Industrial Security zur Gefährdungsreduktion

Industrial Security ist vielseitig und kommt in mehreren Ebenen zum Tragen. In der OT und Produktion dient das Prinzip Industrial Security in erster Linie dem Schutz von Maschinen vor Gefährdungen, ausgelöst durch menschliches Handeln. Dieses Prinzip schützt Maschinen vor Gefährdungen wie Cyberangriffen oder Manipulation.

Doch wie geht man vor, um potenzielle Risiken oder Einfallsmöglichkeiten aufzudecken?

Erstes Mittel zur Wahl, um die Produktion zu Industrial Security zu untersuchen, ist die Durchführung einer Risikobeurteilung. Sie deckt auf, welchen Gefahren und Risiken aus dem „Cyber-Raum“ eine Maschine ausgesetzt ist und welche Maßnahmen ergriffen werden müssen, um diese zu minimieren.

Die Security Risikobeurteilung sollte immer in den folgenden Schritten durchgeführt werden:

1. Assets identifizieren: Was möchte ich schützen?
2. Bedrohungen analysieren: Welche Risiken bestehen bei dem zu schützenden Gut?
3. Relevante Schutzziele ermitteln: Welche Ziele möchte ich erreichen?
4. Risiken analysieren und bewerten: Wie hoch ist die Wahrscheinlichkeit, dass ein Risiko eintritt?
5. Angriffsvektoren analysieren
6. Security Konzept erstellen und umsetzen
7. Überprüfung der Umsetzung
8. Regelmäßige Neubewertungen
9. Schutzmaßnahmen wählen und umsetzen: Wie kann ich vor möglichem Risiko schützen?
10. Resilienzmanagement: Was ist nach einem Angriff zu tun? Wie kann ich Security stärker im Unternehmen verankern?

Security Level definieren das Sicherheitslevel, das Anlagenbetreiber oder Hersteller mithilfe von Sicherheitsmaßnahmen erreichen wollen. Aufschluss darüber gibt eine Risikobeurteilung im Vorfeld. Während dieser wird definiert, was geschützt werden soll und ermittelt, wie hoch die Wahrscheinlichkeit ist, dass dieses Gut angegriffen wird. Dementsprechend wird das Security Level (SL) gewählt. SL-2, sprich Schutz vor „absichtlicher Beeinträchtigung/Manipulation mit einfachen Mitteln, wenig Ressourcen, normalen Fähigkeiten und ohne spezielle Motivation“, sollte heutzutage als Mindeststandard verstanden werden. Um diesen Mindeststandard zu halten, muss das Unternehmen einen gewissen Security-Reifegrad besitzen. Die beste Firewall bringt nichts, wenn die Mitarbeiter eines Unternehmens weiterhin Passwörter auf Post-its an den PC-Bildschirm kleben oder keine Updates ausführen. Je stärker sich daher das Unternehmen mit dem Thema Security befasst, desto höher fällt der Schutz insgesamt aus. Wichtig ist daher ein ganzheitliches Security-Konzept.

Die Security Level im Überblick:

• Security Level 1: Schutz gegen einfachen oder zufälligen Missbrauch
• Security Level 2: Schutz gegen absichtlichen Missbrauch mit einfachen Mitteln
• Security Level 3: Schutz gegen absichtlichen Missbrauch mit fortgeschrittenen Mitteln
• Security Level 4: Schutz gegen absichtlichen Missbrauch mit fortgeschrittenen Mitteln und umfangreichen Ressourcen

Um eine Maschine gezielt und spezifisch schützen zu können, ist ein detailliertes Security Risk Assessment unabdingbar. Aber auch generische Maßnahmen können die Security erhöhen. Jede Maßnahme ist besser als keine Maßnahme. Folgende Strategien, helfen Ihnen Security im Unternehmen umzusetzen:

1. Defense in depth: Dieses Prinzip beruht darauf, Eindringlingen immer neue und andere Hindernisse in den Weg zu legen. So wird Angreifern der Weg zum Ziel erschwert. Der Clou ist hierbei auf möglichst vielen Ebenen, möglichst viele Hindernisse zu schaffen, da jede Einzelmaßnahme natürlich überwunden werden kann. Ein wichtiger Teil dieses Konzeptes ist immer auch die Berücksichtigung des Faktors Mensch.

2. Organisatorische Maßnahmen: Es ist also wichtig, dass alle Mitarbeiter eines Unternehmens Security verinnerlichen. Es empfiehlt sich Richtlinien aufstellen, die sowohl für die eigenen Mitarbeiter als auch für Partner wie etwa Zulieferer und Dienstleister gelten. Da Vertrauen gut aber Kontrolle besser ist, sollte eine für Security verantwortliche Person die Einhaltung dieser Richtlinien prüfen und gegebenenfalls unterstützen.

3. Schulungen: Da nicht jeder von Hause aus Security Experte ist, bedarf es regelmäßiger Security-Schulungen für die Mitarbeiter. Die Seminare von Pilz, die sowohl am Stammsitz in Ostfildern bei Stuttgart als auch beim Kunden oder als Web-Seminar veranstaltet werden, richten sich an Maschinenkonstrukteure und Anlagenplaner, aber auch an den Betreiber.

4. Segmentierung „Zones and Conduits“: Zonen mit Geräten ähnlicher Security-Anforderungen sollten durch Firewalls oder sichere Router voneinander abschottet werden. So können über die Übergänge (Conduits) zwischen den Zonen nur die Geräte senden und empfangen, die auch wirklich dazu berechtigt sind. So können zum Beispiel die Safety bezogenen Geräte in einer eigenen Zone besonders aufwändig geschützt werden, ohne dass dies den Standartbetrieb bedroht.  

5. Firewalls: Obwohl auch Router und Switche Sicherheitsmechanismen unterstützen können, sollten Sie in Ihrem Steuerungsnetzwerk zusätzlich auf Firewalls setzen. Die Application Firewall SecurityBridge schützt zum Beispiel die sichere Steuerungstechnik von Maschinen und Anlagen zum Beispiel vor Manipulation von Prozessdaten.

6. Patchmanagement: Patches werden insbesondere dann nötig, wenn sicherheitsrelevante Verwundbarkeiten in der benutzten Software bekannt werden. Dabei geht es um Anwendungssoftware und Embedded Software. Man sollte nicht nur vom Hersteller freigegebene Patches und Updates, sondern auch Drittanbietersoftware berücksichtigen (z. B. Büroanwendungen, PDF-Reader). Ein Patch-Prozess hilft dabei, Zuständigkeiten und das Vorgehen zu definieren.

Orientiert man sich, wenn es um Industrial Security geht, an der IEC 62443, so finden man dort eine Reihe an grundlegenden Anforderungen, so genannten “Foundational requirements”, die auf abstrakte Art technische Methoden zur Erhöhung der Sicherheit im Sinne von Security beschreiben:

Identifikation und Zugangskontrolle (IAC)

Dies stellt sicher, dass die Geräte sowie die Informationen, die sie besitzen, nur von legitimen Entitäten mit den erforderlichen Berechtigungen abgerufen oder verändert werden können. Diese Berechtigungen sind notwendig, um den sicheren Betrieb der Anlage oder Einrichtung zu gewährleisten und die Funktionsweise des IACS (Industrial Automation and Control System) zu gewährleisten.

Verwendungskontrolle (UC)

Die Verwendungskontrolle (UC) stellt sicher, dass nur autorisierte Entitäten die Geräte und/oder die Informationen nutzen können, um gültige und notwendige Aufgaben auszuführen, die wesentlich für die Sicherheit und Produktivität der Anlage oder Einrichtung sind. Es geht also um die Berechtigungen. Dabei sollte das Prinzip des “geringsten Privilegs” beachtet werden.

Systemintegrität (SI)

Diese grundlegende Anforderung stellt sicher, dass keine unbefugten Änderungen an den Daten in den Kommunikationskanälen vorgenommen werden können und damit immer korrekte Daten verfügbar sind. Zum Beispiel müssen die ausgegebenen Werte einer Anzeige den tatsächlichen Werten entsprechen und dürfen nicht manipuliert worden sein. 

Vertraulichkeit der Daten (DC)

Alle Daten im in einer Maschine sollen vertraulich bleiben und dürfen weder von Außenstehenden noch von unbefugten Insidern eingesehen werden können.

Eingeschränkter Datenfluss

Diese grundlegende Anforderung stellt sicher, dass Datenflüsse nur in Bereiche geben, in denen sie wirklich benötigt werden. So verringern sich die Möglichkeiten Daten unbefugt anzusehen oder zu manipulieren. Dies bedeutet, dass die Systemarchitektur so gestaltet werden sollte, dass das System in Zonen und Übergänge mit angemessenen Sicherheitsstufen unterteilt werden kann. Die Verwendung von Geräten wie einem unidirektionalen Gateway oder einer Daten-Diode kann dabei helfen.

Zeitnahe Reaktion auf Ereignisse

Es gilt sicherzustellen, dass das IACS die erforderlichen Fähigkeiten bereitstellt, um auf Sicherheitsverletzungen zu reagieren. Dies umfasst die Benachrichtigung der zuständigen Behörde, die Dokumentation von Beweisen für die Verletzung und die rechtzeitige Durchführung von Korrekturmaßnahmen bei Entdeckung eines solchen Vorfalls.

Verfügbarkeit von Ressourcen

Es ist sicherzustellen, dass das Design und der Betrieb des IACS so gestaltet sind, dass es zu keiner Situation kommt, in der eine Anlage nicht mehr kontrolliert oder im schlimmsten Fall nicht einmal mehr in einen sicheren Zustand versetzen kann. Das heißt selbst unter einem Denial-of-Service-Angriff darf die Safety nicht daran gehindert werden können, die Anlage in einen sicheren Zustand zu versetzen oder ihrer Schutzfunktion nachzukommen.

Für jede dieser grundlegenden Anforderungen sind weitere Systemanforderungen definiert, auf Basis derer man Security-Maßnahmen umsetzen kann und die umfangreicher werden, je nachdem welches Maß an technischer Security man erreichen möchte.