TÜV Rheinland »In Sachen Cyber-Sicherheit gibt es reichlich Luft nach oben«

Sicherheit und Industrie 4.0

Welche Lösungen schlagen Sie vor?

Netztrennung und Netzsegmentierung ist das Allerwichtigste. Daneben sollten die Übergänge zwischen den Netzsegmenten innerhalb der Produktionsanlagen durch Next Generation Firewalls (NGFW) abgesichert werden. Damit ist auch eine Protokoll- bzw. applikationsspezifische Absicherung zu erreichen. So ist es beispielsweise möglich, ein IEC-104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren. Die Kommunikation lässt sich so deutlich granularer kontrollieren und die Sicherheit erheblich steigern.

NGFWs allein reichen aber noch nicht, um die Produktions-IT vor Cyber-Angriffen zu schützen ...

Nein. Wir empfehlen außerdem die Einführung einer Zwei-Faktor-Authentisierung, um automatisierte unbefugte Zugriffe weitestgehend zu unterbinden. Selbst wenn Schad-Software Zugangsdaten zu den Produktionssystemen über einen Keylogger mitprotokolliert, wäre ein manipulativer System-Zugriff nur dann möglich, wenn der Angreifer den zweiten erforderlichen Faktor – etwa ein OTP (One Time Password) auf Basis eines Hard- oder Software-Tokens oder einer SMS – zur Verfügung hätte.
 
Wie lassen sich Remote-Verbindungen besser absichern?

Indem man sie am besten gar nicht mehr benutzt. Scherz beiseite. Denkbar ist, Remote-Verbindungen jeweils fallspezifisch durch das Personal der Produktions-IT manuell freizugeben. Eine Lösung, die erfahrungsgemäß nicht von langer Dauer ist und die übrigens auch gegen interne Angreifer nichts auszurichten vermag.
 
Weder mit der Zwei-Faktor-Authentisierung noch mit der manuellen Freigabe von VPN-Verbindungen ist auszuschließen, dass Schad-Software etwa von unkontrollierten Dienstleistersystemen in die Produktionssysteme gelangt …

Das stimmt. Hundertprozentige Sicherheit gibt es aber leider nirgendwo. Um diesen Angriffsvektor zumindest reaktiv und forensisch nachvollziehbar abzusichern, raten wir dazu, den Zugriff auf die Steuerungssysteme der Produktionsanlagen ausschließlich über ein RDP/SSH- bzw. Remote-Administrations-Protokoll zu erlauben und diese administrativen Sessions über eine technische Lösung aufzuzeichnen. Damit lässt sich zumindest hinterher monitoren, wer die Anomalie bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. So ist nicht nur die Art der Manipulation zu ermitteln, sondern auch, wie sie sich wieder rückgängig machen lässt.
 
Wie lassen sich Ihrer Erfahrung nach physikalische Zugriffe auf Produktionsanlagen verhindern oder eindämmen?

Völlig verhindern lassen sie sich nicht, aber es ist wichtig, sie so früh wie möglich zu erkennen, um Attacken im Keim zu ersticken und den möglichen Schaden so weit wie möglich zu begrenzen. SIEM-Systeme (Security Information and Event Management), wie sie in der Office-IT üblich sind, sind ein Weg, mit denen sich, analog zu konventionellen IT-Systemen wie Firewalls oder Proxies, auch die Log-Daten von Produktionssystemen sammeln, aufbereiten und korrelieren lassen. Im Gegenteil, in der Produktions-IT sind Log-Meldungen solcher Systeme sogar homogener und einfacher zu korrelieren als Daten aus »Office-IT«-Netzwerken, weil sie sich mehrheitlich deterministisch und zyklisch verhalten. Auf Basis der korrelierten Log-Meldungen der Einzelsysteme ist es vergleichsweise einfach, Anomalien im Verhalten der Anlagen zu erkennen.
 
Network Traffic Baselining sollen ein weiterer, vielversprechender Ansatz zur Detektion von Anomalien sein. Was steckt dahinter?

Eine spannende Lösung! An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an zentrale Korrelatoren ausleiten und ein entsprechendes Baselining (Basisverhaltensmuster) herstellen. Das bedeutet, der Korrelator »erlernt« das »normale« Verhalten und die Interaktion der Produktionskomponenten. Erkennt er entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- bzw. IT-Personal die Möglichkeit gibt, den Sicherheitsvorfall zu qualifizieren und ihn entsprechend zu bearbeiten. Wichtig ist, dass diese Systeme in der Lage sein sollten, den generierten Netzwerkverkehr bis auf die konkreten Steuerungskommandos der Systeme zu analysieren und in einen entsprechenden Kontext zu setzen.
 
Wie sehen Sie diese IT-Sicherheits-Defizite im Zusammenhang mit Industrie 4.0?

Wenn die IT-Sicherheitsstandards der technischen Entwicklung weiter hinterherhinken, werden nicht behobene Schwachstellen auch in der Industrie im Rahmen von Industrie 4.0 und dem Internet der Dinge Auswirkungen ganz anderer Dimension haben, die wir uns vielleicht heute noch gar nicht vorstellen können.