Industrial Cybersecurity

Grundlagen von ICS: Teil 1

Max Gilg

Fast jeder Aspekt des modernen Lebens hängt von einer ununterbrochenen Funktion industrieller Steuerungssysteme (Industrial Control Systems, ICS) ab. ICS halten den Betrieb aufrecht, sorgen für sauberes Trinkwasser und ermöglichen andere kritische Infrastrukturprozesse.

Es ist zwingend erforderlich, dass die ICS vor allen unbeabsichtigten oder böswilligen Cyber-Ereignissen geschützt werden, da die physischen Folgen solcher Ereignisse sowohl für die öffentliche Sicherheit als auch für die Fähigkeit jedes industriellen Unternehmens, seine Betriebsabläufe und seine Wettbewerbsfähigkeit zu erhalten, eine erhebliche Bedrohung darstellen.

Was ist ein ICS? 

ICS ist ein generischer Begriff, der mehrere Arten von Steuerungssystemen umfasst. Diese Steuerungssysteme finden sich in der diskreten Fertigung, in der Prozessautomatisierung sowie in den Branchen Energie und Transport wieder, die oft kritische Infrastrukturen betreiben. Ein ICS besteht aus Kombinationen von Steuerungskomponenten (z. B. elektrisch, mechanisch, hydraulisch, pneumatisch), die zusammen einen physikalischen Prozess betreiben und steuern.

Grundlagen eines industriellen Steuerungssystems

Obwohl sowohl OT als auch IT ihre Systeme und Daten vor Beeinträchtigungen schützen müssen, neigt jede Gruppe dazu, Systeme anders zu behandeln, da sie unterschiedliche Prioritäten haben.

Zum Beispiel könnten ICS-Steuerungsingenieure zögern, Geräte zu aktualisieren, selbst wenn dies ihre allgemeine Cybersicherheit verbessern würde. Dies liegt daran, dass der Fokus auf der Aufrechterhaltung einer konstanten Betriebszeit und die Messung von Leistungsmerkmalen liegt, was andere Prioritäten wie die Ausführung der neuesten und besten Firmware in den Hintergrund drängt. Gespräche über Cybersicherheit in OT-Abteilungen drehen sich meist um drei Aspekte: Sicherheit, Qualität und Verfügbarkeit.

Auf vielen industriellen Geräten werden ältere, stark anfällige Windows-Versionen ausgeführt, die nicht sicherheitsverstärkt oder gepatcht wurden. Betreiber scheuen sich oft, diese Systeme für die routinemäßige Wartung zur Verbesserung der Sicherheit abzuschalten, da sie für den Gesamtbetrieb der Anlage oder des Dienstes von entscheidender Bedeutung sind. In einigen Fällen verursachen die in der Regel in IT-Umgebungen verwendeten Sicherheitsscans zu viele Unterbrechungen, um sie in OT-Umgebungen zu verwenden.

Selbst wenn Unternehmen diese Hindernisse überwinden können, ist Cybersicherheit eine relativ neue Disziplin für ein Operations-Team, das eine ICS-Umgebung betreibt. Es entscheidet sich möglicherweise dafür, zunächst nicht auf Sicherheitsprobleme zu reagieren, weil es echte Bedenken hinsichtlich Sicherheit, Qualität und Betriebszeit hat. Solche Bedenken sind zwar verständlich, aber Cyberangriffe auf kritische Infrastrukturen eskalieren.

3 ICS-Klassen

Industrieunternehmen stehen bei Automatisierungsgeräten mehrere Optionen zur Verfügung. So müssen beispielsweise einige Systeme verteilt sein, um Geräte bedienen zu können, die physisch voneinander entfernt sind. Andere werden lokal bereitgestellt und überwachen mehrere Subsysteme auf eine große Anzahl von Kontrollpunkten in unmittelbarer Nähe. Die meisten ICS werden auf einem der folgenden Systemtypen ausgeführt:

  1. Prozessleitsystem (PLS): Verwaltet und automatisiert Tausende von Kontrollpunkten innerhalb eines Prozesses. In der Regel in Öl- und Gasraffinerien, chemischen, pharmazeutischen und Stromerzeugungsanlagen zu finden.
  2. Speicherprogrammierbare Steuerung (SPS): Fungiert als Industriecomputer und trifft Entscheidungen, wie z. B. das Aktivieren eines Motors, über ein von Sensoren empfangenes Eingangssignal.
  3. Supervisory Control and Data Acquisition (SCADA): Verwaltet, überwacht und steuert externe Feldgeräte, die oft über Tausende von Quadratmeilen verteilt sind.

Die Cyber-Bedrohungslandschaft in der Industrie

Industriebetreiber müssen sich mit gängigen Angreifertaktiken wie Phishing und Malware auskennen, aber auch neue Taktiken verstehen, die speziell darauf ausgelegt sind, ICS zu beeinträchtigen.

Wie genau gelingt es Angreifern also, sich Zugang zu anfälligen ICS zu verschaffen? Das hängt davon ab, wie ausgereift das Cybersicherheitsprogramm ist. Wenn ein Industrieunternehmen beispielsweise nicht über eine grundlegende Änderungsüberwachung als Teil ihres Cybersicherheitsprogramms verfügt, haben Angreifer deutlich leichteres Spiel. So können sie beispielsweise unentdeckt im industriellen Netzwerk verweilen, Daten herausfiltern und Zugriff auf privilegierte Konten erlangen. Auf der anderen Seite macht ein ähnliches Unternehmen mit einem gut ausgereiften Programm, das seine Geräte und Netzwerke überwacht, es Angreifern deutlich schwerer, da ihre ersten Zugangs- und Aufklärungsaktivitäten entdeckt werden, bevor sie Schaden anrichten können.

Vorsätzliche und zufällige, interne und externe Bedrohungen

Wenn Sie eine Schlagzeile über einen Cyberangriff auf kritische Infrastruktur lesen, denken Sie möglicherweise spontan an einen koordinierten, landesweiten Angriff. Obwohl vorsätzliche Bedrohungen von Außen ernste Risiken für die öffentliche Sicherheit darstellen, sind nicht alle Cyberangriffe, die innerhalb eines ICS erfolgen, gleich aufsehenerregend.

Laut dem DBIR 2019 waren 30 % der Cybersicherheitsvorfälle das Ergebnis interner Bedrohungen. Interne Bedrohungen können von Insidern ausgehen, die für Spionage bezahlt werden, oder von verärgerten Mitarbeitern, die finanzielle Verluste oder betriebliche Schäden verursachen wollen. In vielen Fällen können Cyber-Ereignisse aber auch auf einfache menschliche Fehler zurückgeführt werden. Zufällige Bedrohungen durch Insider entstehen beispielsweise, wenn ein Mitarbeiter den falschen Switch konfiguriert, was zu Ausfallzeiten führt, oder wenn vertrauliche Informationen offengelegt werden, indem ein Mitarbeiter ein Passwort unbedacht herumliegen lässt.

Beispiele für ICS-Sicherheitsverletzungen

An einem kalten Winterabend im Dezember 2015 saßen plötzlich mehr als 230.000 Ukrainer in drei verschiedenen Regionen ohne Strom da. Ein einziger, koordinierter Angriff hatte 30 öffentliche Umspannwerke vom Netz genommen.

Für den Energieversorger kam dieser Angriff vielleicht überraschend, aber er war das Ergebnis sorgfältiger Planung seitens der Cyberkriminellen über einen Zeitraum von sechs Monaten. Sie verwendeten eine Kombination aus Phishing, Keylogging, VPN-Hijacking, Denial-of-Service, Firmware-Änderungen und mehr.

Aufgrund der Umstellung auf intelligente und zukunftssichere Technologien ist der Schutz Ihrer Systeme vor Cyberangriffen wichtiger denn je. Um die Sicherheit in industriellen Umgebungen zu erhöhen, müssen die Sicherheit, Qualität und Verfügbarkeit von Maschinen erhöht werden, die diesen Bedrohungen ausgesetzt sind.

 

Im nächsten Teil unserer Reihe „Grundlagen von ICS“ befassen wir uns mit dem Aufbau Ihres Cybersicherheitsprogramms.

Weitere Informationen zu diesem Thema finden Sie in diesem Whitepaper von Tripwire.