Sicherheitsrisiken im Industrial Internet of Things

Gefahren für Industrial Control Systems (ICS)

| Autor / Redakteur: Markus Westphal* / Peter Schmitz

Industrial Control Systems (ICS) besitzen in der Regell keine eigenen Schutzmechanismen, weshalb erfolgreiche Angriffe auf Produktuionssysteme oft schwer zu entdecken sind.
Industrial Control Systems (ICS) besitzen in der Regell keine eigenen Schutzmechanismen, weshalb erfolgreiche Angriffe auf Produktuionssysteme oft schwer zu entdecken sind. (Bild: shotput - Pixabay / CC0)

Untersuchungen schätzen, dass eine Steigerung der Produktionseffizienz von 30 Prozent durch smarte Fabrikanlagen möglich ist. Es ist also sehr wahrscheinlich, dass das Internet der Dinge (IoT) im Produktions- und Fertigungsumfeld einen besonders starken Einfluss erlangen wird. Die Vernetzung hat außerdem schon längst begonnen und wird auch weiter zunehmen. Problematisch ist jedoch, dass die Sicherheitsvorkehrungen für Industrial Control Systems (ICS) wie Supervisory Control and Data Acquisition (SCADA) oft vollkommen unzureichend sind.

Aufgrund der fatalen Sicherheitslage hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Analyse zu den zehn größten Gefahren für ICS veröffentlicht. Darin stellt das Bundesamt fest, dass die Anzahl der Angriffe in diesem Jahr deutlich gestiegen ist und sich die Organisationen der Branche dringend der Thematik annehmen sollten.

Viele der Gefahrenmuster, die sich jetzt im Industrial Internet of Things (IIoT) sind bereits aus anderen Sektoren bekannt. Es ist keine Überraschung, dass Social Engineering, Phishing, Malware über Wechseldatenträger und Viren aus dem Internet und Intranet die ersten drei Plätze der größten Gefahren einnehmen. Auch die Absicherung von Fernwartungszugängen und menschliches Versagen / Sabotage sind häufige Ursachen für Sicherheitsprobleme.

Grundsätzlich ähneln sich Produktionsnetzwerke und Office-Umgebungen immer stärker je weiter die digitale Integration voranschreitet. In diesem Falle spricht man vom Industrial Internet of Things (IIoT). Dennoch bleiben fundamentale Unterschiede die sich drastisch auf die IT-Sicherheit auswirken. So besitzen ICS beispielsweise keine eigenen Schutzmechanismen, welche auch im Nachgang wesentlich schwieriger zu integrieren sind, da sie auf keinen Fall in den Produktionskreislauf eingreifen dürfen. Viele Anlagen nutzen zwar IT-Standardkomponenten, diese wurden aber ursprünglich als Insellösungen konzipiert – die nachträgliche Installation von Updates und Patchs ist oft nicht gegeben.

Steuerungselemente sind keine kurzfristige Anschaffung, sondern werden über einen langen Zeitraum im Unternehmen genutzt und finanziert. Ein Austausch wäre kostspielig und ist selten finanziell abbildbar. Der Einsatz von Dienstleistern bei der Wartung und dem Betrieb sind ebenfalls weit verbreitet, daher haben häufig mehrere externe Angestellte Zugang auf die IT. Zusätzlich sind Folgeattacken möglich, nachdem in einem Primärangriff Malware installiert wurde.

Angreifer können nach einem Eindringen beispielsweise Zugangsdaten zur Rechteerweiterung auslesen. Da Schutzmechanismen in internen Systemen oft nicht entsprechend ausgelegt sind, warnt das BSI vor Innentätern. Autorisierung und Authentifizierung sind in der Regel nicht entsprechend ausgelegt und erlauben Wörterbuch- und Brute Force-Angriffe.

Das BSI spricht sich für Defense-in-depth-Konzepte aus, die auch nach einer Attacke Folgeangriffe, wie nicht-autorisierte Rechteerweiterung, unterbinden sollen. Besonders Angriffe mit Schadcodes werden ausgefeilter, können aber mit einem entsprechend abgestimmten Sicherheitsansatz unterbunden werden. Dies ist dringend zu empfehlen, denn Datenabflüsse bedeuten speziell für deutsche Unternehmen eine nicht-reproduzierbare Entwendung von intellektuellem Eigentum. Zusätzlich besteht die Gefahr der dauerhaften Anlagebeschädigung und eine Minderung der Erzeugnisqualität.

Umfassender Schutz für ICS und SCADA mit PAM

Privileged User and Access Management (PAM) eignet sich hervorragend zum Schutz von Industrieanlagen und erfüllt gleich mehrere der BSI-Empfehlungen. Es funktioniert als demilitarisierte Zone (DMZ), inkludiert aber auch weitere Sicherheitsmechanismen. Zur Liste der Maßnahmen gehört beispielsweise die Begrenzung von Anmeldeversuchen mit ungültigem Kennworten; Neu-Authentifizierungen nach mehr als 15 Minuten Inaktivität; Konfigurationseinstellungen, die starke Kennwörter gewährleisten und eine sichere Authentifizierung (zum Beispiel mittels KERBEROS, RADIUS, LDAP, LDAP-AP, LDAPS und LDAPS-AD).

Zudem eignet sich PAM für die Absicherung von ICS und den Zugriffsrechten von Dienstleistern. Die Rechteverwaltung ist aufwendig und unübersichtlich für die IT-Administratoren. Tools für das Benutzerkonto-Management mit erhöhter Sicherheitsfreigabe stärken das Schutzniveau und die Reaktionsfähigkeit auf Unregelmäßigkeiten und Angriffe. Zusätzlich erleichtern sie die Erstellung von Reports und Audits.

Ein Blick in die Praxis öffnet meist die Augen: Neben den beschriebenen Unterschieden zur normalen Büro-IT ist auch die Zugriffsverwaltung im Industriesektor oft nur unzureichend geregelt. Zwar werden häufig höhere Budgets für Sicherheitstools zur Abwehr von Malware bereitgestellt, trotzdem werden Accounts mit umfangreichen Zugriffsrechten immer wieder geteilt und nicht richtig verwaltet. Sensible Daten können beispielsweise ohne Probleme durch ehemalige Angestellte kopiert werden – vollkommen anonym.

Fazit

Markus Westphal
Markus Westphal (Bild: Wallix)

Die Bedrohungslandschaft hat sich grundlegend gewandelt, und genau deshalb dürfen Organisationen die traditionelle Verwaltungsarbeit ihrer IT-Angestellten nicht zu kurz kommen lassen. Immer mehr Sicherheitstools und Angriffsvektoren bedürfen der Aufmerksamkeit von IT-Abteilungen. Daher braucht es Lösungen die das technische Personal gezielt entlasten.

PAM ist ein modernes Tool, dass die Arbeit von Administratoren erleichtert, da es die Verwaltung besonders kritischer Accounts klar strukturiert und den Schutz nachhaltig verbessert. Durch die leichte Implementierung ohne Agenten ist PAM ideal für die Industrie und Betreiber kritischer Infrastruktur.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal Security-Insider erschienen.

* Markus Westphal ist Director Central Eastern Europe bei Wallix.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44447534 / IoT-Security)