Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Artikel kostenlos lesen

ICS im modernisierten IT-Grundschutz

Industrielle Steuerungssysteme (ICS) besitzen viel Angriffsfläche und erfolgreiche Attacken können schwerwiegende Folgen haben. Der neue IT-Grundschutz hat daher diesem Bereich eine ganze „Schicht“ mit derzeit fünf Bausteinen gewidmet.

Joachim GerberIT-Grundschutz
Lesezeit 6 Min.

Von Joachim Gerber, Berlin

Industrielle Steuerungssysteme (Industrial Control Systems, ICS) werden in nahezu allen Bereichen eingesetzt, in denen technische Prozesse stattfinden – von der Energieerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zu Fabrikautomation, Verkehrsleittechnik, Gebäudemanagement oder Medizintechnik. Bei einem Teil der vom IT-Sicherheitsgesetz adressierten kritischen Infrastrukturen (KRITIS) kommen ebenfalls ICS zum Einsatz: Im Sektor der Energiewirtschaft (Strom- und Gasversorgung) bilden sie den Kern des Geltungsbereichs für die Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), und zwar in Form der Leit- und Überwachungssysteme, prozessnaher Steuerungs- und Automatisierungstechnik sowie Netz- und Kommunikationstechnik.

Noch bis vor wenigen Jahren waren ICS in der Regel physisch von anderen IT-Systemen und Netzen entkoppelt und damit vor äußeren Einflüssen geschützt. Mit der umfassenden Digitalisierung, dem Einzug von IT-Systemen aus dem Büroumfeld und der zunehmenden Vernetzung der ICS über Netzgrenzen hinweg (z. B. in ein Unternehmensnetz oder in das Internet) sind diese Systeme heute ähnlichen Gefährdungen ausgesetzt wie Systeme aus der klassischen IT und potenziell im Visier privater wie auch staatlicher Angreifer. Realistischerweise ist festzustellen, dass ICS gefährdeter sind als klassische IT-Systeme. Dies ist häufig auf eine Nicht- oder nur ungenügende Berücksichtigung von Sicherheitsbelangen in der Design- und Implementierungsphase zurückzuführen.

Mit der „Affäre“ um die Schadsoftware Stuxnet, mit der 2010 ein Angriff auf iranische Urananreicherungsanlagen unternommen wurde, kam einer breiteren Öffentlichkeit zu Bewusstsein, dass nicht nur Server, PCs und Smartphones anfällig für Cyberangriffe sind, sondern auch die informationsverarbeitenden Systeme zum Betrieb und zur Steuerung industrieller Anlagen.

Der Begriff der industriellen Anlage muss aufgrund des Einsatzes solcher Betriebs- und Steuerungssysteme in vielfältigsten Anwendungsfeldern und -situationen weit gefasst werden. Im weitesten Sinne können auch Teile des „Internets der Dinge“ (IoT) zu ICS gerechnet werden, etwa vernetzte Videoüberwachungskameras, ferngesteuerte Sicherheitssysteme für Gebäude oder auch intelligente Messsysteme. Nach dem geltenden Messstellenbetriebsgesetz ist beispielsweise die Einführung intelligenter Strom- und Gaszähler (Smartmeter) in Privathaushalten verpflichtend – somit werden zunehmend auch Bürgerinnen und Bürger mit ICS in Berührung kommen.

Abbildung 1

Abbildung 1: Beispielhafte ICS-Architektur

Materialien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diesen Entwicklungen frühzeitig Rechnung getragen und 2013 sein ICS-Kompendium [2] veröffentlicht, das Empfehlungen zum Schutz von ICS-Komponenten und zur Absicherung des Betriebs enthält. Im Zuge der Modernisierung des BSI IT-Grundschutzes wurde nun zudem die neue Schicht „IND: Industrielle IT“ in das IT-Grundschutz-Kompendium aufgenommen [3].

Eine Übersicht über bereits im Internet erreichbare ICS oder IoT-Geräte bietet unter anderem die spezialisierte ICS-Suchmaschine shodan.io. Shodan ermöglicht es, ICS, IoT-Geräte und andere mit dem Internet verbundene Systeme über eine Reihe von Filtern zu finden und Metadaten der gefundenen Server zu ermitteln. Die dabei gesammelten Daten enthalten meist Informationen über die Serversoftware, unterstützte Optionen, eine Begrüßungsseite oder ähnliches, die der Server in seiner Interaktion mit dem Client übermittelt.

Mit den von Shodan ermittelten Informationen lassen sich ICS oder IoT-Geräte steuern, wenn diese keine hinreichenden Sicherheitsstandards erfüllen. Viele Geräte verwenden beispielsweise triviale Authentifizierung, wie den Benutzernamen „admin“ und Passwörter wie „1234“ oder „siemens“. Häufig dienen via Shodan gewonnene Informationen auch zur Vorbereitung gezielter Angriffe auf offene Serverports oder Softwareschwachstellen.

Bedrohungen

ICS-Komponenten werden oft „draußen im Feld“ betrieben und fernüberwacht. Solche Elemente – beispielsweise Sensoren für Luft- oder Wasserqualität oder Steuerungssysteme wasserwirtschaftlicher Anlagen – sind gegenüber klassischer IT einem erhöhten Risiko für physische Manipulationen oder Sabotage beziehungsweise Vandalismus ausgesetzt. Gefährdungen resultieren auch aus den jeweiligen Einsatzszenarien: So müssen ICS-Komponenten häufig unter extremen Umgebungsbedingungen, wie Hitze, Kälte, Feuchtigkeit, Staub, sowie mechanischer oder chemischer Beanspruchung funktionieren.

Vielfach werden ICS von Fremdfirmen gewartet: Dies kann über Fernwartungszugänge erfolgen oder über physische Zugänge wie Konsolenports oder USB-Anschlüsse. Ein weiterer kritischer Faktor sind die im ICS-Umfeld verwendeten Übertragungsprotokolle, die aufgrund ihrer Historie über keine oder nur sehr eingeschränkte eigene Sicherheitsmechanismen verfügen. Sensible Daten und Befehle werden meist im Klartext übertragen oder Authentifizierungsinformationen nicht verschlüsselt.

Als schwerwiegendste Bedrohungen für ICS gelten:

  • Infektionen mit Schadsoftware über Internet und Intranet
  • Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
  • Social-Engineering
  • Einbruch über Fernwartungszugänge
  • menschliches Fehlverhalten
  • Sabotage
  • mit dem Internet verbundene Steuerungskomponenten
  • technisches Fehlverhalten
  • höhere Gewalt
  • Kompromittierung von Smartphones im Produktionsumfeld
  • Kompromittierung von Extranet- und Cloud-Komponenten
  • (D)DoS Angriffe

Wie in vielen Bereichen der IT-Nutzung gehen signifikante Bedrohungen für ICS-Komponenten von den Nutzern und Betreibern selbst aus: Dazu gehören unter anderem Arbeitsüberlastung, mangelnde Awareness beziehungsweise Sorglosigkeit, Unkenntnis oder bewusstes Ignorieren von Regelungen, Umgehen technischer Schutzeinrichtungen sowie qualifizierte Innentäter. Ähnliches gilt für die Herstellerseite, die häufig Nachlässigkeit bei der Implementierung von Sicherheitsfunktionen und beim Schließen von Schwachstellen oder Sicherheitslücken erkennen lässt.

In seinem ICS-Kompendium führt das BSI beispielhaft eine Reihe realer Beobachtungen aus der Prüfung von ICS-Umgebungen an, die in Tabelle 1 aufgeführt sind.

Tabelle 1

Tabelle 1: Prüfungsergebnisse des BSI bei ICS-Umgebungen

IND-Schicht

Das IT-Grundschutz-Kompendium, das im modernisierten BSI IT-Grundschutz an die Stelle der IT-Grundschutz-Kataloge getreten ist, enthält einen kompletten Block (eine sog. „Schicht“) zum Thema industrielle IT mit den Bausteinen:

  • IND.1 Betriebs- und Steuerungstechnik
  • IND.2.1 Allgemeine ICS-Komponente
  • IND.2.2 Speicherprogrammierbare Steuerung (SPS)
  • IND.2.3 Sensoren und Aktoren
  • IND.2.4 Maschine

Der Baustein „IND.1 Betriebs- und Steuerungstechnik“ fokussiert die betrieblichen Aspekte von ICS und stellt spezifische Anforderungen an die Ausgestaltung von IT-Betriebsprozessen wie Dokumentation, Administration, Rechtemanagement, Change-Management, Monitoring und Protokollierung sowie Continuity-Management.

„IND.2.1 Allgemeine ICS-Komponente“ ist ein typischer Systembaustein des BSI IT-Grundschutzes: Dort werden in erster Linie Anforderungen an die technische Konfiguration, Administration und Wartung gestellt. Dazu gehören der Schutz vor Schadsoftware sowie der externen Schnittstellen, die Nutzung sicherer Protokolle für die Konfiguration, die Wartung und die Datenübertragung und der Zugriffsschutz.

Die weiteren Bausteine „IND.2.2 Speicherprogrammierbare Steuerung (SPS)“, „IND.2.3 Sensoren und Aktoren“ sowie „IND.2.4 Maschine“ befassen sich mit wenigen, aber grundlegenden Anforderungen an die genannten, speziellen ICS-Komponenten.

Abbildung 2

Abbildung 2: Suchergebnisse von shodan.io für das ICS-Protokoll IEC 60870-5-104

Anforderungen

ICS-Komponenten unterliegen wesentlich stärkeren Restriktionen seitens der Hersteller als klassische IT-Systeme. Somit sind die Einflussmöglichkeiten der Betreiber beziehungsweise Nutzer zur Erhöhung der technischen Sicherheit stark eingeschränkt. Umso wichtiger ist es, ICS-Umgebungen in ein vorhandenes Informationssicherheitsmanagement zu integrieren oder ein selbstständiges ICS-Informationssicherheitsmanagement zu etablieren und einen eigenen ICS-Informationssicherheitsbeauftragten einzusetzen.

Dies ist die regulatorische Stoßrichtung des IT-Sicherheitsgesetzes für die kritischen Infrastrukturen wie auch von § 11 des Energiewirtschaftsgesetzes für den Bereich der Strom- und Gasversorgung. Für den letztgenannten Bereich ist zwar der IT-Sicherheitskatalog der Bundesnetzagentur, der auf den Normen ISO/IEC 27002 und ISO/IEC 27019 basiert, das maßgebliche Anforderungsdokument – bei der konkreten Umsetzung der dort geforderten Maßnahmen ist es jedoch durchaus zielführend, die Bausteine der Schicht IND des IT-Grundschutz-Kompendiums zu verwenden.

Zusammengefasst sind die wichtigsten Sicherheitsanforderungen an den ICS-Betrieb und an ICS-Komponenten:

  • Einbindung in die Sicherheitsorganisation
  • Sensibilisierung und Schulung des Personals
  • Schutz vor Schadprogrammen
  • Dokumentation der Betriebsinfrastruktur einschließlich der Systeme und Kommunikationsbeziehungen
  • Entwicklung eines geeigneten Zonenkonzepts (Segmentierung) für die Vernetzung von ICS und sonstiger IT entsprechend den Schutzbedarfsanforderungen
  • Etablieren einer Berechtigungsverwaltung
  • sichere Administration
  • restriktiver Einsatz von Wechseldatenträgern und mobilen Endgeräten
  • Monitoring, Protokollierung und Detektion
  • sichere Beschaffung und Systementwicklung
  • Etablieren eines Schwachstellen-Managements
  • Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
  • Nutzung sicherer Protokolle für die Konfiguration und Wartung
  • Deaktivierung nicht genutzter Dienste, Funktionen und Schnittstellen
  • Deaktivierung nicht benutzter Nutzerkonten
  • regelmäßige Datensicherung
  • Wartung der ICS-Komponenten
  • Schutz externer Schnittstellen

Weitere Hinweise und Maßnahmenempfehlungen geben das BSI und die Allianz für Cybersicherheit in ihren Empfehlungsdokumenten (abrufbar über [1]):

  • BSI-CS 005 Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen 2016
  • BSI-CS 061 Industrial Control System Security – Innentäter
  • BSI-CS 108 Fernwartung im industriellen Umfeld
  • BSI-CS 128 Sicherheit von IP-basierten Überwachungskameras

Dr. Joachim Gerber ist Berater im Bereich Information-Security-Management der HiSolutions AG.

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Industrial-Control-System-(ICS)-Security, Portalseite, www.bsi.bund.de/ICS
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), ICS-Security-Kompendium, 2013, www.bsi.bund.de/DE/Themen/Industrie_KRITIS/Empfehlungen/ICS/empfehlungen_node.html
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Kompendium, Schicht „IND: Industrielle IT“, www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/IND/IND_Uebersicht_node.html

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.

Es konnten keine passenden Beiträge gefunden werden.