zur Erkennung von Anomalien und Präventionssysteme, die regelkonformen Systemzugang sicherstellen.

Was müssen Investoren bei der Bewertung von Cyber-Investitionen Ihrer Meinung nach berücksichtigen?

IB: ICS- und SCADA-Betreiber sind keine Sicherheitsexperten. Daher ist es wichtig, ihnen benutzerfreundliche Lösungen anzubieten – entweder in Form von Security-Tools, die in die industriellen Systeme integriert sind oder durch die Zusammenarbeit mit einem externen Dienstleister, der Security as a Service anbietet und bei Auffälligkeiten im System einen Alarm an den Betreiber absetzt.

Wenn Unternehmen sowie die öffentliche Hand auf die Unversehrtheit und Sicherheit von Mitarbeitern und der Bevölkerung Wert legen, muss Cyber Security zur höchsten Priorität werden. Wir von magility arbeiten mit Radiflow und anderen Experten für ganzheitliche Cyber Security Lösungen zusammen und unterstützen Sie gerne bei der Implementierung von end-to-end Cyber Security Lösungen in Ihrem Unternehmen. Kontaktieren Sie uns gerne!