09.03.2020 IT-Security – auch ein Aspekt für die Dichtungstechnik

Um digital vernetzte Anlagen wirksam schützen zu können, ist es wichtig, die größten Bedrohungen zu kennen. Was sind eigentlich die großen Bedrohungen für Industrial Control Systems (ICS)? Systeme zur Fertigungs- und Prozessautomatisierung werden unter diesem Begriff zusammengefasst. Sie werden in nahezu allen Anlagen und Infrastrukturen eingesetzt, die physische Prozesse abwickeln. Angefangen bei der Energieerzeugung und Verteilung über die Gas- und Wasserversorgung bis hin zur Fabrikautomation, Verkehrsleittechnik und modernem Gebäudemanagement. ICS sind zunehmend den gleichen Cyber-Angriffen ausgesetzt, die auch in der konventionellen IT-Welt vorkommen. Mit dem großen Unterschied, dass viele ICS niemals dazu gedacht waren, durch Netzwerke verbunden zu werden. Erst über die Zeit wurden Industrieprotokolle „netzwerkfähig“ gemacht. Dies führte dazu, dass zum Teil sehr veraltete ICS mit öffentlichen Netzen verbunden wurden (und auch werden). Damit sind sie hochgradig anfällig für verschiedene Arten von Angriffsszenarien. Laut BSI sind die folgenden Angriffe und Probleme hervorzuheben:

1. Social Engineering und Phishing
2. Einschleusen von Schadsoftware über
   externe Geräte
3. Infektion mit Schadsoftware über Internet oder Intranet
4. Einbruch über Fernwartungszugänge
5. Menschliches Fehlverhalten und Sabotage
6. Manipulation internetverbundener Steuerungskomponenten
7. Technisches Fehlverhalten und höhere Gewalt
8. Kompromittierung von Extranets und Cloud-Komponenten
9. (D)Dos-Angriffe
10. Kompromittierung von Smartphones im Produktionsumfeld

Diese Angriffe sind jedoch meistens lediglich die erste Welle und ebnen den Weg für
Folgeangriffe: 

• Auslesen von Zugangsdaten zur Rechteerweiterung – Im Industrieumfeld vorhandene IT-Standardkomponenten wie Betriebssysteme, Application Server oder Datenbanken leiden i.d.R. an Schwachstellen und einen Mangel an Achtsamkeit in der Sicherheitskonfiguration.
• Unberechtigter Zugriff auf weitere interne Systeme – Insbesondere Innentäter oder Folgeangriffe nach einer Penetration von außen haben leichtes Spiel, wenn Dienste und Komponenten im Unternehmens- oder Steuerungsnetz keine hinreichenden Methoden zur Authentisierung und Autorisierung nutzen. Ein solcher Folgeangriff kann z.B. mittels Brute Force oder Wörterbuchangriffen auf Authentisierungsmechanismen erfolgen.
• Eingriff in die Feldbus-Kommunikation – Viele Steuerungskomponenten kommunizieren auch heute noch über unsichere Industrieprotokolle und somit ungeschützt. Daher ist das Mitlesen, Manipulieren oder Einspielen von Steuerbefehlen oftmals ohne größeren Aufwand möglich.
• Manipulation von Netzwerkkomponenten – Komponenten wie Router oder Firewalls können durch Angreifer manipuliert werden, um z.B. Sicherheitsmechanismen außer Kraft zu setzen oder den Datenverkehr umzuleiten.

Was sollten Betreiber solcher Infrastrukturen tun?
Ein mögliches Vorgehen wäre:

• Sich einen Überblick verschaffen und die Anlagenkomponenten inventarisieren
• Den Risikofaktor an das Management kommunizieren
• Wissensaustausch zwischen der IT und dem OT/Anlagenbetrieb und der Safety-Abteilung fördern
• Risiko-Bewertung der Systeme durchführen
• IT-Security Audit/Analyse durchführen oder durchführen lassen
• Anhand von Business-Impact und Risikoanalyse die wichtigen schützenswerten Prozesse identifizieren
• Kontinuierliche Verfolgung und Ausbau der IT-Sicherheit von Industrial Control Systems