Die häufigsten Probleme bei der ICS-Sicherheit
Industrielle Steuerungssysteme: Palo Alto Networks zeigt die fünf häufigsten Probleme bei der ICS-Sicherheit auf – und bietet Lösungsvorschläge
Da Cyberbedrohungen sowohl hinsichtlich Volumen als auch Raffinesse zunehmen, wird auch die Absicherung von industriellen Steuerungssystemen (ICS, Industrial Control Systems) zu einer immer größeren Herausforderung.
„Trotz der Verschiedenartigkeit der kritischen Infrastrukturen fallen die meisten für ICS sicherheitsrelevanten Schwachstellen in eine oder mehrere von fünf Kategorien“, fasst Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Wir haben diese Schwachstellen aufgelistet und zeigen Möglichkeiten auf, um Sicherheitsprobleme zu lösen.“
1.) Schwache Passwörter
Wo möglich, sollte die Verwendung starker Passwörter geregelt werden. Dies könnte auch Kontosperrungsregeln beinhalten, um Brute-Force-Angriffe zu unterbinden. Wenn die Einführung von starken Passwörtern nicht ohne Risiken für das ICS umgesetzt werden kann, sollte eine andere Sicherheitskomponente zwischengeschaltet werden. Dies könnte eine Firewall oder ein Terminalserver sein, so dass die Einführung starker Passwörter erleichtert wird, ohne Auswirkungen auf das ICS selbst.
2.) Schlechtes Patch-Management
Patch-Management ist ein heikles Unterfangen. Wenn Maschinen in einer ICS-Infrastruktur ordnungsgemäß implementiert sind, wurden alle erforderlichen Ports und Protokolle identifiziert, um die korrekten Softwarefunktionen zu ermöglichen. In diesem Fall ist häufiges Patchen in der Regel nicht erforderlich, da diese Systeme zum größten Teil von statischer Natur sind. Aber das bedeutet nicht, dass man Patch-Management-Regeln ignorieren kann. Jede ICS-Umgebung erfordert einen Plan und ein Verfahren für das Aufspielen erforderlicher Patches. Nur so können bekannte Schwachstellen, die eine Bedrohung für die Umgebung darstellen, abgesichert werden. Nicht alle Schwachstellen stellen aber eine Bedrohung für die Systeme dar. Wenn zum Beispiel keine Web-Services auf dem System laufen, ist es nicht notwendig, die Web-Services zu patchen. Erfolgt dies trotzdem, erhöht sich nur das Risiko, dass das System beeinträchtigt wird.
3.) Flaches Netzwerkdesign und/oder unnötige Belastung für Unternehmensressourcen und Internet
Rückblickend wurden PCN, ICS, SCADA und anderen Steuerungsnetze zu einer Zeit entwickelt, als die Netzwerkanbindung kein Problem darstellte. Diese Systeme waren komplett getrennt vom übrigen Netzwerk. Erst infolge des erhöhten Bedarfs an Daten aus diesen Systemen war es notwendig, dass IT- und OT-Abteilungen damit anfingen, die Netzwerkanbindung zu erweitern. Eine wichtige Sicherheitsmaßnahme ist hier die Einführung von ISA 62433 oder Netzwerksegmentierung, am besten so schnell wie möglich. Damit lassen sich kritische Ressourcen auf einfache Weise isolieren, so dass eine klar definierte Grenzlinie besteht. Ebenso praktikabel ist es, diese Systeme vom Internet fernzuhalten, indem sie hinter Firewalls positioniert und von allen unnötigen den Geschäftsnetzwerkdiensten isoliert werden. Erfordern die Systeme Fernzugriff, sollten sichere Methoden für mehr granulare Zugriffskontrolle eingeführt werden. Hierzu gehört auch die Erfassung aller Zugriffe auf das System.
4.) Keine Authentifizierung zu Ressourcen
Wenn das ICS hinter einer Firewall isoliert wird, lässt sich ein höheres Maß an Zugriffskontrolle durchzusetzen. Stellt die Firewall keine realisierbare Option dar, sollte eine andere Komponente zwischengeschaltet werden, die einen Login-Zugang erfordert.
5.) Standard-Benutzerkonten mit Standard-Passwörtern
Zu guter Letzt sollten – wann und wo immer möglich – Standardbenutzer-IDs und Standard-Passwörter für die Umgebung deaktiviert oder geändert werden. Es versteht sich von selbst, dass in der Welt der Steuerungssysteme Sicherheit von größter Bedeutung ist. Ebenso ist es nicht praktikabel, sich im Problemfall durch eine lange Liste von Passwörtern vortasten zu müssen. Gleiches gilt, wenn 50 Steuerungseinheiten in Betrieb sind, die nicht zentral verwaltet werden. Viele ICS-Verantwortliche werden sagen: „Es würde ewig dauern, die Passwörter auf allen Steuerungseinheiten zu ändern.“ Aber es kann ein geändertes Passwort für alle 50 Systeme genutzt werden, insbesondere, wenn eine Anbindung an das Intranet/Internet gegeben ist. Die erforderliche Zeit und Energie, um die Änderung einmal durchzuführen ist mit viel weniger Aufwand verbunden als das Aufspüren und Handling eines Ausfalls. Ganz zu schweigen von der Berichterstattung an die Führungsetage, dass die Umgebung wegen eines Passwortproblems kompromittiert worden ist.
