Startseite » Security »

Industrielle Cyber-Security

Die Netzwerks-Infrastruktur ausfall- und zugriffssicher konfigurieren
Industrielle Cyber-Security

Daten sind das neue Gold. Für Cyber-Kriminelle bedeuten sie mehr als eine Cash Cow. Nicht umsonst wurden laut dem Chipkartenhersteller Gemalto in der ersten Jahreshälfte 2015 mehr als 200 Millionen Datensätze gestohlen oder gingen verloren – und das mit steigender Tendenz. Aber längst sind nicht mehr nur Privatpersonen oder Regierungen das Ziel von Cyber-Angriffen. Industrielle Produktionsanlagen, Energieunternehmen, Wasserversorgungen, selbst Ingenieurbüros – als Weg in große Unternehmen – geraten zunehmend ins Visier von Cyberkriminellen.

Spätestens seit Stuxnet sollte allen Verantwortlichen in den verschiedenen industriellen Automationsbereichen klar geworden sein, dass auch ihre Anlagen Ziel von Hackerangriffen sein können. Doch die Wirklichkeit zeichnet ein anderes Bild. Denn leider entsprechen viele Anlagen-Infrastrukturen nicht mehr den gestiegenen Standards einer vernetzten Industrie. Aktuelle Firmware-Stände und ein Patch-Management sind eine Seltenheit, ebenso fehlen ein Notfallplan mit klaren Vorgaben sowie geschultes Personal. Auch das Beibehalten von Standardpasswörtern, die interne Uneinigkeit zwischen IT und Automatisierern oder der unzureichend gesicherte Zugriff von der Ferne sind nur einige wenige Beispiele aus der Praxis. Dazu ist es schlichtweg die Hardware, die den Anforderungen nicht mehr gerecht wird. Da werden Layer-2- und Layer-3-Funktionen nicht optimal genutzt oder die Datenkommunikation schon bei der Planung eines modernen Infrastruktur-Netzwerks nur ungenügend ausfall- und zugriffssicher konfiguriert. Die Folge unzureichender Netzwerkkomponenten und Parametrierungen stellt eine regelrechte Einladung für unbefugte Zugriffe dar.

Das BSI sieht in seinem Ranking die Infektion mit Schadsoftware über Internet und Intranet an erster Stelle, gefolgt von einem Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware und dem so genannten Social Engineering, dem Erlangen eines unberechtigten Zugangs zu Informationen oder IT-Systemen durch Aushorchen von Mitarbeitern. Die Gefahr, damit das Ziel eines Angriffs zu werden und als Unternehmen großen wirtschaftlichen Schaden zu nehmen, ist somit beträchtlich. Und die Bedrohung unserer digitalen Infrastrukturen wächst stetig.
Wie also schützt man komplexe, vernetzte industrielle Steuerungssysteme vor Cyber-Angriffen? Zuallererst sollte man sich der Bedrohung bewusst sein, ausreichende Kompetenzen mit entsprechendem Budget bereitstellen und die interne Verantwortung festlegen. Nur wer Sicherheitssysteme mit Zugangskontrollen und -schutz implementiert, diese auf dem aktuellen Stand hält und die Komplexität des Netzwerks reduziert, ist letztendlich auf Angriffe vorbereitet. Ein kompetentes und wachsames Team mit Wissen und Entscheidungsfähigkeit ist von entscheidender Bedeutung. Nur wer sein Netzwerk ausreichend kennt, kann entsprechend schnell reagieren.
Perimeterschutz
Ein Perimeter bildet die Firewall nach außen und muss besonders abgesichert werden. Natürlich sollte ein gewisser Komfort wie der externe Zugriff auf das Netzwerk trotzdem möglich sein. Fernzugriffe, die allerdings nicht ausreichend gesichert sind, ergeben hier ein erhöhtes Sicherheitsrisiko. Findet der Angreifer hier einen verwundbaren Punkt in der Perimeter-Firewall, die die Schnittstelle zum Internet bildet, wird dieser genau an dieser Stelle ansetzen. Das Sperren von Ports und Protokollen zählt hier zu den einfachsten Mitteln, den Perimeter zu härten. Ein Perimeterschutz alleine ist allerdings heutzutage nicht mehr ausreichend. Firewalls und Virenschutz müssen Bestandteile einer größeren Sicherheitsstrategie sein.
Netzwerk-Segregation
Eine dieser Taktiken ist die Segmentierung oder Segregation von Netzwerken – eine gute Methode, um das Risiko für die einzelnen Schichten des gesamten Netzwerks zu verringern. Durch die Aufteilung in kleine Sicherheits-Zonen (Subnetze) kann der Netzwerk-Verkehr überwacht und entsprechend eingeschränkt werden. Man gibt nur diesen Verkehr frei, der vom Steuerungssystem auch wirklich benötigt wird. Sollte es ein Angreifer nun in eines der Teilnetze geschafft haben, hindert ihn die nächste Firewall an der Grenze zu einer anderen Zone, sich ungehindert ausbreiten zu können.
Übertragung über nicht vertrauenswürde Netze
Bei kritischer Infrastruktur werden Daten oft zwischen physischen Sicherheitszonen übertragen und manchmal auch über Medien, die von Dritten verwaltet werden. Sofern die Daten nicht geschützt sind, bevor sie eine physische Sicherheitszone, wie ein Kontrollraum, verlassen, können sie abgefangen und manipuliert werden – sogar bei als sicher klassifizierte Übertragungsmedien. Diese Daten während der Übertragung zu schützen, ist entscheidend für den gesicherten Betrieb und alle WeOS-Routing-Geräte haben die Fähigkeit, sichere Kanäle zwischen sich selbst und einem anderen vergleichbaren Gerät herzustellen. Die sicheren Kanäle bieten einen starken logischen Schutz annähernd vergleichbar mit einer physischen Sicherheit und unterstützen andere Sicherheitsanwendungen wie Perimeterschutz und Netztrennung über den sicheren Kanal.
Spoofing-Schutz
Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das Mithören der Daten, die über einen Switch gesendet werden (Man-in-the-Middle-Angriff). Somit hat der Angreifer die Möglichkeit, diese Daten mitzulesen und entsprechend zu verändern, sofern diese unverschlüsselt sind. Durch Vortäuschung eines funktionierenden Systems auf dem Prozessleitsystem macht es für den Anlagenbetreiber extrem schwierig, eventuelle Probleme zu erkennen. Eine effektive Maßnahme, um dem Missbrauch von ARP-Spoofing vorzubeugen, ist die Verwendung von Layer-3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung werden vom Switch bemerkt und gegebenenfalls verhindert.
Intrusion Detection
Intrusion-Detection-Systeme (IDS) überwachen und analysieren die Aktivitäten in einem Netzwerk. Dabei werden die Konfigurationen und Schwachstellen analysiert, sowie die Datei-Integrität bewertet. Die Systeme können typische Angriffs-Muster erkennen, abnormale Aktivitäts-Muster analysieren und Verletzungen der Anwender-Policies aufspüren. Das System wird auch aktiv, sollte das Netzwerk des Administrators in irgendeiner anderen Form kompromittiert sein. Einige IDS-Produkte der Enterprise-Klasse sind auch in der Lage, direkt auf entdeckte Bedrohungen reagieren. Das IDS kann eine Firewall ergänzen oder direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen.
Für die Zukunft gerüstet
Nur wer sein System vor unberechtigten Zugriffen und Attacken von außen schützt und auf hochwertige Komponenten setzt, kann sicher sein. Der Security-Spezialist Westermo hat seine Routing-Switches über das intelligente Betriebssystem WeOS mit Cyber-Abwehrfunktionen ausgestattet. Mit Port-basierender Firewall, Netzwerk-Segmentierung, VPN-Lösungen, Intrusion Detection und Spoofing-Schutz wird die Cyber-Security-Architektur eines Netzwerks gut verstärkt. Dabei gilt zu beachten, dass auch der modernste Cyber-Schutz auf Dauer nichts nützt, wenn das Personal nicht ausreichend geschult ist. Außerdem benötigt es Lieferanten und Partner, die auch im Problemfall schnellstmöglich reagieren und bei der Wiederherstellung der Infrastruktur behilflich sind. Nur so lässt sich das Beste aus einem System herausholen und ein Netzwerk ausreichend vor unberechtigten Zugriffen und Cyber-Attacken schützen. ge
Erwin Lasinger, Cyber-Security-Spezialist bei der
Westermo Data Communications GmbH

KONTAKT

info

Westermo Data Communications GmbH
Waghäusel
Tel. 07254 95400-0
www.westermo.de
Weitere Informationen über das WeOS:
http://t1p.de/z8w1
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de