Sicherheit im industriellen Informationsnetzwerk

In vier Schritten zum Standard IEC 62443

| Autor / Redakteur: Klaus Mochalski / Redaktion IoT

Mit dem Sicherheitsstandard IEC 62443 gegen Schwachstellen in industriellen Informationsnetzwerken.
Mit dem Sicherheitsstandard IEC 62443 gegen Schwachstellen in industriellen Informationsnetzwerken. (Quelle: Pixabay)

Die in der Standardfamilie IEC 62443 definierten Anforderungen an die Sicherung industrieller Informationsnetzwerke zielen auf die vollständige Kontrolle aller Aktivitäten und technischen Rahmenbedingungen. Für Betreiber von Industrial Control Systems bedeutet das einen fortlaufenden Prozess in vier Schritten.

Spätestens seit den weltweiten Attacken mit den Schadprogrammen WannaCry und NotPetya im Jahr 2017 müssen sich Industrieunternehmen auch mit der umfassenden Sicherung ihrer Industrial Control Systems (ICS) auseinandersetzen. Die internationale Standardfamilie IEC 62443 »Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme« bildet dabei ein grundlegendes Rahmenwerk. Dieses gewährt sowohl die Cybersicherheit gegenüber Angriffen, als auch die Produktivität gegenüber technischen Fehlerzuständen und Fehlkonfigurationen.

Im Kern bildet die IEC 62443 ein Qualitätsmanagementsystem für ICS, denn sie folgt - wenn auch etwas versteckt - dem kontinuierlichen Verbesserungsprozess von Planen, Umsetzen, Überprüfen und Optimieren. Eine industrielle Anomalieerkennung wie Rhebo Industrial Protector bietet bezüglich der Sichtbarkeit der Daten umfangreiche Funktionalitäten, um ICS stabil und sicher zu planen und zu steuern.

Schritt 1: Risikoanalyse

Die praktische Umsetzung des Standards beginnt mit einer detaillierten Risikobewertung der informationstechnologischen Infrastrukturen. Was im Grund wie eine normale Fehlermöglichkeiten-Einflussanalyse (FMEA) klingt, birgt den Teufel im Detail. Denn der Standard fordert nicht weniger als die vollständige Bewertung des Status Quo:

    • Grenzen des zu betrachtenden Systems (System under Consideration, SuC)
    • Generelle Cybersicherheitsrisiken (externe Bedrohungsszenarien und interne Sicherheitslücken / Verletzbarkeiten)
    • Auswirkungen der Bedrohungen auf die bestehende Infrastruktur
    • Identifikation möglicher Sicherheitsmaßnahmen
    • Re-Evaluierung der Bedrohungen (als iterativen Prozess)

Für Betreiber von ICS bedeutet das die Analyse und Dokumentation jeder Komponente im ICS in Bezug auf ihre Eigenschaften, Kommunikationsbeziehungen sowie ihr Kommunikationsverhalten und Risiko für die Cybersicherheit und Gesamtanlageneffektivität. Firewalls und andere Grenzwächterlösungen versagen bei diesem Punkt, da ihnen die Innenansicht des ICS fehlt. Ein industrielle Anomalieerkennung dagegen blickt gezielt in das Netzwerk und identifiziert aufgrund von Kommunikationsvorgängen jegliche Komponenten, deren Eigenschaften und Verbindungen.

Eine Sicherheitslösung für ICS muss in der Lage sein, Störungen zu erkennen, bevor es zum ungeplanten Stillstand kommt. (Quelle: Rhebo)

Schritt 2: Komplette Absicherung

Der zweite Schritt umfasst einen sehr umfangreichen Maßnahmenkatalog, der im Kapitel 3.3 für die Systemebene und in Kapitel 4.2 für die Komponentenebene definiert wird. In sieben Basisanforderungen (Foundational Requirements, FR) verlangt der Standard die allumfassende Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeit der Daten, eingeschränkten Datenfluss, rechtzeitige Reaktion auf Ereignisse im ICS sowie die Verfügbarkeit der Ressourcen. Ziel ist letztlich eine vollständige Kontrolle über alle Vorgänge, Veränderungen und Zugriffe auf das ICS - sowohl während des Normalbetriebs als auch während des Stressbetriebs sowie nach Neuinstallationen und Anpassungen.

Die industrielle Anomalieerkennung unterstützt, prüft und dokumentiert den Anspruch an eine lückenlose Kontrolle durch die vollständige Sichtbarmachung der Vorgänge im ICS, sowohl punktuell als auch kontinuierlich.

Schritt 3: Rund-um-die-Uhr-Überwachung

Der große Unterschied zum Qualitätsmanagement liegt bei der IEC 62443 in der Gleichzeitigkeit. Während im Qualitätsmanagement Stichproben genutzt werden, um das System regelmäßig zu prüfen, gilt bei der IEC 62443 Echtzeit und Vollständigkeit. Das ergibt sich aus Schritt 2, der eine komplette Kontrolle über alle Vorgänge postuliert. Betreiber von ICS müssen also ein System aufbauen, das alle Vorgänge im ICS auf Richtigkeit prüft und sofort über Abweichungen alarmiert.

Eine industrielle Anomalieerkennung erreicht das zum Beispiel, indem sie lückenlos jeden Kommunikationsvorgang im ICS mitliest, gegen das zu erwartenden Standardmuster abgleicht und Abweichungen zu diesem umgehend als Anomalie meldet. Die Überwachung erfolgt rund um die Uhr, Anomalien werden in Echtzeit und inklusive Risikobewertung an die Betreiber gemeldet.

Schritt 4: Gefährdungen beseitigen, bevor die Fertigung betroffen ist

Wer alle Daten seines ICS vorliegen hat, kann auch optimal auf Störungen und erkannte Gefährdungen reagieren. Der Standard fordert dabei nicht nur die Überwachung des ICS auf Schadsoftware. Auch technische Fehlerzustände, die zum Beispiel Überlastzustände und Kommunikationsfehler im ICS hervorrufen und so die Fertigung gefährden können, gehören dazu.

Eine industrielle Anomalieerkennung erkennt jede Abweichung im ICS - vom Schadcode bis zu Fehlern im Kommunikationsverhalten oder den Inhalten der Telegramme. Darüber hinaus liefert sie zu jeder gemeldeten Anomalie alle Details zum Vorgang. Damit kann die Quelle einer Anomalie schnell gefunden, analysiert und repariert werden. Betreiber können damit Ausfälle vermeiden und das ICS kontinuierlich optimieren. Und sollte doch einmal eine plötzliche Störung auftreten, liegen alle Daten bereit, um Gegenmaßnahmen umgehend einzuleiten und den ungeplanten Stillstand auf ein Minimum zu beschränken.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.