Industrial Security: Es sind häufig die gleichen Schwachstellen

19. August, 2014
13:31

Facebook X LinkedIn Xing Pocket WhatsApp Flipboard

Anlagen für die Industrielle Automation und Leittechnik sind zunehmend Ziel von Cyber-Attacken. Roland Fiat und Dr. Kai Wollenweber vom TÜV SÜD sprechen mit it security darüber, wie sich Unternehmen gegen solche Angriffe schützen können.

Die Cyber-Attacken auf industrielle Umgebungen haben in letzter Zeit zugenommen. Wo sehen Sie die Gründe dafür?

Dr. Kai Wollenweber: Viele der Cyber- Attacken sind erfolgreich, weil die Software Schwachstellen aufweist, die zum Teil sehr leicht ausgenutzt werden können, und weil notwendige IT-Security- Prozesse im Rahmen der Entwicklung und Nutzung der Software fehlen. Schon im Entwicklungsprozess der Software muss die Qualität bezüglich der Security – also dem Schutz gegen Angriffe – deutlich verbessert werden.

Wie kann Security in den Entwicklungsprozess von Software integriert werden?

Roland Fiat: Ganz wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert sein müssen. Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sind entsprechend zu planen. Die Maßnahmen umfassen unter anderem eine Bedrohungs- und Risikoanalyse, die Ableitung zu implementierender Security-Anforderungen, die Berücksichtigung von Programmierrichtlinien sowie die Verifikation und Validierung – insbesondere das Testen – der realisierten Security-Funktionen.

Wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert und Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände entsprechend geplant werden.

Roland Fiat, TÜV SÜD

Gibt es Standards, die entsprechende Vorgaben für den Entwicklungsprozess machen? Gerade auch für die Entwicklung von Produkten, die in der Industriellen Automation und der Leittechnik eingesetzt werden?

Dr. Kai Wollenweber: Ja, zum Beispiel den IEC 62443-4-1. Der IEC 62443 ist ein internationaler Standard, der speziell die Security für Industrial Control Systems (ICS) abdeckt. Er ist zwar noch lange nicht ausgereift, bietet aber schon eine gute Basis für die Entwicklung von Produkten. Bei TÜV SÜD haben wir uns für die Standardfamilie IEC 62443 als Grundlage unserer international ausgerichteten Arbeit entschieden und damit gute Erfahrungen gesammelt. Die Standardfamilie zieht eine ganzheitliche Betrachtungsweise heran – ausgehend von einem IT Security Management System beim Betreiber eines ICS, über die Entwicklung, Integration und Wartung eines ICS bis zu den einzelnen Produkten/Komponenten, aus denen ein ICS aufgebaut ist. Speziell der erwähnte IEC 62443-4-1 stellt Security-Anforderungen an die Entwicklungsumgebung und den Entwicklungsprozess.

Wie werden die Anforderungen des IEC 62443-4-1 in der Praxis umgesetzt?

Roland Fiat: Wir unterstützen unsere Kunden durch Trainings, Audits und Beratung bei der Verbesserung ihrer Entwicklungsprozesse. Dabei ist es nicht wichtig, welches Vorgehensmodell – wie etwa das V-Modell oder SCRUM – verwendet wird. Im Mittelpunkt steht die Frage, ob Security-Aspekte in den unterschiedlichen Entwicklungsphasen berücksichtigt werden. So müssen beispielsweise am Anfang eines Projektes die Security-Anforderungen auf Basis einer Bedrohungs- und Risikoanalyse definiert werden. Aus den Anforderungen werden umzusetzende Security- Funktionen abgeleitet, die in die Ar- chitektur und das Design der Software aufzunehmen und zu beschreiben sind. Natürlich müssen auch Security-Tests definiert, durchgeführt und ausreichend dokumentiert werden.

Der IEC 62443-4-1 beschreibt gerade diese Security-Aspekte, die in den Entwicklungsprozess integriert sein müssen, um die Qualität bzw. die Güte des Entwicklungsgegenstandes hinsichtlich der Security gewährleisten zu können. Damit ist der IEC 62443-4-1 auch eine mögliche Grundlage für eine Zertifizierung. Dabei ist allerdings zu berücksichtigen, dass dieses Dokument derzeit noch nicht als internationaler Standard veröffentlicht ist. Wir bereiten aktuell die Zertifizierung von Produkten auf Basis der IEC 62443-4-1 vor, um den Herstellern die Erfüllung der Maßnahmen von unabhängiger Seite bescheinigen
zu können.

Kann man die Security nur durch Prüfung eines Prozesses nachweisen oder werden die Produkte selbst getestet?

Dr. Kai Wollenweber: Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Beim CRT (Communication Robustness Test) geht es darum, die Qualität der Implementierung von Kommunikationsprotokollen zu prüfen. Hierfür werden „kaputte“ Pakete an das Testgerät geschickt und Lasttests durchgeführt. Beim Penetrationstest geht es darum, die Vorgehensweise eines potentiellen Angreifers nachzuahmen, um Schwachstellen aufzudecken.

Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein.

Dr. Kai Wollenweber, TÜV SÜD

Wenn man beim Aufbau eines Steuerungssystems ausschließlich bezüglich Security zertifizierte Produkte einsetzt, erhält man dann automatisch ein IT-sicheres System?

Roland Fiat: Nein, dem ist nicht so. Die Security eines Systems hängt nicht nur von vorhandenen Security-Eigenschaften der einzelnen Komponenten, sondern ganz wesentlich von der Gesamtstruktur, den Kommunikationsverbindungen zwischen den Komponenten und den Konfigurationen der einzelnen Komponenten ab. Ein System muss daher in einem ganzheitlichen Ansatz analysiert werden. Aus den Ergebnissen der Analyse sind entsprechende Security- Anforderungen und -Maßnahmen für das System abzuleiten, um inakzeptable Gefahren und Risiken zu vermeiden und eine übergeordnete Risikominimierung zu erreichen.

Wie kann man ganze Systeme bezüglich der IT-Security analysieren?

Dr. Kai Wollenweber: Dafür gibt es erprobte Vorgehen und Methoden der Bedrohungs- und Risikoanalyse. Allerdings müssen diese auf die Umgebungen der industriellen Steuerungsanlagen angepasst werden. Hierzu macht der IEC 62443-3-2 bestimmte Vorschläge und beschreibt zum Beispiel ein Vorgehen für die Analyse. Klassisch wird auch hier das Risiko als Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit definiert. Wichtig ist, dass man ein Team zusammenstellt, das bezüglich Analysemethodik, Safety und Security und der im Unternehmen etablierten Prozesse über ausreichendes Wissen verfügt, um belastbare Analysen durchführen zu können. Hier ist zusammenhängendes Wissen gefragt. Ein solches Team kann Analysen zunächst an kleineren Systemen vornehmen, daraus lernen, die Methodik verbessern und sukzessive komplexere Systeme untersuchen.

Kann man Wahrscheinlichkeiten bei dieser abstrakten Thematik der Security sinnvoll abschätzen?

Roland Fiat: Die Abschätzung von Eintrittswahrscheinlichkeiten stellt immer ein Problem dar. Es liegen keine brauchbaren statistischen Daten vor, die man nutzen könnte. Und erschwerend kommt hinzu, dass statistische Daten wenig sinnhaft sind, da sich die Bedrohungslage ständig ändert und die erhobenen Daten keine oder nur eine unzureichende Aussagekraft besitzen. Zudem muss für die Erhebung der Daten ein Security Monitoring etabliert sein, um überhaupt Kenntnisse über Angriffsversuche gewinnen zu können. Ein Security Monitoring ist aber in industriellen Steuerungsanlagen meist gar nicht oder nur sehr rudimentär implementiert und wird oftmals erst dann implementiert, wenn diese Maßnahme im Rahmen der unabhängigen Security-Bewertung des Unternehmens bzw. der Systeme als notwendig erkannt wird.

Was sind die üblichen Schwachstellen, die Sie bei Ihren Security-Analysen in den Unternehmen vor Ort entdecken/identifizieren?

Dr. Kai Wollenweber: Es sind häufig die gleichen Schwachstellen, die in industriellen IT-Infrastrukturen vorfinden: Verwendung von zu schwachen bzw. voreingestellten Passwörtern, ungeschützte Fernwartung und Remote- Access-Zugänge, unkontrollierter Gebrauch von USB-Sticks, Einsatz von Engineering Workstations in unterschiedlichen IT-Infrastrukturen bei verschiedenen Unternehmen, ein zu flach strukturiertes IT-Netzwerk, in dem keine „Defense-in-Depth“-Strategie umgesetzt ist. Und ganz wichtig: Um Security nachhaltig umzusetzen, muss ein Management von IT-Security für industrielle Umgebungen definiert und gelebt werden. Aber genau das fehlt bei sehr vielen Unternehmen. Für uns ist das auch ein Hinweis, dass das Bewusstsein für Security im Management der Unternehmen noch nicht ausreichend vorhanden ist.

Herr Wollenweber, Herr Fiat, wir danken für das Gespräch.

www.tuev-sued.de

startseite

Industrial Security: Es sind häufig die gleichen Schwachstellen

Weitere Artikel

Veranstaltungen

Neueste Artikel

IT-Event-Management als Ihr strategischer IT-Kompass!

ChatGPT für Ingenieure: KI verändert die Industrie

Bitdefender erweitert seine Managed-Detection-and-Response-Dienste

Netflix gewinnt mehr als 9 Mio. Abonnenten hinzu

Apple muss WhatsApp und Threads aus China-App-Store löschen

Meistgelesene Artikel

Digitale Bildung: Lehrkräfte sind die Treiber der Schuldigitalisierung

So funktioniert der Betrug mit Fake-Profilen von Führungskräften

Das sind die globalen Brennpunkte für Cyberkriminalität

Gericht: Bei Facebook-Datenleck kein Anspruch auf Schadensersatz

IT-Event-Management als Ihr strategischer IT-Kompass!