Industrielle IT-Sicherheit Gute Ratschläge vom Bundesamt

IT-Sicherheit von industriellen Steuerungssystemen
IT-Sicherheit von industriellen Steuerungssystemen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Kompendium zur IT-Sicherheit von industriellen Steuerungssystemen veröffentlicht. Das Kompendium listet wichtige Problemfelder auf, die man angehen muss, wenn man die IT-Sicherheit von Anlagen verbessern will.

Lange Zeit waren industrielle Steuerungen und Anlagen sicherheitstechnisch gesehen wie Inseln ohne Verbindung zur Außenwelt. Die Netzwerke waren physisch von den IT-Netzen getrennt, vom Internet ganz zu schweigen. Und selbst als sich die Fernwartung – anfangs noch über Modems – als kostengünstige Wartungsmöglichkeit eta­blierte, waren noch viele der Meinung: Wer interessiert sich denn schon für Industrie­anlagen? Wer soll sich da reinhacken? Der Aufwand dafür lohne doch nicht.

 Der erste Weckruf ertönte dann mit dem Wurm Stuxnet, der allderdings noch, geradezu prähistorisch, über infizierte USB-Sticks eingeschleppt wurde. Und selbst nach dieser Affäre glaubten viele noch, Stuxnet habe ja nur der Sabotage des iranischen Atomprogramms gegolten und schon aufgrund des hohen Programmieraufwands würden sich derartige Angriffe kaum wiederholen. Doch schon im Oktober 2011 wurde der Nachfolger Duqu entdeckt, der vermutlich von den gleichen Autoren wie Stuxnet geschrieben wurde. Und spätestens seit diesem Herbst wissen wir, dass man sich nicht nur vor „Feinden“ schützen sollte.

Nicht auf Anti-Spionage-Abkommen vertrauen

 Nun will die Bundesregierung ein bilaterales Abkommen mit den USA aushandeln, das die gegenseitige Spionage abstellen soll. Jan Techau, Europa-­Direktor der US-amerikanischen Carnegie-Stiftung, sagte dazu in einem Interview im Deutschlandfunk: „Das führt sicherlich dazu, dass man Vertrauen wieder aufbaut. Aber an der Tatsache, dass man sich gegenseitig ausspioniert, wird das nichts ändern. Und niemand wird deswegen vor Gericht gehen oder irgend jemanden verklagen. Also ist es eher Symbolpolitik. Die ist nicht total wertlos, aber sie bringt keine Veränderung des Grundproblems.“

Zu den Abwehrmaßnahmen führte Techau aus: „Das einzige, was man wirklich tun kann, um die Sache zu verbessern und um selber nicht naiv zu sein, ist, sich selber zu schützen und zu investieren, dass man nicht ausspioniert werden kann und dass man auch selber besser beim Spionieren wird, denn das ist die Währung, die ernst genommen wird.“

Ganz in diesem Sinne hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der SPS IPC Drives ein „Industrial Control System Security Kompendium“ veröffentlicht. Das ­Dokument zeigt wichtige Basisinformationen auf und will den Verantwort­lichen bei Herstellern, Integratoren und Betreibern nahebringen, wie man systematisch vorgeht, um zu optimal abgesicherten Systemen zu kommen.

Ein viel beklagter Mangel bei der Sicherheit von industrieller Netzwerk- und Computertechnik sind die Kommunikationsschwierigkeiten zwischen den Sicherheitsverantwortlichen der klassischen Unternehmens-EDV und denen der Produktionssysteme. Seitdem die Fabriken mit der Unternehmens-IT zu sogenannten MES-Systemen (Manufacturing Execution System) verbunden werden und damit eine physische Netzwerkverbindung zum Firmen-Intranet besteht, sind diese Systeme prinzipiell den gleichen Angriffsrisiken wie die Büro-IT ausgesetzt. Das BSI-Kompendium listet hier in übersichtlicher Form die unterschiedlichen Sicherheitsanforderungen beider Bereiche auf und führt auf, warum sich maschinennahe IT nicht in gleicher Weise schützen lässt wie Büroausrüstung – sei es, weil Patches nur im Zuge geplanter Wartungszyklen eingespielt werden können oder weil nach einer Software-Änderung das Echtzeitverhalten einer Anlage neu überprüft werden muss.

ICS-KomponenteSicherheitsrelevante Beobachtungen
NetzAnbindung unbekannter Systeme zur Datensicherung
Firewall/RouterRegeln nicht ausreichend restriktiv Undokumentierte Regeleinträge Offenbar nicht mehr benötigte Datenflüsse Bypass im Routing IP-Forwarding auf Servern
ModemsUngeschützter Zugang Anschluss nicht dokumentiert Ständige Verbindung (always on)
FernwartungAnschluss direkt in Feldebene
Betriebssysteme/HärtungBetriebssystemkomponenten nicht gehärtet Nicht benötigte Dienste angeboten Nicht unterstützte neue Betriebssystem-Version und fehlende Patches
FunkverbindungenFehlende Verschlüsselung Veraltete Netzelemente
Industrie-SwitchesFehlende Robustheit gegen unerwartete bzw. nicht standardkonforme Kommunikation Backdoors (z. B. hart codierte Passwörter)
Veraltete NetzelementeAdministrativer, webbasierter Zugang ohne Absicherung (z.B. SSL) Fehlende Protokollunterstützung (z.B. nur ‚telnet‘-Zugang)
Sicherheitsrisiken, die in jüngerer Zeit bei Audits von industriellen Steuerungssystemen festgestellt wurden. (Quelle: BSI)