Cyberschwachstellen betreffen auch das industrielle Umfeld. Das hat die Kaspersky-Studie „Cybersicherheit in der Industrie: die Bedrohungslandschaft“ aus dem vergangenen Jahr gezeigt: ob Energieerzeuger, Transportwesen oder Automobil- und Lebensmittelindustrie – Sicherheitslücken sind kein Phänomen einzelner Branchen, sondern ziehen sich über alle Industriezweige hinweg.
Zum Zeitpunkt der Studie existierten weltweit 188.019 Rechner (Hosts) industrieller Kontrollsysteme (ICS), die über das Internet erreichbar waren. Davon waren 13,9 Prozent in Deutschland beheimatet. Die Anzahl gefundener Schwachstellen innerhalb von ICS-Komponenten ist in den vergangenen fünf Jahren um das Zehnfache gestiegen. Bei knapp der Hälfte der Fälle (49 Prozent) handelt es sich um kritische Lücken.
Verbindungen zum Internet innerhalb industrieller Systeme eröffnen Cyberkriminellen die Möglichkeit zur Fernsteuerung kritischer ICS-Komponenten. Das kann physische Schäden von Anlagenteilen zur Folge haben und stellt eine potenzielle Gefahr für die gesamte kritische Infrastruktur dar. Beispiele für hochentwickelte Attacken auf ICS-Systeme sind die Angriffe der Hackergruppe BlackEnergy auf ein Energieversorgungsunternehmen in der Ukraine im Jahr 2015 sowie der Cyberangriff auf ein deutsches Stahlwerk im Jahr 2014.
Egal ob Automationsprozesse in Raffinerien, Smart Grids, mobilen Automationssystemen oder Fabrikautomation großer Produktionsanlagen, sie alle sind hackbar und damit potenzielles Ziel von Cyberangriffen. Mit Industrie 4.0 beziehungsweise dem Industrial Internet of Things wird die Angriffsfläche immer größer – und damit müssen auch mehr Systeme und Geräte vor Cyberattacken geschützt werden. Denn sollten Prozesse der industriellen Produktion oder Automation ausfallen oder nicht ordnungsgemäß funktionieren, hat der Hersteller ein Problem.
Schutz für industrielle Steuerungssysteme
Ein Problem beim Cyberschutz industrieller Steuerungssysteme ist, dass sich ein Security-Update nachträglich schwer realisieren lässt. Zudem kommen immer häufiger Drittanbieterlösungen bei Betriebssystemen, Echtzeit-Engines, Kommunikations- und Fieldbus-Protokoll-Stacks sowie Logic Engines zum Einsatz, die per se Software-Schwachstellen aufweisen. Das bedeutet, dass industrielle Steuerungssysteme häufig anfällig für Cyberangriffe sind. Außerdem fehlt vielen Herstellern die Expertise, um ein industrielles Steuerungssystem gegen Internetbedrohungen so zu immunisieren, wie es die aktuelle Gefährdungslage erfordert.
Was ist also zu tun, wenn die Industrie kritische Systeme im industriellen Umfeld cybersicher machen möchte? Neue Systeme sollten sicher By-Design und Teil einer professionellen Cybersicherheitsstrategie sein. Daher ist es wichtig, ein System in Kombination mit spezieller ICS-Kontroll-Software neu aufzusetzen. Die eingebettete Software muss auf verschiedene Domains verteilt werden und als ein eigener Prozess laufen. Die Kommunikation zwischen den Prozessen muss über ein spezielles Sicherheitssystem laufen, das jegliche Kommunikation hinsichtlich der vordefinierten Sicherheitsrichtlinien kontrollieren kann.
Ein Produkt zur Absicherung industrieller Automatisierungsprozesse haben Kaspersky Lab und BEservices auf der SPS IPC Drives 2016 in Nürnberg vorgestellt. Die Lösung Embedded Security Shield bietet Schutz für SPSen beziehungsweise RTUs (Remote Terminal Units), die auf der Technologie Codesys basieren – einer Entwicklungsumgebung für SPS nach dem IEC 61131-3 Standard für die Applikationsentwicklung in der Industrieautomation. Basis der Lösung ist das Kaspersky-Security-System, eine Plattform zum Schutz sicherheitskritischer Aufgaben und Infrastrukturen. Mit der Security-Plattform können industrielle Kontrollsysteme abgesichert werden, unabhängig von der verwendeten Software-Technologie. Zudem steht sie Anbietern als OEM-Komponente zur Verfügung.
Technologie und Services gehören zusammen
Integrierte und ganzheitliche IT-Sicherheitsansätze sind wichtig und sollten speziell für industrielle Anlagen entwickelt werden. Hinzu kommt, dass neben den eingesetzten Technologien auch Dienstleistungen wie Schulungen für Betreiber und Mitarbeiter von Industrieanlagen zur Verbesserung der IT-Sicherheit eine Rolle spielen sollten. Auch – und das ist ein neuer Trend – Mischformen aus Technologie und Services kommen den speziellen Bedürfnissen kritischer Systeme entgegen, zu denen industrielle Anlagen definitiv gehören.
