Wortwechsel mit Raphael Vallazza, Endian

Andrea Gillhuber,

Das ABC der Security

Welche spezifischen Anforderungen gibt es in Industrial und Cyber-Security? Dieser und noch weiterer Fragen stellte sich Raphael Vallazza, CEO von Endian, im Interview mit Chefredakteurin Andrea Gillhuber. Mit den Unterschieden erklärt er auch gleich den Grundstein für eine erfolgreiche Security-Strategie.

Raphael Vallazza, CEO bei Endian. © Endian

Was ist der Unterschied zwischen Industrial- und Cyber-Security?

In der Cyber- oder IT-Security ist man gewohnt, Systeme schnell upzudaten, sprich: kleinere Releases zu haben; das ist in der Industrie anders. In der Automatisierungswelt kommen beispielsweise mit Modbus oder OPC UA auch Protokolle zum Einsatz, die nur für diese Umgebung geschaffen wurden. Eine sehr große Herausforderung, die man in der IT-Welt in der Regel nicht hat, ist auch die heterogene Umgebung: In der IT-Welt rechnet man damit, alle drei  bis fünf Jahre die Hardware wie Server oder Rechner auszutauschen, in der Produktion kauft man sich nicht eben schnell eine neue Maschine und tauscht sie nach wenigen Jahren wieder aus. In einer Produktion sind unterschiedliche Maschinengenerationen mit unterschiedlichen Technologien und Systemen im Einsatz, die Voraussetzungen sind also ganz andere.

Sie sagten einmal, die Frage ist nicht, ob ein Unternehmen angegriffen wird, sondern wann. Wie gelangen Cyberkriminelle in der Regel in das unternehmenseigene System?

Anzeige

Cyberkriminelle gehen in der Regel den einfachen Weg. Das heißt, sie suchen die Schwachstelle im System, über die sie am schnellsten und unkompliziertesten hineinkommen, um den größten Schaden zu verursachen oder – im Falle einer Erpressung – den höchsten Profit herauszuschlagen. Meistens ist diese Schwachstelle der Faktor Mensch: Über eine E-Mail oder einen vorschnell geöffneten Dateianhang gelangen Angreifer in das Netzwerk.
Auch Systeme, die direkt über das Internet erreichbar sind, sind eine Schwachstelle. Es gibt sogar eine Suchmaschine, Shodan, die das Internet nach IP-Adressen scant und genau anzeigt, welche Services über welche IP-Adresse erreichbar sind. Gerade hier sieht man, dass die Schutzmechanismen auch kritischer Infrastruktur oft sehr schlecht sind. Beispielsweise kann ich einen Steuerungstyp direkt eingeben, die Suchmaschine listet anschließend Systeme und IP-Adressen auf, die Cyberkriminelle sehr einfach für Angriffe nutzen können.
Aber egal, ob ein Angreifer über die Office-IT oder die IP-Adresse einer Steuerung einfällt, Office-IT und Produktion müssen im System getrennt sein, also eigene, unabhängige Netzwerke haben.

Gerade in Zeiten von zunehmender Vernetzung, wie kann hier eine Trennung gelingen?

Menschen und Maschinen müssen in einer modernen Industrie vernetzt sein. Aber es ist wichtig zu segmentieren und Zugriffe auf Netzwerke, Maschinen und Geräte zu reglementieren. Tut man dies nicht, könnte ein Angreifer über den Verwaltungs-PC auch direkt in das Produktionsnetzwerk gelangen. Deswegen sollten Benutzer nur auf die Bereiche und Daten Zugriff haben, die für ihre Arbeit wirklich notwendig sind, und nicht auf das gesamte System.

Wie schult man Mitarbeiter dahingehend richtig?

Wenn ein Unternehmen das Thema Cyber und Industrial Security nicht richtig behandelt, hat es ganz automatisch ein Risiko. Wir als Security-Experten haben schon einiges erlebt: von einfachen Passwörtern wie „123456“ oder „admin“ bis hin zu Passwortlisten, die ausgedruckt und an den Bildschirm geklebt werden. Daher sind Schulungen wichtig, um auch das Bewusstsein beim Mitarbeiter zu schaffen, dass jeder einzelne zur Sicherheit seines Unternehmens beitragen kann.
Aber der Mitarbeiter alleine ist es nicht, es müssen auch technische Voraussetzungen  geschaffen werden, zum Beispiel mit den richtigen Tools und Instrumenten. Ein Sicherheitssystem sollte auch einfach in der Bedienung sein, denn wird etwas zu komplex in der Bedienung, werden Wege gefunden, es zu umgehen. Wir fokussieren uns daher auf Segmentierung, Authentifizierung, Autorisierung und Accounting. Über ein Tool kann ich dann die Rechte zentral verwalten und auch zentral auf Systeme zugreifen oder sie abschotten, sollte es zu einem Angriff kommen.

Welche Gefahren gehen von Legacy Systemen aus?

Legacy Systeme sind in der Regel älter. Meistens ist die Software in diesen Systemen anfällig für Schwachstellen, über die das System kompromittiert werden kann. Cyberkriminelle nutzen Bugs und Schwachstellen, um Systeme anzugreifen. Es gibt verschiedene Angriffsmethoden: ich kann eine Maschine lahmlegen oder über einen Bug eine höhere Berechtigung erlangen, um Prozesse zu manipulieren. Bei Cyber beziehungsweise Industrial Security geht es auch darum, den Lebenszyklus einer Maschine durch Updates aufrechtzuerhalten. Eine Firewall oder ein Security-Produkt muss konstant mit Updates versorgt werden und das geht bei Legacy Systemen häufig nicht, da die Software bereits End-of-Life ist. Gerade ist Windows 7 End-of-Life gegangen, das heißt, es gibt keine Updates mehr. Manche Systeme in der Industrie arbeiten aber noch mit Windows XP oder gar noch älter. Und dieses Problem ist ernst: Diese Systeme haben gar keine Sicherheits-Updates mehr. Das heißt, die Systeme sind automatisch unsicher! Hinzu kommt die vergleichsmäßig geringe Rechenleistung: Mit einem brachialen Angriff können die Systeme überlasten. Dazu schickt man einer SPS einfach so viel Traffic, bis sie nicht mehr reagieren kann und es zu einem Denial of Service kommt. So ein Angriff ist immer möglich.

Kann eine Produktionsanlage über die IT-Sicherheit abgesichert werden?

Produktions- und Office-Umgebungen werden abgeschottet, meist über Standard-IT-Security. Nur haben Produktionsanlagen letztendlich andere Ansprüche. Deswegen ist es notwendig, Tools einzusetzen, die für Office- und Produktionsumgebungen geschaffen und zueinander kompatibel sind.
Im Bereich Produktion benötige ich beispielsweise einen sicheren Fernzugriff. Dafür Standard-IT-Tools zu nutzen, ist einfach bequem, doch lassen sich damit Berechtigung nicht in dem Umfang verwalten oder IT-Konflikte in der Produktion lösen. Denn in der Industrie wurde für verschiedene Produktionslinien oder Maschinen die gleiche IP-Adresse verwendet, weil es praktisch war. In der IT ist dies ein No-go, denn IP-Adressen wurden nicht dazu konfiguriert, mehrfach verwendet zu werden.

Ein weiteres Thema ist der Zugriff direkt über die Ethernet-Ebene. Wieso ist das nötig?

Tools wie die Suite von Siemens oder Beckhoff starten Anfragen an die Steuerung auf Ethernet-Basis, um beispielsweise zu verstehen, wie viele Steuerungen und welche Steuerungen sich in einem Netzwerk befinden. Viele IT-Instrumente unterstützen diese Automationstechnik nicht.

Wie sieht ein gutes Sicherheitskonzept für Produktionsanlagen aus?

Wie bereits erwähnt, sind Segmentierung, Authentifizierung und Autorisierung essentiell. Auch eine Produktionsanlage selbst sollte segmentiert sein. Eine Segmentierung lässt sich anhand eines Schiffs gut erklären: Ein Schiff ist in mehrere Segmente unterteilt. Läuft es auf ein Riff oder einen Eisberg und dringt Wasser ein, werden die Schotten des betroffenen Segments dicht gemacht und so ein Sinken des Schiffs verhindert. Gleiches gilt in der Produktion: Ist eine Maschine infiziert, mache ich mithilfe der Segmentierung die Schotten zu anderen Segmenten, sprich: anderen Maschinen und Produktionsanlagen, dicht. Im Idealfall entspricht jede Maschine einem Segment und über ein vorgeschaltetes Gateway lassen sich Zugriffe und Berechtigungen schalten.
Wichtig ist dabei, dass die Zugriffsberechtigungen von Menschen und Maschinen zentral verwaltet werden können. Viele Produktionsanlagen sind verteilt und haben mehrere Linien mit verschiedenen Maschinen unterschiedlicher Hersteller. Möchte ich beispielsweise einem Hersteller für eine Wartung nur Zugriff auf eine Maschine geben, ist dies über eine zentrale Berechtigungsverwaltung sehr einfach. Bei einer manuellen Freigabe ist die Gefahr größer, Fehler zu machen oder schlicht weg zu vergessen, die Berechtigung wieder zurückzunehmen. Gerade letzteres birgt ein großes Sicherheitsrisiko.
Ob mein System wirklich sicher ist, kann ich allerdings nur durch eine Überwachung erfahren. Als Endian gehen wir in den letzten Jahren den Weg und nutzen die Cyber-Security beziehungsweise die Security für Produktionsanlagen und -maschinen als Grundbaustein, der auch eine Brücke in Richtung Anlagenüberwachung schlägt. Denn die Gateways können nicht nur für Sicherheit sorgen, sondern auch produktionsrelevante Daten weitergeben, die der Anwender letztendlich für Condition Monitoring oder der Optimierung der Produktion nutzen kann, wie z.B. für Predictive Maintenance. Unser Ziel ist es, die Security immer stärker in die Infrastruktur einzubinden und so die Digitalisierung auch einfacher anstatt komplexer zu machen.

Cyber-Security als Mehrwert?

Genau, Security als Grundbaustein und Teil der Infrastrukturstrategie. Industrie 4.0 bedeutet Vernetzung und wer vernetzt, muss absichern. Der Mehrwert kommt aber weder aus der Vernetzung noch aus der Security, er kommt aus den Daten. In der Verbindung dieser Aspekte ergibt sich ein Mehrwert und letztendlich ein Instrument, mit dem sich Prozesse gestalten lassen.

In letzter Zeit hört man immer mehr über Anomaliendetektion. Welche Rolle spielt sie in einem Sicherheitskonzept?

Bei der Anomaliendetektion wird der Ist-Zustand mit einem vorher aufgenommen Referenzzustand verglichen. Tritt ein Fehler auf, erkennt sie diesen, kann aber nicht aktiv schützen. Aber damit auch eine Anomalienerkennung funktioniert, muss ich zuerst eine Basis geschaffen haben und diese Basis schaffe ich durch Segmentierung eines Netzwerks, die Authentifizierung der Benutzer und der Autorisierung ihrer Aufgaben. Das ist das ABC: Ist eine Ressource nicht öffentlich zugänglich, kann ich sie auch nicht angreifen.

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige