Das Internet der Dinge (IoT) nimmt in der Industrie Fahrt auf – zu gross sind die Vorteile, die sich daraus ergeben. Unternehmen aller produzierenden Branchen setzen sich zum Ziel, ihre industriellen Steuerungssysteme (ICS/SCADA) durch die Vernetzung von Geräten und Maschinen zu optimieren – Stichwort Industrie 4.0. Das grundsätzliche Problem des IoT besteht aber für Unternehmen darin, dass sich Anbieter von IoT-Lösungen bisher mehr mit den Anwendungsmöglichkeiten beschäftigt haben, da sie möglichst schnell marktfähige Produkte präsentieren wollten.
Manipulationen können Folgen haben
Die Sicherheit wird dagegen stiefmütterlich behandelt. Das macht sich insbesondere dann bemerkbar, wenn klassische Industrietechnik mit dem IoT verknüpft wird, denn dadurch geraten die Systeme in den Fokus von Cyber-Attacken. Unberechtigte Zugriffe auf ein ICS und die dadurch mögliche Manipulation von Geräten können erhebliche Folgen haben, unter anderem beschädigte Anlagen, defekte oder unbrauchbare Produkte oder Umweltschäden bis hin zu lebensbedrohlichen Folgen für Mitarbeiter und andere Personen.
Schwachstellen analysieren
So lange das «Air Gap» noch Bestand hatte – also die Systeme noch nicht mit dem Internet verbunden waren –, fielen die Sicherheitsmängel von ICS-Systemen nicht weiter ins Gewicht, doch mit der zunehmenden Vernetzung werden diese Schwachstellen zu einem grossen Risiko für Unternehmen. Grosse Probleme bereitet beispielsweise das fehlende oder unzureichende Management der Benutzerkonten, die Zugriff auf die Betriebsdaten der ICS haben. Eine zweite Schwachstelle entsteht durch den Einsatz von Serienprodukten (COTS-Produkte, Commercial off-the-Shelf). Diese Standard Hard- und -Software enthält in der Regel eingebettete privilegierte Zugangsdaten, die oft nicht verändert werden. Wer sich Zugang dazu verschafft, kann dann auch relativ einfach auf nachgelagerte Backend-Systeme zugreifen.
Internetanbindung ist per se sehr praktisch
Zwar ist die Internetanbindung in vielen Fällen sehr praktisch, da Hersteller via Fernzugriff zum Beispiel Wartungsarbeiten durchführen oder System- und Firmware-Updates einspielen können. Gleichzeitig darf man aber das damit verbundene Risiko nicht unterschätzen. In der Vergangenheit zeigte sich bereits, dass ICS- und SCADA-Systeme sehr gefährdet sind. Die Systeme – in der Regel Computer – überwachen und regeln technische Prozesse in einem Unternehmen. Vor drei Jahren wurden Fälle bekannt, in denen Cyber-Kriminelle die Waterhole-Methode verwendeten, um Steuerungssysteme mit dem Havex-Virus zu attackieren. Dazu wurden die Webseiten von ICS-Herstellern gehackt und dort infizierte Software-Installer hinterlegt. Kunden, die nun die Software herunterluden, oder ihre Systeme mit einer neuen Version aktualisierten, kompromittierten dadurch ihre Steuerungssysteme. Die Angreifer erhielten somit Zugriff auf die Steuerungssysteme und konnten Daten abgreifen. Betroffen waren damals Unternehmen aus Deutschland, Belgien und der Schweiz, die Anwendungen und Hardware für den industriellen Einsatz entwickeln.
Webbasierte HMIs stellen Risiko dar
Im Fadenkreuz der Kriminellen steht aber auch das Human Machine Interface (HMI) der ICS- und SCADA-Systeme, über das der Bediener Meldungen und Alarme überwacht und auf sie reagiert. Die Hersteller gehen vermehrt dazu über, auf webbasierte HMIs umzusteigen, was das Risiko von Angriffen erhöht. Die webbasierten HMIs von ICS- und SCADA-Systemen sind unter anderem von Directory-Traversal-Angriffen, Pufferüberläufen, XSS-, SQL-Injection-, CSRF- und anderen webbezogenen Schwachstellen betroffen.
Gegenmassnahmen einleiten
Anwender sind in der Lage, die Sicherheit zu erhöhen. Konkrete Massnahmen, um das Risiko eines Angriffs zu vermindern, lassen sich aber erst ergreifen, wenn das Unternehmen die Abhängigkeiten zwischen seinem IoT und dem Hersteller durchschaut hat, denn nur so lassen sich potenzielle Schwachstellen erkennen und Gegenmassnahmen ergreifen.
Grundsätzlich sollten die Sicherheitsstandards eines Unternehmens auch für den Hersteller der IoT-Systeme gelten. Um ein durchgängiges Sicherheitsniveau zu gewährleisten, können Unternehmen beispielsweise Verträge und SLAs (Service-Level-Agreements) mit den Herstellern aushandeln, die den eigenen Ansprüchen genügen. Wenn sich der Hersteller darauf nicht einlässt, ist es eventuell möglich, spezielle Leistungen zu vereinbaren. Das könnte beispielsweise eine Garantie sein, dass Software oder Updates erst nach vorheriger Prüfung zum Download angeboten werden.
Ein besonderes Augenmerk gilt den Zugriffsrechten
Aber auch mit internen Massnahmen kann ein Unternehmen die Sicherheit erhöhen. Firmen sollten dabei besonderes Augenmerk auf die Zugriffsrechte legen. Das gilt sowohl für den internen Zugriff durch Mitarbeiter als auch für den externen Zugriff durch den Hersteller der IoT-Komponenten. In diesem Zusammenhang stellt sich für das Unternehmen auch die Frage, welche Fernwartungskomponenten mit dem Internet verbunden sein müssen und welche nicht. Es zeigt sich, dass Unternehmen bereits durch eine vergleichsweise geringe Eigenleistung, die Sicherheit seiner ICS- und SCADA-Systeme verbessern kann. Wenn dann auch noch die IoT-Anbieter kooperieren, lässt sich das Sicherheitsniveau noch weiter anheben.
Infoservice
CyberArk Germany (DACH)
Kennedydamm 24, DE-40476 Düsseldorf
Tel. 0049 211 882 71 40
