Von Null zu Schritt 1: So erreichen Sie industrielle Transparenz
Normalerweise werden Automatisierungsprozesse nach der Devise „Einrichten und Vergessen“ aufgebaut. Sobald das Netzwerk jedoch mit der Außenwelt verbunden ist, ist dieser Ansatz nicht mehr optimal. Denn das Netzwerk wird dynamisch, ändert sich permanent und ist in ständiger Interaktion - die meisten Änderungen sind berechtigt, einige zufällig und andere leider böswillig.
Wenn es um Cybersicherheit geht, empfehlen Belden und Tripwire eine Vorgehensweise in drei Schritten. Auf diese Weise lässt sich jeder industrielle Prozess so weiterentwickeln, dass er nicht mehr stark gefährdet, sondern vor unvermeidlichen Bedrohungen geschützt ist. Die drei Schritte schützen Netzwerke vor Cyberereignissen - von böswilligen externen oder internen Hackerangriffen bis hin zu menschlichem Fehlverhalten und unerwartetem Komponentenversagen. Die beiden letztgenannten Ereignisse sind weitaus häufiger als das erste, aber häufig genauso schädlich, wenn nicht sogar schädlicher.
Schritt 1 ist das Erreichen von Transparenz. Darauf folgt Schritt 2, in dem Schutzfunktionen umgesetzt werden, deren Einsatz in Schritt 3 eine kontinuierliche Überwachung der Netzwerkaktivitäten ermöglicht. So sind Sie rund um die Uhr (24/7/365) vor jeder Bedrohung optimal geschützt, sei sie böswillig oder versehentlich, intern oder extern.
Wenn Sie keinerlei Erfahrung mit industrieller Cybersicherheit haben und sich bewusst sind, wie außerordentlich wichtig es ist, Ihre nur wenig oder gar nicht geschützten Prozesse sicher zu machen, aber nicht genau wissen, wie Sie vorgehen sollen, sind Sie nicht allein. Sie sollten jedoch nicht zulassen, dass aus Unsicherheit dauerhafte Sicherheitslücken werden, die mit hoher Wahrscheinlichkeit zu Ausfallzeiten und Produktivitätsverlusten führen, wenn dies noch nicht geschehen ist. Die Schritte sind überschaubar.
Beginnen Sie einfach am Anfang
Wie bereits erwähnt, besteht der erste Schritt jeder Cybersicherheitsstrategie darin, Transparenz zu erreichen. Denn wie wollen Sie etwas schützen, wenn Sie nicht wissen, was Sie alles haben oder was es macht bzw. wie "normaler Betrieb" überhaupt aussieht? Die offensichtliche Antwort lautet: Sie können es nicht. Und ich stelle oft fest, dass die Frage zu viel Kopfnicken führt, da die meisten Netzbetreiber offen zugeben, dass es nirgendwo einen Plan ihres Netzwerks gibt. Da Netzwerke über die Jahre meistens erweitert werden und keine Methoden vorhanden sind, um sie zu kontrollieren, kommt es häufig vor, dass die Betreiber kaum oder gar nicht wissen, was Sie alles haben. Dies gilt auch und gerade dann, wenn Netzwerke immer mehr produktivitätssteigernde externe Datenverbindungen bekommen, durch Akquisitionen kombiniert werden, Segmente mit neuen Produktions- und Automatisierungsfunktionen erhalten und so weiter. Aber Sie benötigen diese Erkenntnisse, um voranzukommen und beispielsweise zu wissen, wo Firewalls und andere Arten von Sicherheitslösungen platziert werden müssen. Denn nur so lässt sich gewährleistet, dass jeder einzelne Punkt optimal geschützt ist. Schließlich ist nur ein ungeschützter Punkt erforderlich, damit ein böswilliger Angreifer auf Ihr industrielles Steuerungssystem zugreifen kann.
Die sechs Komponenten einer kompletten Lösung für industrielle Transparenz
Es gibt ein halbes Dutzend Aspekte der Transparenz, die zusammen ein vollständiges Bild des Status Ihres Netzwerks geben. Das sind:
- Bestandsaufnahme - Erfassung sämtlicher Hardware- und Softwarekomponenten eines Netzwerks sowie aller relevanten Informationen - Hersteller, Produktionsdatum, Typ, Firmware Version, installierte Software etc. Dies ist ein äußerst wichtiger Schritt. Tatsächlich setzen viele Menschen "Transparenz" mit Bestandsaufnahme gleich. Zwar ist dies ein wichtiger Bestandteil, aber eben nur eine Komponente davon.
- Konfigurationen - Eine Momentaufnahme darüber, wie jedes Gerät im Netzwerk wie etwa Controller, Switches, Router, Firewalls, Datenbanken, HMIs oder Engineering Arbeitsplätze aktuell konfiguriert ist, wodurch Änderungen an diesen Konfigurationen schnell markiert werden können.
- Einlog-Informationen - Ereignisprotokolldateien bieten wertvolle Informationen: Wer meldet sich an und wann? Worauf wird zugegriffen? Wird etwas geändert? Und wie wird das Passwort benutzt? War es beim ersten Mal korrekt oder gab es 20 fehlgeschlagene Anmeldeversuche in zehn Sekunden? Letzteres spräche für einen Brute Force Angriff, um das Passwort herauszubekommen.
- Bekannte Sicherheitslücken und bestimmte Schwachstellen - Diese werden nachverfolgt und sowohl mit der Hardware und Software verglichen, die in Ihrem Netzwerk identifiziert wurde, als auch mit Korrekturmaßnahmen, die anhand einer Risikobewertung priorisiert sind. Die meisten Hersteller veröffentlichen Warnungen, wenn bei ihren Produkten ein Sicherheitsproblem festgestellt wird, und stellen neue Firmware oder Patches zur Verfügung. Auch Organisationen wie die US-amerikanische Homeland Security alarmieren Benutzer per Abonnement. Denn Betreiber große Netzwerke erhalten möglicherweise viele entsprechende Ankündigungen; dieser Aspekt automatisiert diesen wichtigen Prozess, damit Sie immer den Überblick behalten.
- Änderungen des Kommunikationsmusters - Es wird für eine kurze Zeitspanne registriert, wer miteinander kommuniziert. Wenn beispielsweise ein Controller später plötzlich mit einer anderen IP-Adresse kommuniziert oder eine Kommunikation, die früher einmal am Tag stattfand, jetzt mehrmals pro Stunde übertragen oder ein VFD von einer anderen Quelle gesteuert wird, kann durch eine Markierung darauf aufmerksam gemacht werden.
- Netzwerktopologie - Eine Momentaufnahme, wie die Bestandteile eines Netzwerks angeordnet und miteinander vernetzt sind. Sobald Sie das wissen, können Sie Änderungen leicht identifizieren und deren Rechtmäßigkeit feststellen.
Eine komplette Lösung für Transparenz umfasst stets diese sechs Aspekte. Alle sind miteinander verbunden und informieren sich oft gegenseitig, um ein vollständigeres Bild zu erhalten. Und alle müssen umgesetzt werden, um eine Lücke in der Schutzmauer zu vermeiden. Ein Protokolleintrag bestätigt beispielsweise, dass sich Joe Jones, ein berechtigter Benutzer, um 12:00 Uhr angemeldet hat. Es wäre jedoch gefährlich anzunehmen, dass alles in Ordnung ist, nur weil Joe über die richtigen Berechtigungsnachweise verfügt - was ist, wenn er abgelenkt ist und einen Fehler macht oder verärgert ist oder wenn die für sein Passwort verwendeten Tasten von einem Angreifer erfasst wurden und dann benutzt werden? Deshalb muss man den Protokolleintrag mit den Aktionen vergleichen, die Joe bisher ausgeführt hat. Hat er eine Konfiguration geändert? Hat er auf einen Bereich mit einer bekannten Schwachstelle zugegriffen? Durch die Betrachtung mehrerer Aspekte und ihrer Beziehungen können Sie die Situation richtig einschätzen.
Mehrere Punkte der industriellen Transparenz mit mehreren Schwachstellen
Es mag sich nach viel anhören, und das ist es auch. Es gibt also allerhand zu tun. Aber glücklicherweise muss ein Bediener nicht viel unternehmen, um alles abzudecken. Denn eine komplette, ganzheitliche Transparenz, die Einblick in jeden Punkt gewährt und dafür sorgt, dass keiner unsichtbar bleibt und nicht geschützt werden kann, ist vergleichsweise leicht zu erreichen. Beispielsweise bietet Tripwire, ein Tochterunternehmen von Belden, das All-in-One Produkt Tripwire Industrial Visibility an, das alle sechs der hier erläuterten Funktionen automatisch ausführt. Es gibt auch andere qualitativ hochwertige Produkte, die eine oder mehrere Funktionen unterstützen sowie miteinander kombiniert und aufeinander abgestimmt werden können, um die von Ihnen gewünschten Ergebnisse zu erzielen und eine solide Grundlage für den Schritt 1 auf dem Weg zur Cybersicherheit bieten.
Das Wichtigste ist jedoch, nicht auf der Stelle zu treten, sondern entschlossen voranzugehen, um als ersten Schritt die Transparenz Ihrer Prozesse zu erreichen. Sobald dies umgesetzt worden ist, können Sie die richtigen Schutzfunktionen identifizieren und implementieren und Ihr Netzwerk vor Bedrohungen aller Art schützen. Dann erhalten Sie durch eine kontinuierliche Überwachung auch alle relevanten Daten, die ständig erzeugt werden.
Bei Fragen können Sie sich gern an uns wenden. Wenn Sie mehr über Tripwire Industrial Visibility erfahren möchten, geben wir Ihnen gerne Informationen, Angebote oder vereinbaren eine kostenlose Präsentation. Sie können uns jederzeit anrufen, um die Möglichkeiten zu besprechen. Denn wir möchten Ihr Experte für Cybersicherheit sein.
About the Author
![System.String[]](https://assets.belden.com/transform/15664c61-08ce-48ce-b3c0-8dd89abaacf5/gary-difazio?io=transform:fill,width:300,height:300)
Gary DiFazio is the Director of Cybersecurity Product Management for Belden’s Industrial Automation Solutions. He has been in the technology space for over 30 years, spanning experience with systems, applications, networking, and cybersecurity through a number of industry verticals including telecommunications, manufacturing, retail, federal government, financial services, electric utilities, and logistics/distribution. Prior to his current role, Gary had been the Strategic Marketing Director for Industry Cybersecurity at Tripwire. After Belden acquired Tripwire in January 2015, Gary was part of the team to help drive Industrial cybersecurity solutions to both Tripwire customers and Belden Industrial Networking customers. Gary holds a bachelor of science in Industrial Engineering from Clemson University.