Endpoint Protection erfordert ein mehrschichtiges Sicherheitskonzept.

Bild: DriveLock

Optimaler Schutz gegen Cyberangriffe Herausforderung: Industrial IT Security

14.09.2018

Im Zuge der Digitalisierung nimmt auch die Vernetzung der industriellen Fertigung zu und erhöht die Anforderungen an die IT Security im Unternehmen. Hier ist Vorsicht geboten, denn Steuersysteme in der Industrie geraten immer mehr in den Fokus von Cyberkriminellen.

Beim Schutz von ICS (Industrial Control Systems) oder SCADA-Systemen (Supervisory Control and Data Acquisition) vor Attacken, Sabotage und Spionage gibt es zahlreiche Herausforderungen. Aufgrund der langen Laufzeit der Anlagen sind die Betriebssysteme oft veraltet und haben beispielsweise noch Windows XP im Einsatz. Um weitreichende Strukturen und Systeme mit etlichen Schnittstellen umfassend und effektiv abzusichern, fehlt kleinen und mittelständischen Unternehmen oft das Know-how und Personal. Hacker haben so eine große Angriffsfläche. Die häufigsten Methoden laut Bundesamt für Sicherheit in der Informationstechnologie (BSI), die Cyberkriminelle gegen Industrieunternehmen verwenden, sind Ransomware-Attacken, infizierte Wechseldatenträger wie Bad-USB sowie Phishing, Social Engineering oder Sabotage.

Gängige Security-Lösungen sind häufig personalintensiv, besonders in Bereichen wie der Applikationskontrolle. Der administrative Aufwand für das Aktualisieren von Black- beziehungsweise Whitelists ist enorm, weil Sicherheitsverantwortliche alle Richtlinien manuell eingeben müssen. Viele Unternehmen wissen zwar von entsprechenden Lösungen, beschäftigen sich vielleicht sogar mit ihrer Einführung, aber letztlich verfügen sie nicht über die notwendigen Ressourcen, um eine Cyber-Security-Lösung effektiv zu implementieren. Hinzu kommt, dass durch die digitale Vernetzung IT und OT immer weiter verschmelzen, aber keine Security-Lösung beide Systeme umfassen kann.

Security aus der Cloud

Ein mehrschichtiges, cloudbasiertes Sicherheitskonzept mit integriertem maschinellen Lernen löst zahlreiche Pro­bleme der Industrial Security und sichert sowohl IT- als auch OT-Systeme effektiv ab. So übernimmt eine smarte Applikationskontrolle die Steuerung, welche Anwendungen an den Computern der Produktionsline ausgeführt werden dürfen. Zusätzlich wird die Applikationskontrolle um eine Sicherheitsschicht in Form einer smarten Gerätekontrolle ergänzt.

Während der Ersteinrichtung der Endpoint Protection wird ein Hardware- und Applikations-Scan durchgeführt. Die Scan-Ergebnisse bilden dann die sogenannte Whitelist, für die Applikations- wie auch Gerätekontrolle. Nachträglich angeschlossene Datenträger werden zunächst blockiert, um etwa vor Bad-USB und dem unerlaubten Kopieren sensibler Daten zu schützen, ebenso können keine Schadprogramme ausgeführt werden. Somit ist sichergestellt, dass jedes ICS in der Produktion individuell wie auch nach zentralen Vorgaben geschützt beziehungsweise versiegelt ist. Die Kombination aus zentral vorgegebenem Sicherheitsprofil und lokalen Whitelists ist im industriellen Umfeld ex­trem wichtig. Im Unterschied zu sehr homogenen Office-Umgebungen, zeichnen sich OT-Umgebungen durch ihre Heterogenität aus. Sehr häufig kommen Applikationen auf nur einem einzigen Gerät zum Einsatz. Diesem administrativen Super-GAU kann durch selbstlernende Agenten effektiv entgegengewirkt werden.

Nachdem das ICS durch diesen mehrschichtigen Sicherheitsansatz geschützt ist, stellt sich die Herausforderung der Wartbarkeit. Selbstlernende Whitelists auf Basis von Machine-­Learning-Algorithmen mit intelligenten Agenten sind in der Lage, Software Updates individuell pro ICS zu erkennen und, basierend auf einem Regelwerk, zu erlauben. Dabei werden beispielsweise Hersteller-Zertifikate oder sogenannte sichere Installationsquellen ausgewertet. Es werden nicht nur die Updates zugelassen, vielmehr werden die lokalen Whitelists automatisiert aktualisiert und die ICS bleiben weiterhin versiegelt. Das Machine-Learning-basierte Management von White­lists erlaubt es, mit minimalem Personaleinsatz eine Vielzahl an heterogenen ICS sicher zu verwalten. Damit entlastet die Lösung Security-Teams und gewährleistet unternehmensweit, dass nur bekannte und sichere Anwendungen laufen.

Enge Zeitfenster für Wartungsarbeiten

Darüber hinaus ist zu berücksichtigen, dass im industriellen Umfeld Wartungsarbeiten an IT-Systemen häufig ad hoc erfolgen beziehungsweise an sehr enge Zeitfenster gebunden sind. Wichtig ist, dass keine Abhängigkeiten zu einem zentralen Service-Desk entstehen und der sichere Betrieb jederzeit gewährleistet ist. Dies macht ein zentrales Management entsprechender Sicherungslösungen von Produktionsanlagen ebenfalls sehr arbeitsintensiv.

Um hier effektiv entgegenzuwirken, ist die Kombination unterschiedlicher Ansätze notwendig. Zum einen ist es entscheidend, dass Wartungsarbeiten dezentral ohne entsprechende Vorlaufzeiten bei der Konzern-IT möglich sind – auch im Offline-Betrieb der ICS. Zum anderen müssen die Lösungen in der Lage sein, sicherheitsrelevante Veränderungen an den Maschinensteuerungen zu protokollieren beziehungsweise zu dokumentieren. Schließlich muss bei dem Einsatz von Applikationskontrolle die Möglichkeit bestehen, Änderungen, die Updates und Patches in Bezug auf die sogenannten Black- und Whitelists nach sich ziehen, automatisch durchzuführen. Zuallerletzt kommt der Bedarf an sehr granularen und vielseitigen Konfigurationsmöglichkeiten gepaart mit der Unterstützung von alten Betriebssystemen, wie Windows XP, zum Tragen. Genau hier unterscheiden sich die verschiedenen Lösungen im Markt. Viele Hersteller verzichten heute auf den Support von alten Betriebssystemen. Letztere sind allerdings im OT-Umfeld noch sehr häufig anzutreffen.

Wartungsmodus unabdingbar

Ist diese Hürde erfolgreich genommen, müssen die Lösungen in der Lage sein, auf den geschützten Endgeräten Funktionen anzubieten, die es erlauben, den Computer in einen Wartungsmodus zu versetzen. Hier bietet zum Beispiel die DriveLock Endpoint Protection einen sehr umfangreichen Wizard an, der es erlaubt, ein geschütztes Endgerät in einen „überwachten“ Wartungsmodus zu versetzen. Somit kann von zentraler Stelle aus definiert werden, in welchem Umfang ein Computer an einer Produktionslinie freigeschaltet werden kann. Damit ist es möglich, die Wartung in der Produktion an die Instandhalter beziehungsweise Maschinenführer zu delegieren und so die Konzern-IT zu entlasten. Hier sind Szenarien denkbar, in denen Computer mit Token auf Smartcards, SD-Cards oder auch Memorysticks „aufgesperrt“ werden können, ohne dass eine Eingabe per Tastatur notwendig ist.

Neben dem Öffnen der Security ist ein wesentlicher Aspekt, dass in dem Zeitfenster mit „gelockerter“ Sicherheit eine vollständige Protokollierung stattfindet. Zusätzlich muss sichergestellt werden, dass Updates oder Software-Installationen nach Beendigung des Wartungsmodus Bestandteil der Whitelist sind. Nur so ist gewährleistet, dass die neuen Applikationen ohne permanente Umgehung des definierten Sicherheitsprofils ausgeführt werden können.

Immer mehr Unternehmen erkennen, dass Produktionsanlagen ohne die richtigen Security-Maßnahmen ein leichtes Ziel für Cyberangriffe sind. Die Digitalisierung wird zudem die Fabrikgrenzen erweitern, indem sie die Anlagen auch mit Lieferanten vernetzt; das steigert Produktivität und Risiken. Unternehmen benötigen daher eine umfassende IT Security ohne Beeinträchtigung der Produktionsleistung, um die Vorteile integrierter Fertigungssysteme voll auszuschöpfen und gleichzeitig die Gefahren zu minimieren.

Dieser Artikel ist im A&D-Kompendiums 2018/2019 erschienen. Das E-Paper finden Sie hier zum kostenlosen Download.

Firmen zu diesem Artikel
Verwandte Artikel