Durch die fortschreitende Ver­netzung von Industrie und IT wird Cybersecurity zur Grundvoraussetzung für die Sicherheit moderner ­Industrieanlagen. Der IT-Sicherheitsexperte Udo Schneider vom IT-­Sicherheitsanbieter Trend Micro ­erklärt, ­welche grundlegenden ­Maßnahmen zum effektiven Schutz vernetzter Industrieanlagen zu ­beachten sind. Angesichts immer wieder verbreiteter Bedrohungs­szenarien ruft er zur Besonnenheit auf: „Keine Panik“ ist laut Schneider das erste Prinzip einer sinnvollen IT-Sicherheitsstrategie. Ein Beitrag von Udo Schneider, Security Evangelist bei Trend Micro.

Der Aufbau einer wirkungsvollen Security-Architektur ist nichts, was im Affekt passiert oder passieren sollte. Hier ist eine rationale Abwägung von Risiken und Gegenmaßnahmen gefragt. Daher sollten die Verantwortlichen nicht in Panik geraten (oder sich dazu drängen lassen), sondern mit der gebotenen Sorgfalt an das Thema herangehen.

Vorbild funktionale Sicherheit
Auch eine Risikoanalyse für die IT-Security lässt sich grob nach Begrifflichkeiten von bewährten Industrienormen der funktionalen Sicherheit (wie IEC 61508/ISA84) modellieren:

Basis einer sinnvollen Security-Strategie ist das Wissen um schützenswerte Güter. Im Grunde genommen handelt es sich dabei um eine Inventur aller am Produktionsprozess beteiligten Komponenten und deren Anbindung. Das schließt auch auf den ersten Blick „unschützbare“ Geräte wie Steuerungen (SPS) aber natürlich auch nachgeschaltete Kontroll- und Verwaltungssysteme wie SCADA oder HMI-Komponenten ein. Im ersten Schritt geht es dabei ausschließlich um die Erhebung der Komponenten – unabhängig von Bedrohungsszenarien und Schutzmöglichkeiten.

Im nächsten Schritt gilt es zu bewerten, welche Gefährdung von den zuvor gefundenen Komponenten ausgeht. Dabei sind Gefährdungen sowohl für die funktionale Sicherheit des Prozesses als auch die Verfügbarkeit, Integrität und Vertraulichkeit zu betrachten.

Risikoeinschätzung und -bewertung
Nun wird die Frage beantwortet, welche Lücken oder Verwundbarkeiten in den gefundenen Komponenten existieren. Dies fängt an mit einfachen Dingen, wie ungeänderten Wartungspasswörtern auf Steuerungen (SPS), oder nicht eingespielten Patches, zum Beispiel auf HMI-Systemen.

Die Informationen aus den vorherigen Schritten erlauben dann letztendlich eine Bewertung des Risikos. Damit einher geht auch eine Priorisierung der nötigen Minderungsmaßnahmen. Wie auch bei der „klassischen“ funktionalen Sicherheit steht man nun vor der Entscheidung, was mit dem verbleibenden Risiko zu tun ist:

• Das Risiko ist klein genug, so dass sich eine weitere Reduktion nicht lohnt und nur noch dessen Dokumentation bleibt.
• Das Risiko ist in dieser Form nicht tragbar, so dass Risikominderungsmaßnahmen nötig sind.

Risikominderung
Aus der Risikobewertung entstehen priorisierte Risiken, die einer Minderung bedürfen. Die Minderungsmaßnahmen können dabei sowohl organisationstechnischer Natur (beispielsweise Einschränkung des physischen Zugangs) als auch technischer Natur (zum Beispiel Netzwerksegmentierung) sein. Wichtig ist, entsprechende Lösungen vor dem Hintergrund der Risikoanalyse auszusuchen. Der Griff zum erstbesten IT-Sicherheits-Produkt ist hier zu kurz gedacht. Das ist für die Sicherheit eines Betriebs schlicht nicht ausreichend und kann gefährlich werden, wenn die dazugehörenden Schritte zur Risikominderung nicht unternommen werden.

Zyklische Risikoanalyse
Der Risikoanalyse-Prozess der „normalen“ funktionalen Sicherheit ist irgendwann abgeschlossen. Im Gegensatz dazu ist die Risikoanalyse im Bereich IT-Sicherheit endlos zyklisch. Das heißt aufgrund von neu bekannten Schwachstellen oder Angriffsmethoden ändert sich Gefährdungen und Risikoeinschätzung regelmäßig. Dementsprechend ist auch eine Risikoanalyse zyklisch durchzuführen.

Obwohl man durchaus eine IT-Security-Risikoanalyse nach Grundsätzen der funktionalen Sicherheit durchführen kann, gibt es inzwischen mit IEC62443/ISA99 neue Normen und Rahmenwerke, die deutlich expliziter auch IT-Security als Teil des Sicherheits- und Betriebskonzepts von industriellen Systemen modellieren.

IEC62443/ISA99
Die IEC62443/ISA99 ist eine Reihe von internationalen Industrienormen, die sich explizit auch mit der IT-Security in industriellen Umgebungen beschäftigt. Unter diesem Aspekt könnte man diese als „großen Bruder“ der klassischen funktionalen Sicherheit nach IEC61508 beschreiben. Im Unterschied zu dieser werden aber konkret Anforderungen und auch Maßnahmen der IT-Sicherheit beschrieben.

Im Gegensatz zur funktionalen Sicherheit nach IEC61508, die man für IT-Sicherheit adaptieren muss – insbesondere bei der zyklischen Risikoanalyse, modelliert die IEC62443 von Anfang an einen zyklischen Risikobewertungsprozess, wie er aus anderen IT-Normen wie ISO27000 oder dem BSI-Grundschutz (entwickelt vom Bundesamt für Sicherheit in der Informationstechnik) bekannt und bewährt ist.

Maßnahmen
Die Erhebung und Dokumentation der Anlagen, deren Gefährdungen und Risiken, lassen sich sicherlich auch auf Papier durchführen. Sinnvoller ist aber die Nutzung eines ISMS – eines „Information Security Management System“, das diese Informationen sinnvoll speichert, bündelt und wieder abrufbar macht. ISMS-Systeme, wie sie auch in der normalen IT-Sicherheit vorkommen, gibt es in jeder Geschmacks- und Preisklasse.

Eine Empfehlung zum Einstieg ist BSI LARS (Light And Right Security). Dabei handelt es sich um eine kostenlose ISMS-Software, die bewusst nur die im Industrieumfeld sinnvollen Maßnahmen modelliert. LARS mag zwar nicht so leistungsfähig sein wie andere Systeme – besser als die unstrukturierte Ablage der Informationen ist es aber auf jeden Fall. Nicht zu unterschätzen sind auch die mitgelieferten Hilfstexte, die verständlich die Gefährdungen und Maßnahmen erklären und gewissermaßen eine Übersetzung von Industrie-Deutsch in den IT-Security-Jargon erlauben.

Technische Maßnahmen
Technische Maßnahmen sind so vielfältig wie komplex. Angefangen bei einfachen Dingen, wie dem Ändern von Passwörtern, können unter anderem folgende Maßnahmen ergriffen werden: Netzwerksegmentierung, Gateway-Sicherheit, Absicherung von Schnittstellen und Fernzugriffen, Antiviren-Programme, Application Whitelisting, sichere Softwareentwicklung und Ausrollen auf SPS, Protokollierung und Reaktion. Diese Liste ließe sich beliebig fortführen.

Die Liste der technischen Maßnahmen zeigt schon allein aufgrund der schieren Anzahl von Technologien deutlich auf, dass der blinde Einsatz von Technologien und Produkten nicht sinnvoll ist. Wann welche Maßnahme Sinn ergibt, ist aber genau das Resultat eines sinnvoll betriebenen Risikoanalyseprozesses. Und damit schließt sich der Kreis: Panik hilft nicht. Das sinnvolle Vorgehen nach Best Practices der Industrie hingegen schon.

GIT SICHERHEIT: Herr Schneider, was ist für Sie die oberste Prämisse in der IT-Security?

Udo Schneider: Am wichtigsten ist es, die Ruhe zu bewahren. Insbesondere produktionsferne Branchen wie die IT-Security malen gerne den Teufel an die Wand. Da werden oft Schreckensszenarien bezüglich der Erreichbarkeit und Verwundbarkeit von Industrieanlagen und IoT-Geräten heraufbeschworen. Obwohl diese Szenarien durchaus realistisch sein können, sollten sich die Verantwortlichen davon nicht verrückt machen lassen.

Wo soll ein Unternehmen anfangen, wenn es seine IT-Sicherheit auf den neusten Stand bringen will?

Udo Schneider: Zunächst ist es ausschlaggebend, einen Überblick über alle schützenswerten Güter zu erstellen. Dabei handelt es sich im Wesentlichen um eine Inventur aller Komponenten und deren Anbindung an das Netz. Davon ausgehend können dann Risikobewertungen und -minderungen vorgenommen werden.

Wodurch unterscheidet sich IT-Security von klassischen Sicherheitsstandards in der Industrie?

Udo Schneider: Die Risikoanalysen für Industrieanlagen waren aus Safety-Sicht traditionell irgendwann abgeschlossen. Im Gegensatz dazu erfordert IT-Security eine zyklische Risikoanalyse. Sie muss regelmäßig neu betrachtet werden, da ständig neue Bedrohungen durch neu entdeckte Schwachstellen aufkommen können.