Kritische Infrastrukturen richtig sicher
Zehn Schritte zum sicheren Scada-Netzwerk
Scada-Netzwerke geraten immer häufiger ins Fadenkreuz von Hackern. Ende 2014 wurde der erfolgreiche Angriff auf die Steuerung eines deutschen Hochofens bekannt und kürzlich die Attacke auf ein Atomkraftwerk in Südkorea. Diese Beispiele geben eine Ahnung, welche Folgen drohen. Schließlich überwachen und steuern Scada-Netze wichtige Prozesse und kritische Infrastrukturen.
Hacker greifen Scada-Protokolle mit den gleichen Techniken an, die sie auch bei E-Mail, Web-Servern und File-Transfer-Protokollen nutzen. Dazu zählen Denial-of-Service-Attacken oder Buffer Overflows. Schließlich begehen auch die Hersteller von Scada-Geräten ähnliche Fehler wie die Anbieter traditioneller Netzwerkgeräte, was auch ähnliche Schwachstellen zur Folge hat. Die Situation wird zusätzlich erschwert, wenn Scada-Geräte sich in Netzen befinden, die weitere, bekannte Schwachstellen aufweisen. So kann auf den Servern, auf denen das Scada-Protokoll läuft, ebenso ein nicht autorisierter Webserver oder ein nicht gepatchter Kernel laufen. All dies können Angreifer nutzen, um ein Scada-System zu schädigen, zu manipulieren oder zu kontrollieren.
Die Sicherheit von Scada-Netzen bewerten
Vom technologischen Standpunkt aus betrachtet sind Scada-Netze, die auf gerouteten Protokollen wie IP basieren, genau wie andere Netzwerke. Sie besitzen verschieden Nodes und kommunizieren mittels verschiedener Protokolle. Allerdings gibt es zwei gravierende Unterschiede. Zum einen werden in Scada-Netzen häufig alte, nicht aktualisierte Geräte und Infrastrukturen genutzt. Zum anderen nutzen Scada-Netze Protokolle wie DNP3, ICCP und Modbus, die ebenso wie HTTP oder DNS, bestimmte Anforderungen an die Client-Server-Kommunikation, das Timing, die Encodierung der Daten und die Datenformatierung haben. Neben diesen technischen Unterschieden bestehen im Fall von Scada-Netzen auch unternehmenspolitische Unterschiede. Scada-Anlagen müssen oft rund um die Uhr laufen oder Prozesse steuern, die Umsätze generieren, weshalb jede Sicherheitswarnung zu einem unternehmenspolitischen Problem werden kann. Schließlich kann jede Unterbrechung des Betriebs drastische finanzielle Folgen haben. Dies hat bisweilen Auswirkungen darauf, wie häufig Sicherheitsprüfungen durchgeführt werden, was mit dem daraus gewonnen Wissen um Schwachstellen passiert und was dagegen unternommen wird. Die Sicherheitsvorfälle der letzten Zeit erinnern aber daran, welche verheerenden Folgen es haben kann, den Schutz von Steuerungsnetzen zu vernachlässigen. Aus diesem Grund hat Tenable Network Security zehn Schritte zur Sicherung von Scada-Anlagen zusammengestellt:
Schritt 1
Bestimmen Sie sämtliche Verbindungen zu Ihren Scada-Netzwerken und trennen Sie alle unnötigen. Oft existieren Verbindungen in die Office-Infrastruktur, um beispielsweise Logs automatisiert auf einem Arbeitsplatz-PC zu empfangen. Hierfür werden Protokolle wie SMB, FTP, SCP oder ähnliches freigegeben. Es ist wichtig zu hinterfragen, ob dies wirklich notwendig ist. Verantwortliche müssen klären, ob Sicherheit oder Komfort Vorrang gewährt wird, denn leider weisen auch die Firewalls, die zwischen den Netzwerken existieren, immer wieder Sicherheitslücken auf, die von Hackern und Malware ausgenutzt werden können.
Schritt 2
Verlassen Sie sich nicht auf proprietäre Protokolle, um Ihr System zu schützen. Das Prinzip heutiger Netzwerke ist es, miteinander zu kommunizieren. In der Vergangenheit verwendeten verschiedene Betriebssysteme hierzu unterschiedliche Netzwerkprotokolle. Dies hat sich heute zwar durch die Einführung von TCP/IP geändert, jedoch schützt auch der Gebrauch proprietärer Protokolle nicht vor der Verbreitung von Schad-Software.
Schritt 3
Implementieren Sie sämtliche Sicherheitsfunktionen, die Geräte- und Systemanbieter bereitgestellt haben. Dies sollte die Grundlage jeder Überlegung zum Schutz des Netzwerks sein. IT-Verantwortliche sollten noch einen Schritt weiter gehen und zusätzlich eine eigene Sicherheitsebene einführen. Im Zuge einer Smart-Factory-Potenzialanalyse für ihren Kunden KSB identifizierte die Managementberatung NEONEX Opti mierungschancen bei der Beschaffung der Lieferantendokumentation sowie der Erstellung von Unterlagen zur Qualitätsprüfung entlang der Supply-Chain. ‣ weiterlesen
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
NEONEX, Fabasoft Approve & KSB: „Win-win-win-Situation“ durch starke Partnerschaft
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
Schritt 4
Richten Sie strikte Kontrollen für alle Medien ein, die als Hintertür ins Scada-Netzwerk missbraucht werden können. Malware verbreitet sich auf Scada-Systemen vorwiegend über das sogenannte Turnschuhnetz, dem Transport von Daten mittels Medien wie USB Sticks. IT-Verantwortliche müssen daher von Anfang an gewährleisten, dass die verwendeten Medien sauber sind. Medien sollten grundsätzlich kontrolliert oder kontrolliert bereitgestellt werden, denn saubere Medien helfen grundlegend, die Systeme zu schützen.
Schritt 5
Nutzen Sie interne und externe Intrusion-Detection-Systeme und implementieren Sie durchgängiges (24/7) Incident Monitoring: Natürlich ist die Absicherung von Scada-Netzen mit IDS- und IPS-Systemen die Grundvoraussetzung für die Sicherung dieser Systeme. Aber darüber hinaus ist es viel wichtiger, auf Vorfälle direkt zu reagieren. Hierzu sind Tools für Incident Monitoring und Response notwendig. Nur so kann bei einem Zwischenfall auch ein geregelter Ablauf folgen. Das reine Erkennen eines Vorfalls schützt das System natürlich nicht. Es muss in jedem Fall auch eine darauf basierende Reaktion erfolgen.
Schritt 6
Prüfen Sie alle Scada-Geräte und -Netze sowie sämtliche damit verbundenen Netzwerke, damit Sie etwaige Sicherheitsprobleme erkennen können. Hierfür eignet sich ein Vulnerability Scanner. Dieser sollte alle aktuellen Schwachstellen durch einen Scan der Systeme mit aktuellen Plugins finden, aber auch durch das Auflisten offener Ports, laufender Prozesse und bereitgestellter Dienste, die eine Schwachstelle für das System darstellen können.
Schritt 7
Bilden Sie ein Scada-Einsatzteam, das mögliche Angriffsszenarien erkennen und bewerten soll. Ein dediziertes Team ist eine unerlässliche Absicherung des gesamten Produktionsablaufes, schließlich sind die Folge von Sicherheitslücken auf Clients im Office-Umfeld vollständig anders zu bewerten, als eine Schwachstelle auf einem Produktionssystem. Hierzu sind Spezialisten nötig, die in der Lage sind, Sicherheit gegen Umsätze abzuwägen.
Schritt 8
Legen Sie die Aufgaben für Internetsicherheit, die Verantwortungsbereiche und Berechtigungen der Manager, Systemadministratoren und Anwender eindeutig fest. Wenn es um Sicherheit versus geschäftliche Interessen geht, stehen sich Unternehmen oft selbst im Weg, da die Entscheiderstrukturen nicht klar definiert sind. Vertriebsabteilungen haben natürlich andere Ziele als IT-Verantwortliche eines Unternehmens. Aus diesem Grund muss eine klare Entscheidungshierachie festgelegt werden, damit im Notfall schnell gehandelt werden kann.
Schritt 9
Erstellen Sie eine Dokumentation der Netzarchitektur, in der sie alle jene Systeme bestimmen, die zentrale Aufgaben erfüllen oder sensible Informationen enthalten. All diese Systeme benötigen ein besonderes Maß an Schutz. Metriken sind das A und O für die Sicherheit. Indem die sensiblen Systeme im Vorfeld bestimmt werden, kann, basierend auf diesem Wissen, eine Sicherheitsinfrastruktur aufgebaut werden. Dadurch fällt die Entscheidung leichter, an welchen Punkten dedizierte Sicherheitssysteme eingesetzt werden müssen, um das sensible Gerät vor der Außenwelt, aber auch vor internen Systemen mit Kontakt zur Außenwelt zu schützen.
Schritt 10
Definieren Sie Sicherheits-Policies und führen Sie Schulungen dazu durch. Dies verringert das Risiko, dass die Angestellten sensible Details über den Aufbau des Scada-Systems, die Vorgänge darin oder die zugehörigen Sicherheitskontrollen unbeabsichtigt weitergeben.
Social Engineering als größte Sicherheitslücke
Viele Unternehmen vergessen, dass das sogenannte Social Engineering die größte Sicherheitslücke des Unternehmens darstellt. Mitarbeiter handeln in der Regel nicht per se böswillig. Vielmehr sind sie oftmals davon überzeugt, dass das Unternehmen sehr gut geschützt ist und nichts passieren kann. Häufig kommt es demnach vor, dass Mitarbeiter einen USB-Stick nicht zu Hause, sondern zur Sicherheit in den Firmen-PC einstecken, da dieser kontrolliert und geschützt sei. Die wichtigste Aufgabe in der Absicherungskette im Unternehmen ist daher die Schulung der Mitarbeiter. IT-Verantwortliche müssen die Absichten der Hacker aufzeigen und verdeutlichen, welche Folgen es hätte, wenn alle Unternehmensdaten gestohlen werden oder die Anlagensteuerung gestört wird.
