Firmen im Artikel
Jeder Einzelne bewertet täglich Risiken und leitet daraus Maßnahmen ab. Der Regenschirm wird mitgenommen, wenn eine vermehrte Wolkenbildung zu beobachten ist. Sämtliche Insassen legen nach dem Einsteigen in das Auto den Gurt an. Beim Verlassen des Hauses schließen die Bewohnenden die Tür ab. Derartige Handlungen werden nur dann unterlassen, weil die Akteure mehr oder weniger bewusst entschieden haben, mit den möglichen Konsequenzen für sich und andere Personen leben zu können. Entschlüsse laufen also nach dem folgenden Muster ab: Was kann passieren? Ist dies akzeptabel? Falls nicht: Welche Maßnahmen – Regenschirm, Gurt, Schloss – sollten umgesetzt werden? Nicht über mögliche Bedrohungen nachzudenken, ändert nichts an den Risiken. Es bewirkt lediglich, dass Konsequenzen in Kauf genommen werden, mit denen der Akteur und sein Umfeld unter Umständen nicht einverstanden sind.
Bei den zahlreichen Cyberangriffen, die in den letzten Jahren auf deutsche Unternehmen stattgefunden haben, drängt sich die Frage auf: Sind die Angreifer so gut oder wurden Gegenmaßnahmen gar nicht erwogen? Die kurze Antwort: beides. Doch der Reihe nach. Geht es im Bereich industrieller Kommunikationsnetzwerke um das Thema Security, ist eine Norm – oder besser: Normenreihe – in der näheren Vergangenheit in den internationalen Fokus gerückt: die IEC 62443. Zwar gibt es in der allgemeinen IT schon seit längerer Zeit etablierte Rahmenwerke – beispielsweise die ISO-27000er-Serie –, die Maßnahmen der klassischen Büro-IT lassen sich jedoch aufgrund unterschiedlicher Rahmenbedingungen nicht immer direkt auf die industriellen Netzwerke übertragen. Ein Beispiel: Software-Updates können in der Regel problemlos und zeitnah auf die Bürorechner aufgespielt werden. Nur um ein Update zu installieren, möchten es allerdings die wenigsten Betreiber auf einen Anlagenstillstand ankommen lassen, sofern für die teils über 20 Jahre alte Hardware überhaupt noch Updates erhältlich sind.
Rollen der Protagonisten
Die Normenreihe IEC 62443 gliedert sich in verschiedene Kategorien und setzt in den jeweiligen Teilen die Schwerpunkte für die Rollen, die im Lebenszyklus einer Automatisierungsanlage wesentlich sind. Da wäre zunächst der Betreiber einer Anlage oder eines Systems, der die notwendigen Sicherheitsaktivitäten etablieren muss. Die entsprechenden Anforderungen und Empfehlungen findet er zumeist im Normenteil 62443-2-1. Dazu gehören verfahrenstechnische, personelle und technologische Fähigkeiten, die so zu realisieren und aufrechtzuerhalten sind, dass sich die individuellen IT-Risiken auf ein für ihn akzeptables Maß reduzieren lassen. Die oberste Devise lautet folglich: Risikominimierung. Das Thema Risikomanagement kann der Betreiber somit nicht vermeiden, weil sich die konkreten Maßnahmen aus einer individuellen Analyse des Scopes ableiten. Genau beschriebene Handlungsanweisungen und Schritt-für-Schritt-Anleitungen enthält die Norm (verständlicherweise) nicht. Die zu berücksichtigenden Themengebiete werden jedoch aufgeführt.
Weiterhin spielt der Komponentenhersteller eine wichtige Rolle. Als primär für ihn relevant erweisen sich die Normenteile 62443-4-1 sowie 62443-4-2. Während Teil -4-1 Anforderungen an Themen wie die sichere Entwicklung (inklusive Tests, Dokumentation, Bereitstellung von Patches sowie des Umgangs mit Sicherheitslücken und Schwachstellen) auflistet, führt Teil -4-2 technische Security-Features an, gegen die eine Komponente geprüft werden kann. Die Bewertung resultiert in einer Klassifizierung gemäß den sogenannten Security-Levels (SL), denen auch im weiteren Kontext der IEC 62443 eine große Bedeutung zukommt.
Abschließend fügt ein Dienstleister/Integrator die Komponenten der oftmals unterschiedlichen Hersteller zu einem System zusammen. Im ersten Schritt zeigt sich für ihn der Normenteil 62443-2-4 als relevant. Dort werden die Anforderungen an das Sicherheitsprogramm der Dienstleister definiert. In Teil -2-4 lassen sich vielfach Schnittpunkte zu den Anforderungselementen des Teils 62443-2-1 feststellen. Hier sind ebenfalls nicht nur technologische Aspekte maßgeblich. Anforderungen werden auch an das Personal sowie die erforderlichen Prozesse – zum Beispiel das Patchmanagement – gestellt. Erfüllt ein Dienstleister diese Ansprüche und möchte er als zertifizierter Anbieter auftreten, muss er eine beispielhafte Architektur als Referenz umsetzen. An dieser Stelle sind sowohl die Themengebiete der IEC 62443-2-1 ebenso wie funktionale Security-Features gemäß IEC 62443-3-3 abzudecken.
Weitere Normenteile erweisen sich für mehrere Rollen als wichtig. Sie geben Empfehlung zur Realisierung spezieller Themen, etwa die technische Richtlinie (TR) 62443-2-3 zum Patchmanagement.
Einzelne Schritte zur Umsetzung eines Security-Konzepts
Wie kann nun ein möglicher Weg zu einem risikobasierten Security-Konzept aussehen? Eine erste, stets sinnvolle Maßnahme besteht in der Bestandsaufnahme (1), ganz nach dem Motto: Man kann lediglich schützen, was man kennt. Dieser Schritt klingt einfach, stellt sich allerdings für viele Anlagenbetreiber in der Praxis als große Herausforderung dar. Zwar sind die meisten Dokumentationen zum Inventar vorhanden, jedoch nicht unbedingt aktuell. Speziell in größeren Anlagen gestaltet sich die manuelle Erfassung aufwendig. Technische Helfer könnten unterstützen. Anschließend sollten Basismaßnahmen (2) spezifiziert werden, die unabhängig vom jeweiligen Scope interessant sind. Dazu gehören Themen der IEC 62443-2-1 und -2-4, beispielsweise der Schutz vor Schadsoftware.
Die nachfolgenden Aktivitäten zielen darauf ab, die individuellen Anforderungen des Systems zu konkretisieren. Im Rahmen einer Schutzbedarfsanalyse (3) lassen sich auf Basis einer Datenklassifizierung kritische Bereiche detektieren. Rezeptdaten unterliegen zum Beispiel einem hohen Schutzbedarf hinsichtlich ihrer Vertraulichkeit. Eine Bedrohungsanalyse (4) hilft bei der Erkennung relevanter Gefahren für das System, wobei die Gefahren abschließend in einer Risikoanalyse (5) bewertet werden. In diesem Zusammenhang spielen unterschiedliche Faktoren eine Rolle, der individuelle Kontext ist also wesentlich: Welche Maßnahmen existieren bereits? Ist der Zutritt geregelt? Welche Netzverbindungen gibt es? Im Ergebnis erhält der Betreiber ein spezifisches Risiko, das er akzeptiert oder eben nicht. Danach leiten sich weitere Aktionen insbesondere im Hinblick auf die identifizierten Risiken ab, die in Ergänzung zu den Basismaßnahmen in Schritt 2 ein vollständiges Security-Konzept (6) darstellen. Dieses gilt es zu implementieren (7), zu testen (8) und – ganz wichtig – regelmäßig zu prüfen (9).
Die Kontrolle eines Prozesses zeigt sich immer als sinnvoll, doch gerade im Security-Kontext sind Faktoren wie eine hochdynamische Bedrohungslage sowie unter Umständen nicht mehr vollständig wirksame Schutzmaßnahmen zu berücksichtigen. Daher empfiehlt sich eine zyklische und pragmatische Herangehensweise bei den Analysen statt einer zu detaillierten Betrachtung mit komplexen Tools, auf die gegebenenfalls geschult werden muss. Mit seinem Know-how, Templates und Prozesse kann ein gemäß IEC 63443-24 zertifizierter Dienstleister in sämtlichen Phasen der Konzeptionierung unterstützen.
Deutlich höheres Schutzniveau bereits durch Basismaßnahmen
Zurück zur Frage, warum Cyberangriffe in den letzten Jahren so rasant zugenommen haben: Nicht alle Kriminellen sind plötzlich gute Hacker geworden. Neben den Möglichkeiten der Kryptowährungen hat sich jedoch ein umfangreiches und frei verfügbares „Hacker-Serviceangebot“ entwickelt, das von jedem genutzt werden kann, der genügend kriminelle Energie hat. Die Erpressung mit Verschlüsselungstrojanern erweist sich inzwischen genauso lukrativ wie das Drogengeschäft. Hinzu kommen politisch motivierte Attacken. Auf Seiten der Anlagenbetreiber verdeutlichen Untersuchungen, dass sich erfolgreiche Angriffe mit Basismaßnahmen – wie Netzwerksegmentierung, Sensibilisierung der Mitarbeitenden oder strikten Vorgaben an Dienstleister – hätten verhindern oder zumindest verringern lassen. (ge)
Messe SPS: Halle 9, Stand 310