ICS/SCADA Netze schützen
Wie man die Sicherheitslücke zwischen Industrie- und Unternehmensnetzwerk schließt
"Safe-T - What is Software Defined Access?"
Mit dem Laden des Videos erklären Sie sich mit den Datenschutz- und Nutzungsbedingungen von YouTube bzw. Google einverstanden.
Unternehmensnetzwerke und ICS-Netze verschmelzen
Vor noch nicht allzu langer Zeit, waren ICS- oder SCADA-Netze von den allgemeinen Unternehmensnetzwerken physikalisch getrennt. Optimal in Puncto Sicherheit.
Durch die massive Zunahme des Internet of Things (IoT) werden allerdings immer häufiger – zufällig oder absichtlich- Verbindungen zwischen industriellen Produktionsnetzen und dem allgemeinen Internet hergestellt. Diese Brücken werden für die Industrie- und Fertigungsinfrastruktur zu einer immer größeren Gefahr.
Die meisten Security-interessierten Leser werden mit der Geschichte von Stuxnet vertraut sein. Stuxnet war ein Wurm, der die ICS-Infrastruktur infizieren und zerstören konnte, die für die Entwicklung des iranischen Nuklearanreicherungsprogramms von entscheidender Bedeutung war. Stuxnet wurde von den US-amerikanischen und israelischen Geheimdiensten gemeinsam ins Leben gerufen und war der erste Cyberangriff, der in der Lage war, ein SCADA-Computersystem zu durchbrechen und die Fertigungsinfrastruktur in der realen Welt physisch zu zerstören.
Stuxnet einzusetzen war damals nicht einfach. Es benötigte:
- Eine benutzerdefinierte Herstellung von infizierten USB-Laufwerken
- Das Schmuggeln der infizierten USB-Laufwerke in die iranische Lieferkette
- Die Unterstützung von Kollaborateuren im iranischen Atomprogramm
Mit den damals verfügbaren Techniken wäre es nicht möglich gewesen, Stuxnet ohne die Unterstützung von zwei großen Weltmächten auszustatten und erfolgreich einzusetzen. Dies ist nun über 8 Jahre her. Der damals betriebene Aufwand ist heute nicht mehr nötig, um ein industrielles Netzwerk zu infizieren. Das übernimmt heute sehr einfach das industrielle Internet of Things (IIoT).
Sean McGurk, ehemaliger Direktor des Nationalen Cybersicherheits- und Kommunikationsintegrationszentrums (NCCIC) im Ministerium für Heimatschutz traf folgende ernüchternde Aussage:
Nach unserer Erfahrung, bei der Durchführung von Hunderten von Vulnerability Assessments in der Privatwirtschaft, haben wir in keinem Fall eine durchgehende Trennung des Betriebsnetzwerkes vom SCADA-System oder dem Energiemanagementsystem gefunden. Im Durchschnitt sehen wir bei den entsprechenden Unternehmen 11 direkte Verbindungen zwischen diesen Netzwerken. In einigen extremen Fällen haben wir bis zu 250 Verbindungen zwischen dem tatsächlich produzierenden Netzwerk und dem Unternehmensnetzwerk identifiziert
Mit anderen Worten, selbst wenn man denken würde, dass man eine ziemlich sichere Trennung der Netzwerke hätte, bleibt es wahrscheinlich, dass irgendwo eine unbeachtete Verbindung besteht – beispielsweise eine direkte, aktive Verbindung über Kabel oder Funk -, die diese kritischen Netzwerke trotzdem verbindet. Das IIoT vereitelt naturgemäß die physikalische Netzwerktrennung. IoTs werden meist von der IT über WiFi verwaltet, da eine konstante Stromversorgung der Sensordaten von ICS-Geräten notwendig ist. Angesichts der Tatsache, dass 80% der leistungsstärksten Industriefirmen die IIoT-Technologie übernommen haben, kann man in der Praxis von einer vollständigen Trennung der kritischen Netzwerke nicht mehr sprechen.
IoT-Netze verstecken
Wie können also Firmen die IIoT-Geräte hinzufügen und ihr ICS-Netzwerk ohne Angst vor Konsequenzen mit dem Unternehmensnetzwerk verbinden? Eine Möglichkeit, um die Sicherheit zu erhöhen bestände darin, sowohl die Unternehmens- als auch die ICS-Netzwerke vor dem allgemeinen Internet zu verbergen. Mit dieser Methode können Angreifer, die eine Perimeter-Scan durchführen, keinen Fuß fassen. Laut Gartner kann diese Methode bereits bis zu 70% aller Cyberattacken abschwächen.
"Safe-T - What is Software Defined Access?"
Mit dem Laden des Videos erklären Sie sich mit den Datenschutz- und Nutzungsbedingungen von YouTube bzw. Google einverstanden.
Mit der Software-Defined-Access-Technologie von Safe-T ist das Verstecken der kritischen Systeme vor Angreifern ein sehr einfacher Schritt – und die verbleibenden 30% der potentiellen Angriffe zu mildern nicht mehr so kompliziert. Die Safe-T Cybersecurity-Suite erleichtert den Benutzern, eingehende und ausgehende Dateien auf bösartige Daten zu überprüfen, Dateien sicher zu übertragen, eine Verschlüsselung für die vertraulichen Datenströme anzuwenden und vieles mehr. Um sich diese Lösungsmöglichkeit näher betrachten zu können, stellt Safe-T eine kostenlose 30-Tage Version zur Verfügung