•  
    • Bewirb dich jetzt!
    •  
      • Start
      • Leistungsprofil
        Leistungsprofil
        • IT-Infrastruktur
          IT-Infrastruktur
          • Beratung
          • Lösungen
            Lösungen
            • Storage und Backup
            • IT- & Organisations-Check
            • Log- und Eventmanagement
            • Netzwerk
            • Virtualisierung
            • Applikationen
            • Microsoft 365
          • Branchen
          • Kompetenzen
        • IT-Security
          IT-Security
          • Beratung
          • Lösungen
            Lösungen
            • Prozessorientiertes ISMS
            • IT-Security Check
            • Awareness-Schulung
            • Zugangsmanagement
            • Gateway
            • Endgeräte
            • Verschlüsselung
            • Schwachstellenmanagement
          • Branchen
          • Kompetenzen
        • IT-Service
          IT-Service
          • Lösungen
            Lösungen
            • IT-Dokumentation
            • IT-Monitoring
            • Schnittstellentechnologie
          • Kompetenzen
          • Kunden
        • ISMS und BCMS
          ISMS und BCMS
          • Lösungen
            Lösungen
            • Informationssicherheits-managementsystem (ISMS)
            • Informationssicherheits-Risikomanagement
            • Business Continuity Management (BCM)
            • Tool für prozessintegriertes Managementsystem
            • Sicherheitskonzepte und Sicherheitsrichtlinien
          • Branchen und Kunden
          • Kompetenzen
        • Support- und Managed Services
          Support- und Managed Services
          • Beratung
          • Lösungen
            Lösungen
            • SHD User Help Desk
            • Cloud Backup
              Cloud & Managed Services
              • Self-Service
              • Virtualisierung
              • Full-Service
            • IT- & Organisations-Check
            • Basisunterstützung
            • Betriebsunterstützung
            • Betriebsverantwortung
            • Cloud-Strategie
          • Kompetenzen
          • Kunden
        • Digitalisierung von Prozessen
          Digitalisierung von Prozessen
          • Beratung
          • Lösungen
            Lösungen
            • Digitales Wachstumspaket
            • Investitionsmanagement
            • Prozessdokumentation
            • HR: E-Recruiting
            • Kaufmännische Prüfung
            • Rechnungseingang
            • HR: Fehlzeitenmanagement
          • Branchen
          • Kompetenzen
          • Kunden
        • Branchenspezifische IT-Lösungen
          Branchenspezifische IT-Lösungen
          • Healthcare
            Healthcare
            • KHZG
            • ISMS
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
        • Branchenspezifische IT-Lösungen
          • Healthcare
          • Energie & Versorgung
          • Öffentliche Verwaltung
          • Transport & Logistik
          • Industrie & Handel
          • Automotive
      • Über SHD
        Über SHD
        • Entwicklung
        • Standorte
        • Partnerschaften
        • Engagement
      • Referenzen
      • Aktuelles
        Aktuelles
        • News
        • Veranstaltungen
        • Fachartikel
        • Podcast
      • Karriere
        Karriere
        • Bewerbungsprozess
        • Stellenangebote
          Stellenangebote
          • Einsteiger
          • Erfahrene
          • Schüler & Studenten
        • Jobs, die begeistern!
          Jobs, die begeistern!
          • Senior System Engineer
          • Softwareentwickler
          • IT-Consultant / Project Manager
          • BPM Consultant
          • Technology Consultant
          • Service Manager im Helpdesk
      • Kontakt
        Kontakt
        • Ansprechpartner
     
    • Startseite
    • Aktuelles
    • Fachartikel
    •  Werden Cybergefahren für Industrieanlagen unterschätzt

    Werden Cybergefahren für Industrieanlagen unterschätzt?

    Diese Abwehrmaßnahmen und Sicherheitsvorkehrungen sollten Sie treffen

    Angriffe auf die Operational Technology (kurz OT) nehmen durch die zunehmende Vernetzung der Systeme immer mehr zu. Ein Grund dafür ist, dass Standards und Protokolle größtenteils in den 70er und 80er Jahren entwickelt wurden, als IT-Sicherheit noch keine Priorität hatte. Hinzu kommt, dass eine Adaption von IT-Security Mechanismen in der OT nur bedingt möglich ist, da jegliche Software, die den Betrieb behindern könnte, von den Herstellern untersagt wird. In diesem Artikel wollen wir die Angriffsvektoren auf Industrieanlagen beleuchten und Abwehrmaßnahmen aufzeigen. Der Artikel gliedert sich hierbei in folgende Teilbereiche:

    • Design
    • Human Maschine Interface (kurz HMI)
    • Programmable Logic Controller (kurz PLC)
    • Protokolle
    • Vulnerability Management und Penetration Tests

    Sicheres Design von Industrieanlagen

    Es ist Best Practice, Industrieanlagen in separierten Netzwerksegmenten auszurollen, um die Angriffsvektoren zu minimieren. Ein Betrieb innerhalb der klassischen IT-Infrastruktur sollte hierbei nicht angestrebt werden. Leider werden derart grundlegende Vorgehensweisen bereits ignoriert, so dass Systeme teilweise auch direkt mit dem Internet verbunden und öffentlich einsehbar sind. Shodan hat dies sehr ansprechend in seinem ICS-Radar visualisiert und bietet auch eine dedizierte Suche für OT-Protokolle wie Modbus oder BACnet an. Aber auch Lieferanten von IIoT-Systemen umgehen gängige Sicherheitsdesigns, indem diese Router für eine VPN-Einwahl auf den Systemen ausliefern und direkt ans Internet koppeln. Diese befinden sich jedoch nicht in separierten Zonen und unterwandern meist gängige Sicherheitsstandards wie eine 2-Faktor-Authentifizierung oder die Protokollierung der Zugänge. Beides sind jedoch geforderte Maßnahmen in branchenspezifischen Sicherheitsstandard (B3S) oder der ISO 27001 Norm für IT-Sicherheit.

    Die Purdue Enterprise Reference Architecture bietet hier eine Möglichkeit der Segmentierung, welche sich an den Bedürfnissen der Unternehmen orientiert, aber einen starken Sicherheitsfokus bietet. Hierbei werden Prozesse, wenn möglich, isoliert betrachtet und diese Systeme in einzelne Level untergliedert. Die Kommunikation ist nur mit dem nächst höheren/niedrigeren Level innerhalb des Prozesses zulässig. Andere Prozesse sind nur über ein übergeordnetes Management sichtbar. Der Bereich lokales Control Center umfasst hier:

    • Master Server
    • HMI
    • Speichersysteme für historische Daten

    Der Bereich Side Wide Control ermöglicht die Kontrolle über alle lokalen Control Center und enthält auch Jump Hosts für die Verbindung aus externen Zonen, wie z.B. aus dem Office IT-Netzwerk. Es empfiehlt sich die DMZ nach Quelle bzw. Ziel zu unterteilen, um unterschiedliche Sicherheitsrichtlinien zu ermöglichen. Der Zugriff aus diesen Zonen darf jedoch nur über Jump Hosts erfolgen.

    Hierbei handelt es sich um gehärtete Server oder Client-Systeme mit einem vordefinierten Set an Software, welche durch den Benutzer nicht verändert werden können. Optimal ist es, die Clients mittels VDI bereitzustellen und nach der Nutzung zu verwerfen und neu auszurollen. Für neu aufzubringende Software oder Updates ist ein Prüfprozess vorzusehen. Die Software sollte möglichst nicht durch Externe ins Netzwerk eingebracht werden. Die Abbildung 1 zeigt dieses Modell noch einmal grafisch. Die Segmentierung der Systeme kann hierbei auf vLAN Ebene erfolgen, so dass eine logische Trennung der Prozesse erfolgt und die Kommunikation über zentrale Gateways überwacht und geregelt werden kann. Zugriffe auf Netzwerkebene von nicht autorisierten und unbekannten Geräten sind hierbei zu unterbinden. Sofern die eingesetzten Switche dies unterstützen, können hierzu auch private vLANs zum Einsatz kommen, so dass die Anzahl an vLANs überschaubar bleibt.

    Abbildung 1: Beispiel für ein sicheres Design gemäß Perdue Enterprise Reference Architecture

    Human Machine Interface

    Die HMI dienen der Interaktion mit den Controllern und ermöglichen Eingaben zur Steuerung der Prozesse. Diese zeigen meist Statusinformationen, bieten je nach Prozess aber auch Eingriffe in selbigen an. Hierbei ist darauf zu achten, dass Anpassungen am Bedienfeld, soweit diese möglich sind, nur durch privilegierte Nutzer durchgeführt werden können. Die täglichen Arbeiten durch das Bedienpersonal sollten aber nur mit normalen Nutzerrechten durchgeführt werden. Ansonsten kann es auch auf dieser Ebene zu Manipulationen kommen. Teilweise kommen hier windowsbasierte Systeme zum Einsatz. Da gängige Schutzmaßnahmen aufgrund von Herstellervorgaben nicht umsetzbar sind und Betriebssysteme teilweise veraltet sind, ist hier die oben genannte Segmentierung umso wichtiger.

    Programmable Logic Controller

    PLCs steuern die Aktoren und sammeln Informationen von Sensoren nach einem vorgegebenen Programmablauf. Die Ansteuerung erfolgt über Feldbus, serielle Schnittstellen oder IP. Für Angreifer bieten diese ein lohnendes Ziel, da hier direkt auf Protokollebene mit dem Zielsystem kommuniziert werden kann. Eine Validierung der Anfrage nach Sicherheitsaspekten erfolgt nur bei Einsatz neuerer Protokolle und wenn die notwendigen Einstellungen gesetzt sind. Dies ist jedoch selten der Fall. Somit können Angreifer an dieser Stelle Daten manipulieren, um Systeme zu sabotieren. Details hierzu werden im nächsten Abschnitt erläutert.

    Protokolle

    Es gibt eine Vielzahl an Protokollen zur Steuerung der PLCs, Sensoren und Aktoren. Die gängigsten Protokolle wie Modbus, HART oder Profinet wurden allerdings im letzten Jahrhundert entwickelt und bieten keinerlei Verschlüsselung, Authentifizierung oder Zeitstempel. Dies ermöglicht eine Vielzahl von Angriffsmöglichkeiten. Ein Beispiel sind Replay-Attacken, welche aufgezeichneten Datenverkehr wiederkehrend abspielen und so den Programmablauf des PLC stören. Dies kann in Einzelfällen bis zur Beschädigung der Anlage führen. So zum Beispiel wenn Pumpen aktiviert werden, wenn keine Flüssigkeit vorhanden ist. Neuere Protokolle wie z.B. IEC-104, MMS und ICCP bieten derartige Sicherungsmaßnahmen und sollten bei Anschaffungen von Neusystemen bevorzugt werden. In Abhängigkeit von den physischen Sicherheitsmaßnahmen gelten diese Angriffsvarianten auch für Feldbus und serielle Verbindungen.

    Somit ist je nach Einsatzzweck auch der physische Zugriffsschutz relevant und sollte betrachtet werden. So sind z.B. kleine Verteilerstationen für Strom, Wasser, Abwasser oder auch Verkehrsregelanlagen selten mit Personal besetzt. Dementsprechend fallen auch Videoüberwachung und Zäune in eine mögliche Präventionsmaßnahme. Dies gilt für alle Level von Produktionssystemen.

    Vulnerability Management und Penetration Tests

    Um Schwachstellen aufzudecken, haben sich Penetration Tests und Schwachstellenscanner in der IT bewährt. Dieses Vorgehen sollte aber nicht 1:1 auf OT-Infrastrukturen angewendet werden, da hier sehr viel aktiver Traffic gegenüber den Systemen erzeugt wird, wofür diese nicht ausgelegt sind. Somit kann eine Schwachstellenüberprüfung zu einem kompletten Systemausfall führen, welcher einen Neustart der Anlage erfordert. Hier bietet sich ein Vorgehen aus folgenden Punkten an:

    • Design Review durch Security Experten
    • Sicherheitsbegehung vor Ort
    • Auswertung des Netzwerkdatenverkehrs
    • Penetration Tests und Schwachstellenscans ausgewählter Systeme

    Bei den Penetration Tests und Scans sollte sich auf folgende Systeme konzentriert werden:

    • Gateways und Accesspoints mit Zugriff in das Produktionsnetz
    • Jump Hosts im Produktionsnetz
    • ICS Traffic welcher über öffentliche Netze transportiert wird
    • Neue Geräte vor der Inbetriebnahme
    • Test einzelner Geräte nach Absprache und Risikobewertung

    Sie wollen mehr über die Absicherung von OT-Systemen erfahren oder wünschen eine Überprüfung Ihrer Sicherheitsmaßnahmen? Kontaktieren Sie uns.

    Weiterführende Informationen

    SHD IT-Security Check

    Jetzt SHD.News als E-Paper abonnieren

     

    Bildquelle/Copyright: © tonton - shutterstock.com

     

    • News
    • Veranstaltungen
    • Fachartikel
    • Podcast

    Veranstaltungen

    01.02.2023 - 01.02.2023 |
    SHD bewegt: Cyber-Resilienz

    weitere

    Ansprechpartner

    Christian Müller

    Christian Müller
    Technology Consultant

    Tel.: +49 (351) 42 32 - 160
    christian.mueller(at)shd-online.de

     

     
     
     
    SHD - Standorte
    <strong>SHD Geschäftsstelle Hamburg</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Berlin</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Lausitz</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Leipzig</strong><br />Kontaktinformationen<strong>SHD Geschäftsstelle Nürnberg</strong><br />Kontaktinformationen<strong>SHD Hauptsitz Dresden</strong><br />KontaktinformationenSHD-StandorteCompass Gruppe
    Zertifizierungen

    SHD ist zertifiziert nach ISO 9001 und ISO 27001

    Social Media
    •  
    •  
    •  
    •  
    •  
    •  
    •  
    Portfolio
    • IT-Infrastruktur
    • IT-Security
    • IT-Service
    • ISMS und BCMS
    • Support- und Managed Services
    • Digitalisierung von Prozessen
    Kundenmagazin

    Alles Wichtige aus IT-Welt und SHD auf einen Blick

    SHD-News abonnieren

    © 2023 SHD System-Haus-Dresden GmbH
    • Start
    • Datenschutzinformation
    • Datenschutzinformation: Social-Media-Präsenzen
    • Sitemap
    • Impressum
    • Kontakt

    Schön, dass Sie sich für unser Angebot interessieren!

    Dürfen wir Ihnen regelmäßig interessante Neuigkeiten zu aktuellen IT-Themen senden?

    Newsletter abonnieren

    Schon von unserem Podcast gehört?

    Mit 'IT aufs Ohr' immer über aktuelle IT-Trends informiert sein.

    Podcast abonnieren

    Consent-Einstellungen