IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Anlagen für die Industrielle Automation und Leittechnik sind zunehmend Ziel von Cyber-Attacken. Roland Fiat und Dr. Kai Wollenweber vom TÜV SÜD sprechen mit it security darüber, wie sich Unternehmen gegen solche Angriffe schützen können.

Die Cyber-Attacken auf industrielle Umgebungen haben in letzter Zeit zugenommen. Wo sehen Sie die Gründe dafür?

Dr. Kai Wollenweber: Viele der Cyber- Attacken sind erfolgreich, weil die Software Schwachstellen aufweist, die zum Teil sehr leicht ausgenutzt werden können, und weil notwendige IT-Security- Prozesse im Rahmen der Entwicklung und Nutzung der Software fehlen. Schon im Entwicklungsprozess der Software muss die Qualität bezüglich der Security – also dem Schutz gegen Angriffe – deutlich verbessert werden.

Wie kann Security in den Entwicklungsprozess von Software integriert werden?

Roland Fiat: Ganz wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert sein müssen. Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sind entsprechend zu planen. Die Maßnahmen umfassen unter anderem eine Bedrohungs- und Risikoanalyse, die Ableitung zu implementierender Security-Anforderungen, die Berücksichtigung von Programmierrichtlinien sowie die Verifikation und Validierung – insbesondere das Testen – der realisierten Security-Funktionen.

Roland Fiat

 

 

Wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert und Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände entsprechend geplant werden.

Roland Fiat, TÜV SÜD

 

 

Gibt es Standards, die entsprechende Vorgaben für den Entwicklungsprozess machen? Gerade auch für die Entwicklung von Produkten, die in der Industriellen Automation und der Leittechnik eingesetzt werden?

Dr. Kai Wollenweber: Ja, zum Beispiel den IEC 62443-4-1. Der IEC 62443 ist ein internationaler Standard, der speziell die Security für Industrial Control Systems (ICS) abdeckt. Er ist zwar noch lange nicht ausgereift, bietet aber schon eine gute Basis für die Entwicklung von Produkten. Bei TÜV SÜD haben wir uns für die Standardfamilie IEC 62443 als Grundlage unserer international ausgerichteten Arbeit entschieden und damit gute Erfahrungen gesammelt. Die Standardfamilie zieht eine ganzheitliche Betrachtungsweise heran – ausgehend von einem IT Security Management System beim Betreiber eines ICS, über die Entwicklung, Integration und Wartung eines ICS bis zu den einzelnen Produkten/Komponenten, aus denen ein ICS aufgebaut ist. Speziell der erwähnte IEC 62443-4-1 stellt Security-Anforderungen an die Entwicklungsumgebung und den Entwicklungsprozess.

Wie werden die Anforderungen des IEC 62443-4-1 in der Praxis umgesetzt?

Roland Fiat: Wir unterstützen unsere Kunden durch Trainings, Audits und Beratung bei der Verbesserung ihrer Entwicklungsprozesse. Dabei ist es nicht wichtig, welches Vorgehensmodell – wie etwa das V-Modell oder SCRUM – verwendet wird. Im Mittelpunkt steht die Frage, ob Security-Aspekte in den unterschiedlichen Entwicklungsphasen berücksichtigt werden. So müssen beispielsweise am Anfang eines Projektes die Security-Anforderungen auf Basis einer Bedrohungs- und Risikoanalyse definiert werden. Aus den Anforderungen werden umzusetzende Security- Funktionen abgeleitet, die in die Ar- chitektur und das Design der Software aufzunehmen und zu beschreiben sind. Natürlich müssen auch Security-Tests definiert, durchgeführt und ausreichend dokumentiert werden.

Der IEC 62443-4-1 beschreibt gerade diese Security-Aspekte, die in den Entwicklungsprozess integriert sein müssen, um die Qualität bzw. die Güte des Entwicklungsgegenstandes hinsichtlich der Security gewährleisten zu können. Damit ist der IEC 62443-4-1 auch eine mögliche Grundlage für eine Zertifizierung. Dabei ist allerdings zu berücksichtigen, dass dieses Dokument derzeit noch nicht als internationaler Standard veröffentlicht ist. Wir bereiten aktuell die Zertifizierung von Produkten auf Basis der IEC 62443-4-1 vor, um den Herstellern die Erfüllung der Maßnahmen von unabhängiger Seite bescheinigen
zu können.

Kann man die Security nur durch Prüfung eines Prozesses nachweisen oder werden die Produkte selbst getestet?

Dr. Kai Wollenweber: Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Beim CRT (Communication Robustness Test) geht es darum, die Qualität der Implementierung von Kommunikationsprotokollen zu prüfen. Hierfür werden „kaputte“ Pakete an das Testgerät geschickt und Lasttests durchgeführt. Beim Penetrationstest geht es darum, die Vorgehensweise eines potentiellen Angreifers nachzuahmen, um Schwachstellen aufzudecken.

Dr. Kai Wollenweber

 

 

 

Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein.

Dr. Kai Wollenweber, TÜV SÜD 

 

Wenn man beim Aufbau eines Steuerungssystems ausschließlich bezüglich Security zertifizierte Produkte einsetzt, erhält man dann automatisch ein IT-sicheres System?

Roland Fiat: Nein, dem ist nicht so. Die Security eines Systems hängt nicht nur von vorhandenen Security-Eigenschaften der einzelnen Komponenten, sondern ganz wesentlich von der Gesamtstruktur, den Kommunikationsverbindungen zwischen den Komponenten und den Konfigurationen der einzelnen Komponenten ab. Ein System muss daher in einem ganzheitlichen Ansatz analysiert werden. Aus den Ergebnissen der Analyse sind entsprechende Security- Anforderungen und -Maßnahmen für das System abzuleiten, um inakzeptable Gefahren und Risiken zu vermeiden und eine übergeordnete Risikominimierung zu erreichen.

Wie kann man ganze Systeme bezüglich der IT-Security analysieren?

Dr. Kai Wollenweber: Dafür gibt es erprobte Vorgehen und Methoden der Bedrohungs- und Risikoanalyse. Allerdings müssen diese auf die Umgebungen der industriellen Steuerungsanlagen angepasst werden. Hierzu macht der IEC 62443-3-2 bestimmte Vorschläge und beschreibt zum Beispiel ein Vorgehen für die Analyse. Klassisch wird auch hier das Risiko als Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit definiert. Wichtig ist, dass man ein Team zusammenstellt, das bezüglich Analysemethodik, Safety und Security und der im Unternehmen etablierten Prozesse über ausreichendes Wissen verfügt, um belastbare Analysen durchführen zu können. Hier ist zusammenhängendes Wissen gefragt. Ein solches Team kann Analysen zunächst an kleineren Systemen vornehmen, daraus lernen, die Methodik verbessern und sukzessive komplexere Systeme untersuchen.

Kann man Wahrscheinlichkeiten bei dieser abstrakten Thematik der Security sinnvoll abschätzen?

Roland Fiat: Die Abschätzung von Eintrittswahrscheinlichkeiten stellt immer ein Problem dar. Es liegen keine brauchbaren statistischen Daten vor, die man nutzen könnte. Und erschwerend kommt hinzu, dass statistische Daten wenig sinnhaft sind, da sich die Bedrohungslage ständig ändert und die erhobenen Daten keine oder nur eine unzureichende Aussagekraft besitzen. Zudem muss für die Erhebung der Daten ein Security Monitoring etabliert sein, um überhaupt Kenntnisse über Angriffsversuche gewinnen zu können. Ein Security Monitoring ist aber in industriellen Steuerungsanlagen meist gar nicht oder nur sehr rudimentär implementiert und wird oftmals erst dann implementiert, wenn diese Maßnahme im Rahmen der unabhängigen Security-Bewertung des Unternehmens bzw. der Systeme als notwendig erkannt wird.

Was sind die üblichen Schwachstellen, die Sie bei Ihren Security-Analysen in den Unternehmen vor Ort entdecken/identifizieren?

Dr. Kai Wollenweber: Es sind häufig die gleichen Schwachstellen, die in industriellen IT-Infrastrukturen vorfinden: Verwendung von zu schwachen bzw. voreingestellten Passwörtern, ungeschützte Fernwartung und Remote- Access-Zugänge, unkontrollierter Gebrauch von USB-Sticks, Einsatz von Engineering Workstations in unterschiedlichen IT-Infrastrukturen bei verschiedenen Unternehmen, ein zu flach strukturiertes IT-Netzwerk, in dem keine „Defense-in-Depth“-Strategie umgesetzt ist. Und ganz wichtig: Um Security nachhaltig umzusetzen, muss ein Management von IT-Security für industrielle Umgebungen definiert und gelebt werden. Aber genau das fehlt bei sehr vielen Unternehmen. Für uns ist das auch ein Hinweis, dass das Bewusstsein für Security im Management der Unternehmen noch nicht ausreichend vorhanden ist.

Herr Wollenweber, Herr Fiat, wir danken für das Gespräch.

www.tuev-sued.de

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet