Lynx: Industriecomputer absichern Security wird Grundvoraussetzung

Arun Subbarao, Lynx: »Ganz eindeutig gibt es nicht genügend ausreichend Qualifizierte für die Implementierung von Security in industriellen Steuerungssystemen.«
Arun Subbarao, Lynx: »Ganz eindeutig gibt es nicht genügend ausreichend Qualifizierte für die Implementierung von Security in industriellen Steuerungssystemen.«

Die letzte Ransomware-Welle mit „Wanna Cry“zeigte, dass auch Steuerungen und Embedded Systeme wie Bahnhofs-Displays nicht vor den Cyberkriminellen sicher sind. Arun Subbarao, Vice President Engineering & Technology von Lynx Software Technologies, bewertet diese Problematik.

Markt&Technik: Muss wirklich jede Steuerung (ICS) und jedes Embedded System mit dem Internet verbunden sein?

Arun Subbarao: Die Verheißung des IIOT umfasst notwendigerweise eine Anbindung der Betriebstechnik (OT) an die herkömmliche Informationstechnologie (IT), um Fernverwaltung, Ferndiagnostik, vorbeugende Instandhaltung und Ausfallanalyse überhaupt realisieren zu können. Also müssen Technologien der Kategorie ICS/SCADA/SPS internetfähig gemacht werden, was andererseits jedoch eine neue Klasse von Angriffsvektoren erschafft.

Was haben Hersteller von Industriesteuerungen getan bzw. was ist noch zu tun, um diese gegen Ransomware zu sichern?

Leider ist das Bewusstsein um die Gefahren aus dem Netz für Industriesteuerungen noch ein relativ geringes. Der wesentliche Aspekt eines ICS ist doch die direkte Steuerung eines physischen Systems, das direkte Auswirkungen auf die Sicherheit des Menschen hat. Von den drei wichtigsten Sicherheitsprinzipien – Vertraulichkeit, Integrität und Verfügbarkeit – ist bei ICS der Verfügbarkeitsaspekt am verwundbarsten. Verfügbarkeit bescheinigt, dass das System jederzeit aktiv und betriebsbereit ist. Jede Sicherheitsmaßnahme zum Schutz der Systemverfügbarkeit vor Kompromittierung ist daher essenziell für die Sicherheit einer Industriesteuerung. Umgekehrt werden böswillige Akteure versuchen, die Verfügbarkeit zu beeinträchtigen und dies dann für Ransomware-Angriffe zu nutzen.

Bedeutet ein Extraschutz höhere Preise?

Diese zusätzlichen Sicherheitsmaßnahmen bedeuten natürlich höhere Kosten für den Entwickler, doch werden diese Kosten nicht unbedingt an den Kunden weitergegeben werden. Auch wenn heute noch ein Aufschlag für zusätzliche Sicherheit berappt wird – in Zukunft wird der Kunde zusätzliche Sicherheit als Grundvoraussetzung verlangen und erwarten. Die ICS-Anbieter werden dem entsprechen müssen.

Ist ein Mangel an Fachkräften zu verzeichnen, die Steuerungssysteme ausreichend gegen Angriffe schützen könnten?

Ganz eindeutig gibt es nicht genügend ausreichend Qualifizierte für die Implementierung von Security in industriellen Steuerungssystemen. Doch der Mangel an ausreichend geschulten Sicherheitsspezialisten beschränkt sich nicht auf Industrie und Fertigung, sondern trifft den erweiterten IT-Bereich ebenso. Um diese spezielle Kompetenzlücke in Industrie und Produktion zu schließen, müssen Unternehmen dafür sorgen, Fachkräfte anzuziehen, die in der Lage sind, Schwachstellen in der Systemsicherheit einzuschätzen und entsprechende Sicherheitskontrollen einzuführen.

Was glauben Sie haben Anbieter der Betriebstechnik von Stuxnet und seinen Nachfolgern gelernt?

Die entscheidende Erkenntnis bei Stuxnet war, dass auf ICS zielende Malware keine Theorie sondern Realität ist. Stuxnet hat definitiv ein erhöhtes Bewusstsein Wahrnehmung um Online-Bedrohungen im industriellen Bereich in Gang gesetzt. Dennoch bleibt unklar, ob dies technologische Veränderungen bewirkt hat, um dieser Gefahr entgegenzuwirken. Die Industrie als Ganzes ist stark abhängig von netzwerkbasierten Schutzmechanismen. Die entscheidende Lösung dieses Problems liegt allerdings im Plattformschutz.

Welche Maßnahmen sollten dazu ergriffen werden?

Es gibt diverse wohlbekannte Technologien zur Sicherung von Industriesteuerungen. Die meisten sind dokumentiert im IISF des Industrial Internet Consortium. Man denke an Schlüsseltechnologien wie die Separierung/Isolierung von OT/IT-Domänen, Schwachstellenbewertungen und die Echtzeit-Überwachung hinsichtlich Sicherheitsbedrohungen. Ein gut durchdachtes ICS-System, das diese Techniken nutzt, wird viel unempfindlicher und widerstandsfähiger gegen Ransomware und andere Cyber-Bedrohungen sein.