Wenn bei all der Sicherheitsorchestrierung immer noch DAS entscheidende Instrument fehlt ! ?

Von der Annahme, Industrie und Automatisierungssysteme können durch physikalische Trennung oder technologisches Abschotten genügend gesichert und geschützt werden, ist man abgerückt.
Und: IT-Security-Maßnahmen sind auch nicht eins zu eins auf Automatisierungsanlagen anwendbar. Die notwendige Homogenität ist dort nicht gegeben.

  • Aus Sicht von Industrie / OT müssen Netzwerke außerhalb des Automatisierungsumfelds hinsichtlich der Risikoeinschätzung als nicht sicher eingestuft werden.
    Ebenso ist eine Rückwirkung der Automatisierungssysteme auf außenliegende Netzwerke und die damit verbundenen Systeme zu unterbinden.

Zielkonflikte überwinden!

Oberstes Ziel in der Industrie: der Produktionsprozess darf im vorgegebenen Toleranzbereich nicht beeinträchtigt werden.
Für die IT-Security geht es auch um maximale Verfügbarkeit, steht aber nicht wie bei der Produktion an absolut erster Stelle.
Und ja, es gibt sie: Die Richtlinien und Empfehlungen zu Vorgehensweisen wie INDUSTRIAL SECURITY in Prozesse implementiert bzw. entlang der Qualitäts-Guidelines synchronisiert und als Managementsystem-Projekt etabliert werden könnte.

Aber was ist jetzt die RICHTIGE Security-Strategie? Sind alle Rahmenbedingungen und Gefahren erkannt und berücksichtigt, um die Maßnahmen, das Security Design etc. entsprechend umzusetzen? Welche Abwägungen und Kompromisse (nicht zuletzt welche Kosten) zwingen die Betreiber, Zielkonflikte nur teilweise aus dem Weg zu räumen?

Und: Funktioniert die viel beschworene, notwendige Zusammenarbeit von OT und IT?

Ja, - die beiden Welten arbeiten mittlerweile mehr zusammen, aber ein OT- ler hat sicherlich andere Risiko/Bedrohungs-Szenarien im Kopf als ein IT-ler. Das Security-Konzept aus einem Guss? Wünschenswert.
In der OT / Industrial Security wurde in den letzten Jahren Fortschritte gemacht, nicht zuletzt aufgrund des Digitalisierungsdrucks. Dennoch gibt es Schwachstellen, die es noch zu überwinden gilt.

Wie kann man auf alle Fälle schon jetzt einen großen Schritt auf den letzten Metern machen und Sicherheitsrisiken vermeiden, ohne sich in einen Investitions- und Implementierungsgau zu stürzen?

Wir haben dazu Michael Walser, CTO der sematicon AG befragt.

Michael Walser ist Vorstandsmitglied, Gründer und CTO des Münchner Sicherheitsunternehmens sematicon AG. In dieser Funktion verantwortet er die technische Strategie des Unternehmens und berät Kunden bei der sicheren Umsetzung der digitalen Transformation. Nach seinem Abschluss als Ingenieur für Elektrotechnik war er über viele Jahre als Consultant und Berater bei erfolgreichen IT-Sicherheitsprojekten – mit dem Schwerpunkt Kryptographie - weltweit im Einsatz und sowohl für die technische sowie organisatorische Umsetzung verantwortlich.

B-NetCons: Wie sehen Sie die oben beschriebene Situation IT/OT?

Michael Walser (MW): Ich kann den Sachverhalt so wie oben beschrieben nur bestätigten. Die größte Herausforderung ist, Verständnis auf beiden Seiten zu schaffen. Den verbreiteten Glauben und die Angst, dass die IT-Sicherheit den Produktionsprozess beeinträchtigt, möchte ich aber weder teilen noch bestätigen. Vielmehr geht es darum, nicht 1:1 die IT-Sicherheitsrichtlinien der IT zu übernehmen – das geht garantiert schief – sondern sich zu überlegen, wie die Erfahrungen der IT in die Industrie zu übernehmen sind. Einer der kritischen Faktoren dabei ist allerdings die Tatsache, dass beide Welten einander wenig bis gar nicht verstehen. Das liegt unter anderem eben auch an unterschiedlicher Auslegung der bestehenden Terminologie! Daher besteht unsere Aufgabe neben der Lösungsentwicklung vor allem auch in der Aufklärung beider Seiten. Eine Brücke zwischen den Welten in organisatorischer, sozialer sowie technischer Sicht zu bauen, ist unabdingbar für den digitalen Erfolg in der Industrie.

B-NetCons: Ihr Unternehmen stellt sich der Herausforderung Industrial Security. Worin besteht Ihr Ansatz oder anders gefragt: Was bringt Kryptographie in der Produktion?

MW: Unser Ansatz besteht darin, dass wir die Konzepte aus der IT-Sicherheit nicht kopieren, sondern dass wir uns gezielt mit den handelnden Köpfen aus der Industrie zusammengesetzt haben, um passende Sicherheitslösungen zu entwickeln. Viele Projekte verlaufen im Sand, weil eine ganz entscheidende Frage nicht gestellt oder erschöpfend behandelt wurde: „Wovor muss ich mich schützen?“ bzw. „Was ist mein Risiko?“. Mit einer Antwort lässt sich auch Ihre Frage einfach beantworten. Kryptographie und Sicherheit macht immer dort Sinn, wo ich wirtschaftlichen, aber auch technischen Schaden vermeiden kann und Vorteile erziele. Ganz überspitzt: haben Sie schon mal dran gedacht, dass achtlos unverschlüsselt übertragene Daten einer Anlage, die Stückzahlen erfasst, Rückschluss auf die wirtschaftliche Lage eines börsennotierten Unternehmens liefern kann? Andererseits ist die Kryptographie kein Allheilmittel.

Ein Beispiel: moderne VPN-Technologie, wie wir sie aus der IT kennen, setzt auf starke Kryptographie. Diesen VPN-Tunnel zu unterminieren ist nahezu unmöglich. Aber gerade dadurch setzt man sich neuen Gefahren aus. Oder ist den Betreibern eigentlich bewusst, dass sie mit einem VPN-Zugang zur Anlage eigentlich alle Sicherheitsbemühungen im Netzwerk dazwischen zunichte machen? Eine Firewall zwischen dem externen Mitarbeiter und der Anlage hilft da wenig, wenn die Anlagen hausintern vernetzt sind. Schadsoftware hat viel Erfahrung, sich in Netzwerken zu verbreiten.

VPN ist in der IT das Mittel der Wahl beim Fernzugriff auf das firmeneigene Netzwerk, wenn man alle Komponenten berücksichtigt: moderne und aktualisierte Serversysteme, unternehmenseigene Notebooks mit lokalen Schutzmaßnahmen und aktuelle Virenscanner. In der Industrie greifen aber oft externe Berater oder Techniker auf die Anlagen und Netze zu, deren Systeme und Infrastruktur man gar nicht unter Kontrolle hat. Dasselbe wäre für einen sicherheitsbewussten IT-Administrator undenkbar – schon gar, wenn das Unternehmen externen Audits wie beispielsweise einer ISO27001 unterliegt.

Kryptographie ist also kein Heilmittel, aber ein kraftvolles Werkzeug, wenn es zielführend eingesetzt wird. Es braucht jedoch vor allem organisatorische Maßnahmen und ein Sicherheitsverständnis bei den Betreibern, um befriedigende Ergebnisse zu erzielen.

B-NetCons:  Kann effiziente Industrial Security auch bei älteren Produktionsanlagen noch umgesetzt werden oder sind da komplette Neuanschaffungen der/ für Produktionsanlagen notwendig?

MW: Ganz klar JA. Diese Frage war Aufgabe und Herausforderung zugleich bei allen unseren Überlegungen. Die große Herausforderung von Altanlagen (aber auch von vielen neuen Anlagen) ist die Tatsache, dass diese die Kommunikation betreffend immer drei Design-Regeln folgen:

  • Zuverlässigkeit
  • Geschwindigkeit (am besten nahe an der Echtzeit)
  • Verfügbarkeit

Zusätzlich werden Anlagen nach erfolgreicher Inbetriebnahme oft gar nicht mehr angefasst. So schlummert noch manches Windows XP da draußen vor sich hin und ist somit – genauso wie die meisten SPS-Steuerungen – schutzlos gegenüber softwarebasierten Übeltätern ausgeliefert.

Wie gefährlich das sein kann, zeigt ein Beispiel aus dem vergangenen Jahr, als das BSI eine laute Warnung vor der Schwachstelle „Bluekeep“ aussprach. Diese Schwachstelle betrifft das Remote-Desktop-Protokoll – kurz RDP genannt – von Windows. Alle Versionen seit Windows 2000 sollen davon betroffen gewesen sein. * Dieses Protokoll wird aber nach wie vor gerne bei der Fernwartung eingesetzt. Die Schwachstelle erlaubt es beliebigen Code ohne vorherige Legitimation auf dem Zielsystem auszuführen. Somit war das ein beliebtes Einfallstor für Crypto-Trojaner wie WannaCry. Wenn eine Industrie-Anlage ohne entsprechende Bitcoins den Dienst verweigert, wird einem drastisch bewusst, was die Lücke auslösen kann.

Die Empfehlung von Microsoft war (vor dem Patch) eindeutig: „Dienst ausschalten oder den RDP-Port auf der Firewall sperren“. Es gibt also – ohne Update – keinen Schutz. Auch nicht mittels VPN. Ist der PC des Technikers infiziert, breitet sich so ein Fall schnell im ganzen Netzwerk aus – wie vor kurzem erst in einem großen deutschen Krankenhaus. Zusätzlich kommt noch dazu, dass die alten Systeme vom Softwareriesen gar nicht mehr gepflegt werden. Ein knapp 20 Jahre altes Betriebssystem hat in der IT nun einmal ausgedient und findet dort auch keine Verwendung mehr.

Die meisten SPS-Steuerungen brauchen gar keine Sicherheitslücke, um im Fall des Falles zu kollabieren. Gemäß den drei genannten Punkten verfügen diese über gar keine Schutzvorrichtung, die überwunden werden müsste. Zugang bedeutet hier gleichzeitig auch meist Zugriff.

Jetzt die Hersteller der SPS-Steuerungen oder der Systeme zu verteufeln, wäre komplett falsch. Die Verantwortung trifft vor allem auch den Betreiber. Oder schieben Sie die Schuld auch auf Ihren Internetprovider, wenn Sie sich ein Schadprogramm einhandeln? Außerdem wurden die Schnittstellen ursprünglich zur Prozesskommunikation innerhalb einer Insel entwickelt. Diese Schnittstellen für den Fernzugriff zu „missbrauchen“ ist eine Blüte der modernen Zeit.

Solche Systeme in ein modernes IT-Netzwerk einzubinden ist ohne weiteres möglich, wenn man die Zugriffe entsprechend isoliert und absichert. Wir haben die Herausforderung angenommen und Lösungen entwickelt, diese Probleme adressieren und erfolgreich beheben.

*https://www.security-insider.de/bsi-warnt-erneut-vor-windows-schwachstelle-bluekeep-a-837590/

B-NetCons: Die bestehenden Produktionsanlagen kommen ja vielfach aus einer Zeit, als die eingesetzte Produktionssteuerung noch als Insel-Lösung angesehen wurde. Vielfach sind in den Jahren bereits daraus im Shop-Floor komplexe Verbund-Systeme aus miteinander agierenden Produktionsanlagen entstanden. Wir werden oft gefragt, ob es denn bei dieser Vernetzung der Anlagen nicht zu Problemen kommt, wenn ihre Daten auf einmal verschlüsselt werden ?

MW: Die Frage ist, wo man ansetzen möchte. Zwischen den Steuerungen, wo es um Echtzeitdaten geht, ist Verschlüsselung aufgrund der auftretenden Latenz nicht möglich und sinnvoll. Dort, wo Kryptographie eingesetzt werden kann, ist es aber ein Vorteil. Beispielsweise um die Echtheit einer Firmware-Datei vor dem Einspielen zu verifizieren und Befehle von externen Akteuren zweifelsfrei zuordnen zu können. Das kann alles vor dem Zugriff auf die Anlage passieren. Sicherheit macht vor allem zwischen den Inselgrenzen Sinn oder aber an der Schnittstelle zur Außenwelt. So nahe wie möglich, so fern wie nötig. Die Zauberformel heißt „Überwachen“, „Kontrollieren“ und „Verifizieren“. Unsere Lösungen wurden unter dem Credo entwickelt, niemals in den Prozess selbst einzugreifen. Sicherheit muss nicht kompliziert sein. Und wir verfolgen immer das Ziel, die Kontrolle beim Kunden zu belassen.

B-NetCons: Wo sehen Sie weitere Verbesserungsmöglichkeiten, um die speziell in Pandemie-Zeiten dringend erforderliche weitere Digitalisierung der produzierenden Industrie sinnvoll voranzutreiben?

MW: Aus meiner Sicht stehen sich die Unternehmen selbst im Weg. Das Gerücht, Sicherheit sei eine „Gefahr“ für die zuverlässige Fertigung, hält sich wacker. Die Wahrheit ist aber: Industrie 4.0 ist eine Chance für unsere Industrie in einem globalisierten Wirtschaftswettkampf. Nur durch intelligente Sensorik haben wir die Chance auf vorhersagbare und zielgerichtete Instandhaltung und Wartung. Vernetzung bringt uns näher zu perfekt abgestimmte Logistik-Ketten und der digitale Zwilling kann durch den Erhalt von gesicherten Echtdaten aus der Anlage präzise Vorhersagen treffen. Durch die virtuelle Unterstützung eines Experten, kann der hauseigene Betriebselektriker Änderungen und Reparaturen durchführen, die früher spezialisierten Ingenieuren vor Ort vorbehalten waren. Und dabei ist es unrelevant, ob der Dienstleister gerade jetzt am anderen Ende der Welt sitzt.

Die entstehenden Herausforderungen sind gut vorhersagbar, die Risiken mit den richtigen Lösungen beherrschbar und das investierte Budget wird sich auf Dauer rechnen. So wie das Internet unser Kommunikationsverhalten geändert hat und ganz neue digitale Businessmodelle hervorgebracht hat, so wird auch die Digitalisierung in der Industrie Einzug halten – mit oder ohne uns. Deutschland und Europa stehen erneut vor der Entscheidung, Vorreiter oder Nachzügler zu sein.

se.MISIndustrial Remote Management und Wartungsbuch 4.0 für Industrie- und Steuerungsanlagen

Alle Industrieanlagen erfordern heute ein sicheres Remote Management System für den Zugriff auf Steuerungen und Anlagen, um Wartungsarbeiten zu erledigen oder für die Überwachung von Systemen und Anlagen. Der Zugriff muss dabei sowohl für eigene Mitarbeiter als auch für externe Techniker sicher zur Verfügung gestellt werden. Der Fernzugriff muss einfach zu handhaben sein, trotz starker Benutzerauthentisierung und isolierter Maschinen- und Anlagennetze. Ebenso sind konsequentes Monitoring in einem digitalen Wartungsbuch, Zugriffskonzepte mit unterschiedlichen Benutzergruppen, die zeitliche Steuerung von Zugriffen und die Einbindung von Maschinen und Anlagen jeden Alters unverzichtbar für ein Remote Management System in der Industrie.

Mit dem brandneuen PLC-Guard gelingt das sogar für die SPS-Anlagen der SIEMENS SIMATIC-Baureihe. Vollständige Kontrolle und digitale Freigabeprozesse bei Änderungen an der Anlagensoftware ohne Zugriff oder Eingriff in den PC des Technikers, geben dem Betreiber die Kontrolle über Ihre Anlagen zurück und eignen sich daher auch besonders für kritische Infrastrukturen oder verfahrenstechnische Anlagen beispielsweise in der Chemie- bzw. Pharma-Industrie.

Mit se.MIS™ erfüllen Sie alle diese Anforderungen und bringen so Ihr Remote Management Projekt zum Erfolg.

B-NetCons: Herr Walser, recht herzlichen Dank für das Interview.

Die sematicon AG ist als Unternehmen auf die industrielle IT-Sicherheit spezialisiert und bietet Lösungen sowie Dienstleistungen rund um die Themen sichere Fernwartung, Embedded Security und Embedded Kryptographie sowie PKI und Krypto-Lösungen für den Industriebereich an. Erfolgsgeheimnis ist die Entwicklung einfach zu implementierender und technologisch richtungsweisender Lösungen für die Industrie, welche unternehmenskritische Prozesse zuverlässig schützen, ohne geltende Standards zu beeinflussen.

Dazu auch Veranstaltungshinweis: Virtueller Clustertreff Industrie 4.0 – Das Ende der Fernwartung!

Nachtrag:

Wenn Sie bei dem Event am 01.12.2020 nicht dabei sein konnten - Wir stellen Ihnen die Aufzeichnung exclusiv gerne zur Verfügung. Den Link dazu senden wir als Antwort auf Ihre Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Daten letztmalig aktualisiert am 12.12.2020

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • 1_LOGO_FARSITE.png
  • VENTURETEC.png
  • LMK.png
  • AIRBUS.png
  • commerzbank.gif
  • NXP.png
  • dlr.png
  • VOESTALPINE.png
  • 1_LOGO_VEEAM.png
  • netcologne.gif
  • CLAAS.png
  • tuev-nord.jpg
  • 1_LOGO_VARONIS.png
  • gieseckedevrient.gif
  • vodafone.gif
  • DEUTSCHE_BANK.png
  • 1_LOGO_SSH.png
  • Tsystems.gif
  • Postbank.jpg
  • TDT-AG.JPG