KRITIS-Anforderungen und die Prozessindustrie
Cyber-Security-Maßnahmen im OT-Bereich werden nur zögerlich umgesetzt
Die zunehmende IT-Durchdringung und Vernetzung praktisch aller Bereiche in Industrie und Handel sowie im öffentlichen und privatem Umfeld eröffnet ökonomische wie gesellschaftliche Potenziale, auf die eine Industrienation wie Deutschland nicht verzichten kann. Gleichzeitig aber entstehen durch die zunehmende Digitalisierung neue Gefährdungslagen, auf die schnell und konsequent reagiert werden muss.
Mit dem seit Juli 2015 gültigen und zwei Jahre später ergänzten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands sicherer zu machen. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanz- und Versicherungswesen, Ernährung, Gesundheit sowie Transport und Verkehr - könnte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft haben. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit speziell im Bereich der Kritischen Infrastrukturen eine wichtige und zentrale Rolle. Aber auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet ist Ziel des IT-Sicherheitsgesetzes. Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgeweitet.
Digitalisierung erfordert Schutzmaßnahmen
Das IT-Sicherheitsgesetz reflektiert sowohl, dass IT-Sicherheit mit der zunehmenden Digitalisierung des Lebens immer mehr zu einem zentralen Baustein der inneren Sicherheit wird als auch, dass durch zunehmende Mobilität und Vernetzung bestehende Paradigmen in der IT-Sicherheit überholt oder unwirksam geworden sind. Zudem zieht es die Konsequenz aus der Erfahrung, dass ein rein freiwilliger Ansatz bei der Herstellung von IT-Sicherheit nicht immer zum nötigen Engagement in der Wirtschaft geführt und nicht flächendeckend bzw. in allen sicherheitsrelevanten Bereichen gewirkt hat.
Betreiber Kritischer Infrastrukturen müssen die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen absichern und dem BSI erhebliche Störungen ihrer IT melden, sofern diese Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Aber auch aller anderen Unternehmen und Einrichtungen sind gefordert, entsprechende Schutzmaßnahmen im ureigensten Sinne zu ergreifen – Produktionsausfälle und Imageschäden können immense wirtschaftliche Folgen nach sich ziehen.
Automation Security, OT und IT
Für die prozesstechnische Produktion ist mit der NAMUR Open Architecture (NOA) die „Überholspur“ zum Einsatz neuer Internettechnologien neben der bewährten Automatisierungspyramide entstanden. Auf der einen Seite können so neue Technologien geordnet Einzug halten, ohne die Integrität bestehender Strukturen automatisierter Anlagen zu gefährden. Auf der anderen Seite fordern gerade diese neuen Komponenten eine neue Bewertung der Risiko-Beurteilung für Safety und Security der Anlagen.
IT und OT (Operational Technology) in den Prozessunternehmen sind immer stärker miteinander verzahnt. Das liegt an der ständig steigenden Zahl der Geräte mit IT-Anteil im Automatisierungsumfeld sowie der Kommunikation der Geräte untereinander und mit überlagerten Systemen (auch außerhalb des eigenen Unternehmens, z.B. mit der Cloud). Durch neue Konzepte wie Remote-Support, Remote-Maintenance oder Remote-Operation werden weitere Interfaces zur IT-Umwelt hergestellt. Damit können die Prozessleittechnik und sogar PLT Sicherheitseinrichtungen selbst zum Ziel von IT Bedrohungen werden.
Der NAMUR AK 4.18 „Automation Security“ widmet sich diesen Herausforderungen und erstellt ein Arbeitsblatt (NA 163) zu Planungs-und Implementierungsaspekten für eine sichere Netzwerk-Architektur, bei der die Netzwerksegmentierung eine zentrale Rolle einnimmt. Gängige Normen betonen den Nutzen der Segmentierung: Ein Angriff wie z.B. Schadcode, der eine „Sicherheitszelle“ (oder „Zone“) kompromittiert, kann sich nur schwerlich auf eine andere auswirken, wenn eine sinnvolle Segmentierung vorgenommen wurde. Das bedeutet, dass die Automatisierungs-Pyramide durch technische Maßnahmen so strukturiert werden muss, dass Zonen entstehen, die gegeneinander isoliert sind.
Der Arbeitskreis hat eine Vielzahl von Punkten identifiziert, für die es einen klaren Regelungsbedarf gibt. Hierzu gehören:
- Anlagen werden mit in den Schaltschränken integrierten GSM-Modems ausgeliefert, um während der Inbetriebnahme direkten Zugriff auf die Anlagen zu haben. Gibt es klare Vorgaben für den Übergang von Probebetrieb zu regulärem Betrieb am Unternehmensnetz?
- Geräte und Maschinen werden mit integrierten, nicht ohne weiteres erkennbaren IT-Komponenten ausgeliefert, die irgendwann unkontrolliert ans Unternehmensnetz angeschlossen werden könnten. Sind hierfür Regelungen vorhanden?
- Lieferanten und Integratoren führen zur Erbringung ihrer Leistung IT-Geräte mit, diese müssen mit den Kundensystemen verbunden werden. Gibt es Regelungen zur Anmeldung und Nutzung?
- Intelligente Sensoren verfügen über eine WLAN-Schnittstelle und können auch für sicherheitsgerichtete Anwendungen eingesetzt werden. Ist der Um-und Zugang mit diesen „Access Points“ klar geregelt?
Generell, so fordert der AK, muss sichergestellt werden, dass keine IT-Gerät im Unternehmen in einem Graubereich betrieben werden, für den keine klaren Rahmenbedingungen gesetzt sind.
Zögerliche Umsetzung von Security-Maßnahmen
Honeywell hat im Dezember 2017 die Studie „Putting Industrial Cyber Security at the Top of the CEO Agenda“ vorgestellt, nach der industrielle Unternehmen nur zögerlich Cyber Security Maßnahmen zum Schutz ihrer Daten und Betriebe vorsehen, obwohl Angriffe weltweit zunehmen. 130 strategische Entscheidungsträger industrieller Unternehmen wurden bezüglich ihres Vorgehens zum Industrial Internet of Things (IIoT) sowie ihrer Nutzung industrieller Cyber Security Technologien und deren Umsetzungen befragt. Die Ergebnisse belegen u.a.:
- Über die Hälfte der Befragten berichten von bereits erfolgten Angriffen auf die Cyber-Sicherheit in ihrer industriellen Anlage.
- 45 Prozent der teilnehmenden Firmen haben in ihren Unternehmen noch keinen Verantwortlichen für Cyber Security benannt.
- Nur 37 Prozent überwachen auf verdächtige Vorgänge.
„Entscheidungsträger sind sich der Bedrohung vermehrt bewusst und es gibt Fortschritte, diese auch zu adressieren, aber die Studie bekräftigt die Ansicht, dass grundlegende Schritte zur Cyber-Sicherheit von einem wesentlichen Teil der industriellen Betreiber noch nicht vorgenommen werden", sagt Jeff Zindel, Vice President und General Manager, Honeywell Industrial Cyber Security. „Um die enormen Vorteile der industriellen digitalen Transformation und des IIoT ausschöpfen zu können, müssen die Firmen ihre Schutzmaßnahmen für Cyber Security verbessern und jetzt der erhöhten Bedrohungslage anpassen.” Dazu gehört, dass die industrielle Cyber-Sicherheit ein Teil der Strategien zur digitalen Transformation wird mit dem Fokus auf verantwortlichen Führungskräften, in Verbindung mit einer Organisationsstruktur zur Überwindung der Kluft zwischen IT und OT.
KRITIS - Wie viel Druck braucht die Industrie?
Die Chemie-Branche gehört derzeit nicht zu den in der KRITIS Verordnung erfassten Industriezweigen. Sie wird wahrscheinlich erst in einigen Jahren in die Pflicht genommen. Eine Vorbereitung ist im heutigen Wettbewerb jedoch zwingend erforderlich, zumal der Umsetzung auch eine gewisse Implementierungszeit vorrausgeht. Konstantin Rogalas, Business Lead, Honeywell Industrial Cyber Security Zentral-und Süd-Europa, weist auf die Bedrohungslage hin: „Wir haben es mit einer ernsten Lage zu tun haben, die in Zukunft noch bedrohlicher wird aufgrund zunehmender Vernetzung von Anlagen und darin integrierter Technik. Die jüngsten Attacken durch die Erpressungssoftware "Wanna Cry", „Petya“, „Not-Petya“, „Bad Rabbit“ oder der Cyber-Angriff auf den Stahlwerk-Hochofen in Deutschland führen uns vor Augen, dass die Angriffe jederzeit und aus allen möglichen Richtungen kommen können.“ Auch wenn Deutschland innerhalb der EU so etwas wie eine Vorreiterrolle einnimmt, sind schon im Rahmen von KRITIS etliche Punkte offen: „Viele Unternehmen sind aus diversen Gründen noch längst nicht so weit, die Vorgaben im Bereich Automation Security erfüllen zu können. Mit der Bereitschaft dazu hapert es erst recht. Laut vielen Experten sollten die international bekannt gewordenen Attacken eigentlich als zusätzlicher Weckruf dienen. Auch wir bei Honeywell erfahren regelmäßig nach solchen Angriffen eine starke Zunahme an Anfragen, die jedoch nach etwa einer Woche wieder abflauen. Danach heißt es wieder „business as usual“. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Was passiert denn eigentlich, wenn beispielsweise Kritis-Betreiber den Termin im Mai 2018 komplett ignorieren? In der Praxis ist diese mangelnde Konsequenz-Drohung tatsächlich eine oft gehörte Begründung für mangelnde Umsetzung.“
Bedarf es jedoch wirklich immer solch eines Druckmittels? Schließlich müsste jeder Anlagenbetreiber daran interessiert sein, die Bedrohungspotenziale zu kennen und zu wissen, wer potentielle Angreifer in seinem Fall sein können und wie man sich dagegen wappnen kann.
Zwölf Schritte zur Reduktion des Risikos
Ein industrielles Prozessleitsystem enthält typischerweise Router, Switches, Regelungs- und Steuerungskomponenten sowie Windows-basierte Server und Workstations, die alle über das leittechnische Netzwerk (Process Control Network, PCN) kommunizieren. Es ist wichtig, dieses PCN und alle angeschlossen Geräte hinsichtlich Bedrohungen und Schwachstellen der Cyber-Sicherheit zu überwachen. Ein einzelnes befallenes Gerät an einem PCN kann als Einfallstor für Zugang, Modifizierung oder Abschaltung weiterer Nodes dienen. Ist die Sicherheit des Prozessleitsystems beeinträchtigt, können Betriebsabläufe und Produktion mit möglicherweise verheerenden Folgen betroffen sein.
Thomas Ayral von Honeywell Industrial Cyber Security empfiehlt zwölf Schritte, um das Risiko von Cyber-Angriffen auf Industrieanlagen zu minimieren:
- Erstelle alle Datensicherungen (Backups) der Software des Leitsystems gemäß den vom Hersteller herausgegeben Vorgaben.
- Installation und sachgerechte Konfiguration von Firewalls.
- Installiere sobald wie möglich alle wichtigen Softwarekorrekturen (Patches) in industriellen Leitsystemen und verwende Mechanismen zum Schutz der Systeme zwischen den Wartungs- und Patch-Zyklen.
- Aktualisiere die Software zum Schutz gegen Schadsoftware und Viren (AV) sowie die Dateien mit Virendefinitionen.
- Installiere Application Whitelisting (Technologie, die nur die Ausführung akzeptierter oder bekannter Dateien erlaubt). Dies wird erreicht, indem man eine Liste geprüfter Anwendungen erstellt und nur diese ausführen lässt.
- Installiere eine automatische Methode zur Überwachung von Assets oder Nodes auf dem leittechnischen Netzwerk, einschließlich der Infrastrukturkomponenten, Personal Computer und Server.
- Installiere eine Methode zur automatischen Erkennung verdeckter oder defekter Komponenten (z.B. leittechnische Komponenten, die über das Netzwerk kommunizieren, aber nicht bezüglich Cyber-Risiken überwacht werden). Dabei kann es sich um mitgebrachte Wechselmedien handeln wie beispielsweise USB-Laufwerke und CD/DVDs oder Laptops und Smartphones.
- Schule Firmenmitarbeiter über die Sicherheit industrieller Leitsysteme, einschließlich der Bedeutung von Passwortüberprüfungen und der Sensibilisierung zu Social Engineering-Angriffen..
- Automatische Überwachung des Status von Anlagen und Netzwerken mit relevanten Indikatoren zur industriellen Cyber-Sicherheit. Zeige auf, wie sich der Sicherheitszustand verbessert.
- Überwache den prozentualen Anteil der leittechnischen Hardware, Nodes und Endpunkte, die nicht von bekannter Schadsoftware und Viren befallen sind.
- Bestimme automatisch allgemeine Schwachstellen in der leittechnischen Hardware, den Nodes und Endpunkten und halte fest, ob die Anzahl zunimmt.
- Verfüge über eine automatische Methode, die auf den Ursprung einer Cyber-Bedrohung verweist. Das kann auch Verbindungen zwischen dem Informationsnetzwerk des Unternehmens und dem industriellen leittechnischen Netzwerk einbeziehen.
Zum Schutz von Systemen und Netzwerken benötigen industrielle Einrichtungen ein umfassendes Sicherheitskonzept, das eine permanente Risikobewertung, sorgfältig definierte Sicherheitsrichtlinien und eine konsequente allgemeine Einstellung zum Thema Sicherheit einschließt. Die Erkennung von Sicherheitsrisiken, proaktive Maßnahmen, eine ganzheitliche Sicherheitsphilosophie sowie eine langfristige Strategie zur Reduktion potenzieller Sicherheitsbedrohungen sind wichtige Elemente eines Programms zur Cyber-Sicherheit.