Palo Alto Sicherheitstipps für SCADA-Netzwerkmanagement
Industrielle Steuerungssysteme beliebte Ziele für Cyberattacken auf Firmen
München, den 17. September 2015 – Palo Alto Networks, das Sicherheitsunternehmen der nächsten Generation, hat fünf Sicherheitstipps zusammengestellt, wie Unternehmen ihr SCADA-Netzwerk optimieren können. Gerade im Zusammenhang von Industrie 4.0 bzw. Smart Factory und Digitalisierung in der Produktion ist dieses Thema ein heißes Eisen für die IT-Abteilungen vieler Unternehmen. SCADA (Supervisory Control and Data Acquisition) ist ein industrielles Steuerungssystem, das in vielen Bereichen – wie etwa Fertigung, Energie, Wasser, Energie und Transport – zum Einsatz kommt. SCADA-Systeme stellen mehrere Technologien bereit, die es Unternehmen ermöglichen, Daten zu sammeln, zu überwachen und zu verarbeiten sowie Aufträge an die Punkte zu senden, von denen aus die Daten übertragen werden.
„SCADA-Software wird jedoch vielerorts auf ungepatchten, sehr anfälligen Systemen älteren Datums betrieben, woraus mangelnde Sicherheit resultiert. Ausgefeilte, fortschrittliche Bedrohungen zielen zudem verstärkt auf kritische Infrastrukturen wie Energieversorger, große Produktionsstandorte und Logistiksysteme, die mit SCADA-Netzwerken gesteuert werden“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Die Verbesserung der Cybersicherheit ist heute daher wichtiger denn je.“
1.) Umsetzung von Industriestandard-Governance-Rahmenwerken
SCADA-Betreiber müssen Leitlinien für die Security Governance, Risikobewertung, Risikominimierung und dafür erforderliche Überwachung umsetzen. Das Cyber-Management-System für ICS (Industrial Control Systems) IEC 62443 wurde als Standard für das Informationssicherheits-Management festgelegt, unabhängig von der Größe oder Branche des Unternehmens. Daneben gibt es das Rahmenwerk ISO/IEC 27001, das technologieunabhängig ist und sowohl für technische als auch nicht-technische Umgebungen geeignet ist. Zusätzlich bietet die NIST Special Publication 800-82 einen Überblick über ICS und typische Systemtopologien. Darin werden gängige Bedrohungen und Systemschwachstellen aufgezeigt sowie Sicherheitsmaßnahmen empfohlen, um die damit verbundenen Risiken zu verringern.
2.) Segmentierung des SCADA-Netzwerks
Eine wirksame Methode, um Cyberangriffe und mögliche Risiken zu reduzieren, ist die Netzwerksegmentierung, kombiniert mit Sicherheitsüberwachung. Ein SCADA-Netzwerk lässt sich folgendermaßen schützen:
· In einen Netzwerk kann eine SCADA-Sicherheitszone eingerichtet werden, die mit einer Firewall der nächsten Generation isoliert und segmentiert ist vom Rest des Netzwerks.
· Der Zugang zur SCADA-Zone wird geregelt mittels Authentifizierung durch den Benutzer, nicht der IP-Adresse, das heißt, nicht-autorisierten Benutzern wird der Zugriff auf das Netzwerk verweigert.
· SCADA-Protokolle wie Modbus, DNP3 und ICCP werden auf der tatsächlichen Anwendung anstelle von Ports überwacht. Dadurch lässt sich den Risiken bei der Verwaltung mehrerer offener Ports, die Bedrohungen durchqueren können, entgegenwirken.
· Der gesamte Verkehr, der die SCADA-Zone durchläuft, muss auf Exploits, Malware, Botnets und gezielte Bedrohungen hin überprüft werden anhand eines umfassenden Schwachstellen-Schutz-Rahmenwerks.
· Sichtbarkeit innerhalb des sicheren SCADA-Zonen-Perimeters ist sehr wichtig. Oft gibt es Einschränkungen beim „Inline“-Einsatz von Geräten, also zwischen den Betreiber-/Engineering-Schnittstellen und den industriellen Steuerungsgeräten, wie etwa Automatisierungsserver, PLCs (Programmable Logic Controllers) und RTUs (Remote Terminal Units). Zur Verbesserung der Situationserkennung bei Cyberrisiken kann ein Monitor-only-Modus in Erwägung gezogen werden.
3.) Verbesserung der Zusammenarbeit zwischen IT und OT
Die Integration einer SCADA-Infrastruktur und einer Unternehmensinfrastruktur bedeutet, dass Entscheidungen in Bezug auf die Unternehmensinfrastruktur sich direkt auf die SCADA-Sicherheit auswirken können. Um sicherzustellen, dass potenzielle Schwachstellen berücksichtigt und Präventivmaßnahmen eingerichtet wurden, sind regelmäßige Meetings und eine rege Kommunikation zwischen IT-, Sicherheits- und SCADA-Teams notwendig. Die Teams können wertvolle Informationen teilen, damit die Netze sicher bleiben.
4.) Prävention für bekannte und unbekannte Bedrohungen
SCADA-Netzwerke sind heute wichtiger denn je und als Teil kritischer Infrastrukturen werden sie ständig angegriffen. Dennoch sind sie häufig unzureichend geschützt und ungepatcht. Anlagenbetreiber müssen den Netzwerkzugang überwachen, Bedrohungen abwehren und Ausfallzeiten, hervorgerufen durch Sicherheitsvorfälle, verhindern. Dies alles ist möglich mit WildFire von Palo Alto Networks. Der Dienst ist in der Lage, Bedrohungsabwehr-Signaturen vor Ort zu generieren. WildFire, das sowohl in Public- als auch Private-Cloud-Implementierungen angeboten wird, kann eingesetzt werden, um fortschrittliche Zero-Day-Malware, wie etwa Stuxnet und Energetic Bear, zu stoppen. Unterstützt werden mehrere Firewalls der nächsten Generation. Jede Firewall dient als Sensor zur Erkennung von unbekannten Bedrohungen in Hunderten von dateitragenden Anwendungen via Standard-und Nicht-Standard-Ports, einschließlich automatischer Prävention. Dies ist ein grundlegender Unterschied zu punktuellen Lösungen nur für Erkennung, die eine oder mehrere anwendungsspezifische Sandbox-Appliances an jedem Inspektionspunkt im Netzwerk erforderlich machen. Damit lässt nur teilweise Sicherheit erzielen, bei hohen Kosten.
5. Weiterbildung für SCADA-Fachleute
SCADA-Ingenieure sind daran gewöhnt, in einer Umgebung zu arbeiten, die sehr zögerlich modernisiert wird. Technologie, die SCADA unterstützen kann, hat eine Lebensdauer von bis zu 20 Jahren. Dies bedeutet, dass die Ingenieure, die SCADA-Infrastrukturen warten und betreiben, nur begrenzte Kenntnisse über neue Technologien, Gefahren und die notwendigen Schutzmaßnahmen für die Netzwerkumgebung haben. Es ist schwer für sie, mit den neuesten Informationen Schritt zu halten, da sie sich auf die Entwicklung und Wartung der Automatisierungsinfrastruktur konzentrieren. Weiterbildung ist daher wichtig, damit sie auf dem aktuellen Stand sind, was neue Technologien betrifft, um das Netzwerk noch besser zu schützen.