Sicherheit von Industriesteuerungen Die fünf häufigsten Schwachstellen

Cyperangriffe in industriell vernetzten Systemen wächst.
Cyper-Angriffe in industriell vernetzten Systemen nehmen zu.

Mit der wachsenden Vernetzung von industriellen Systemen rücken auch diese immer stärker in das Visier von Cyber-Angriffen. Die Schwachstellen, die die Angreifer nutzen, sind immer wieder dieselben.

Da Cyber-Bedrohungen sowohl hinsichtlich Volumen als auch Raffinesse zunehmen, wird auch die Absicherung von industriellen Steuerungssystemen zu einer immer größeren Herausforderung. „Trotz der Verschiedenartigkeit der kritischen Infrastrukturen fallen die meisten der sicherheitsrelevanten Schwachstellen solcher industriellen Steuersysteme in eine oder mehrere von fünf Kategorien“, fasst Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, zusammen. „Wir haben diese Schwachstellen aufgelistet und zeigen Möglichkeiten auf, um Sicherheitsprobleme zu lösen.“

Schwache Passwörter

Wo möglich, sollten starke Passwörter verwendet werden. Dies könnte auch Kontosperrungsregeln beinhalten, um Brute-Force-Angriffe zu unterbinden. Wenn die Einführung von starken Passwörtern nicht ohne Risiken für das Steuerungssystem umgesetzt werden kann, sollte eine andere Sicherheitskomponente zwischengeschaltet werden. Dies könnte eine Firewall oder ein Terminal Server sein, sodass die Einführung starker Passwörter erleichtert wird, ohne Auswirkungen auf das Steuerungssystem selbst.

Schlechtes Patch Management

Patch Management ist ein heikles Unterfangen. Wenn Maschinen in einer Industrie-Infrastruktur ordnungsgemäß implementiert sind, wurden alle erforderlichen Ports und Protokolle identifiziert, um die korrekten Software-Funktionen zu ermöglichen. In diesem Fall ist häufiges Patchen in der Regel nicht erforderlich, da die Systeme zum größten Teil von statischer Natur sind. Aber das bedeutet nicht, dass man Patch-Management-Regeln ignorieren kann. Jede Industrie-Umgebung erfordert einen Plan und ein Verfahren für das Aufspielen erforderlicher Patches. Nur so können bekannte Schwachstellen, die eine Bedrohung für die Umgebung darstellen, abgesichert werden. Nicht alle Schwachstellen stellen aber eine Bedrohung für die Systeme dar. Wenn zum Beispiel keine Web Services auf dem System laufen, ist es nicht notwendig, die Web Services zu patchen. Erfolgt dies trotzdem, erhöht sich nur das Risiko, dass das System beeinträchtigt wird.

Ungenügende Netzwerksegmentierung

Feldbusse und andere Steuerungsnetze wurden zu einer Zeit entwickelt, als die Netzwerkanbindung kein Problem darstellte. Diese Systeme waren komplett getrennt vom übrigen Netzwerk. Erst durch die Einführung von SCADA- und MES-Systemen entstand immer mehr der Bedarf, Daten aus diesen Systemen ins Unternehmensnetz zu transferieren. So begannen die IT-Abteilungen, die Netze zusammenzuschalten. Eine wichtige Sicherheitsmaßnahme ist hier die Einführung von ISA/IEC 62433. Diese Norm, die die International Society for Automation entworfen hat, regelt die Segmentierung von Netzwerken. Damit lassen sich kritische Ressourcen auf einfache Weise isolieren, sodass eine klar definierte Grenzlinie besteht. Ebenso praktikabel ist es, diese Systeme vom Internet fernzuhalten, indem sie hinter Firewalls positioniert und von allen unnötigen Geschäftsnetzwerkdiensten isoliert werden. Erfordern die Systeme Fernzugriff, müssen sichere Methoden für mehr granulare Zugriffskontrolle eingeführt werden. Hierzu gehört auch die Erfassung aller Zugriffe auf das System.

Keine Authentifizierung zu Ressourcen

Wenn das industrielle Steuerungssystem hinter einer Firewall steht, lässt sich eine bessere Zugriffskontrolle durchsetzen. Stellt die Firewall keine realisierbare Option dar, sollte eine andere Komponente zwischengeschaltet werden, die einen Login-Zugang erfordert.

Standard-Benutzerkonten mit Standard-Passwörtern

Zu guter Letzt sollten – wann und wo immer möglich – Standardbenutzer-IDs und Standard-Passwörter für die Umgebung deaktiviert oder geändert werden. Ebenso ist es nicht praktikabel, sich im Problemfall durch eine lange Liste von Passwörtern vortasten zu müssen. Gleiches gilt, wenn 50 Steuerungseinheiten in Betrieb sind, die nicht zentral verwaltet werden. Viele Administratoren solcher Steuerungssysteme werden sagen: „Es würde ewig dauern, die Passwörter auf allen Steuerungseinheiten zu ändern.“ Aber es kann ein geändertes Passwort für alle 50 Systeme genutzt werden, insbesondere, wenn eine Anbindung an das Intranet/Internet gegeben ist. Die erforderliche Zeit und Energie, um die Änderung einmal durchzuführen, ist mit viel weniger Aufwand verbunden als die Folgen eines Ausfalls. Ganz zu schweigen von der Berichterstattung an die Führungsetage, dass die Umgebung wegen eines Passwortproblems kompromittiert worden ist.

(nach Unterlagen von Palo Alto Networks)