Weitere Leseproben unter www.kes.info

LESEPROBE

52 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2014#252

Automatisierungs- und Steuerungssysteme (In-dustrial Automation and Control Systems – IACS) sind einer steigenden Anzahl von Angriffen ausgesetzt, von denen sowohl Hersteller als auch Unternehmen betroffen sind, die IACS in der Produktion oder als reine Anlagen-betreiber einsetzen. Da für Deutschland hierzu keine öffentlich zugänglichen Zahlen existieren, sei ein Blick in die USA gestattet, wo das ICS-CERT regelmäßig Berichte zur Sicherheitslage in diesem Bereich veröffentlicht [1]: 2013 wurden demnach 257 Sicherheitszwischenfälle (2012: 197 Zwischenfälle) gemeldet, von denen über 56 % auf den Energiesektor und 15 % auf produzierende Industriebereiche entfielen – die übrigen Anteile verteilen sich gleichmäßig auf andere Sektoren aus dem Bereich der kritischen Infrastruktur.

Abgesehen von einer sicherlich nur eingeschränk-ten Übertragbarkeit der Zahlen auf Deutschland sind die dort aufgeführten Top-Bedrohungen jedoch durchaus als international beachtenswert und bedeutend anzusehen:

nicht-autorisierter Zugriff auf und Nutzung von IACS über deren direkte Internetanbindung,

Malware-Infektionen innerhalb von „air-gapped“ IACS-Netzwerken (ohne direkte Internetanbindung),

SQL-Injection und Anwendungsschwachstellen, unerwünschte Querverbindungen („Lateral Mo-

vements“) zwischen Netzwerkzonen,

Von Marco Kupilas, Berlin

Titelthema Sicherheit industrieller Netze

TiefenwirkungDefense in Depth – eineStrategie auch für Industrie 4.0

Defense in Depth ist eine erfolgreiche Strate-

gie der Informationssicherheit und auch für

industrielle Automations- und Steuerungs-

Systeme (IACS) sowie Cyber-Physical Systems

(CPS) anwendbar. Für dieses Umfeld ist mit

ISA/IEC 62443 ein umfassendes Standard-

werk [2] in Arbeit – der vorliegende Beitrag

gibt einen ersten Überblick.

gezielte Spear-Phishing-Kampagnen sowie so genannte „Watering Hole“-Angriffe auf ein-

schlägige Websites inklusive der Ausnutzung von Zero-Day-Schwachstellen.

Es zeigt sich, dass Angriffe in diesem Umfeld häufig gezielt und vermehrt auf einzelne Unternehmen erfolgen, die Angriffsarten wesentliche Merkmale von Ad-vanced Persistent Threats (APTs) tragen und die vermeint-liche Sicherheit von Anlagen in Netzwerkzonen ohne Internetanbindung (mit „Air Gaps“) extrem trügerisch ist.

Geschäftsführer und Vorstände stellen sich die Frage, was ein Unternehmen all dem an IT-Sicherheits-maßnahmen entgegensetzen kann – Maßnahmen, deren grundlegende Prinzipien sich bewährt haben, allgemein anerkannt sind und sich noch dazu an den eigenen Ab-läufen in der Produktion orientieren. Und auf diese Frage erwarten nicht wenige eine Antwort von ihrem CISO. Als Antwort drängt sich eine Strategie auf: Defense in Depth.

Die Strategie

„Defense in Depth“ oder auch „Layered Defense“ wird auch in der Informationssicherheit aus wesentlichen Teilen einer Militärstrategie abgeleitet. Dieser Strategie folgend sollen es gestaffelte Verteidigungslinien einem

SecureMail

Tel.: +49 (0)30 5900300-0sales@zertificon.com

Sichere E-Mail: intern, extern, Ende-zu-Ende auch auf mobilen EndgerätenPKI: S/MIME & OpenPGP Automatisiertes ZertifikatsmanagementPasswortverschlüsselte E-Mail: PDF-, HTML-encrypted oder Webpostfachzentrale Security-PoliciesHardware oder virtuelle Appliance: skalierbar, clusterfähig, hochverfügbarWeitere Optionen: De-Mail, Governikus, HSM, ERP-Anbindung, u.v.m.

Zertificon Solutions GmbHwww.zertificon.com

Direkter Herstellersupport

E-Mail-Verschlüsselung & -Signatur ®

PDF-, HTML-encrypted oder Webpostfach

skalierbar, clusterfähig, hochverfügbar

52-55 (ind-DiD).indd 52 16.04.14 17:22

Gegner unmöglich machen oder zumindest erheblich erschweren, das Ziel eines Angriffs zu erreichen. Für die Informationssicherheit heißt das: Durch aufeinander ab-gestimmte und sich ergänzende Sicherheitsmaßnahmen, die vorzugsweise in mehreren Ebenen ansetzen, sollen Angriffe auf ein zu schützendes Asset erkannt, abgewehrt oder wenigstens erheblich erschwert werden – das zu schützende Asset ist dabei zunächst unbestimmt. In der Fachliteratur hat sich hierbei die Darstellung der Ebenen von Sicherheitsmaßnahmen in Form von Ringen weitest-gehend durchgesetzt (vg. Abb. 1).

Defense in Depth darf man jedoch nicht losgelöst und für sich allein betrachten. Auch diese Strategie ist vielmehr nur im Zuammenhang mit anderen Konzepten erfolgreich und benötigt:

einen Sicherheits-Kontext als Ausgangsbasis, die Sicherheits-Ziele Vertraulichkeit, Integrität

und Verfügbarkeit, die Umsetzung des „Least-Privilege“-Prinzips für

Nutzer und Applikationen sowie ein Threat-Risk-Assessment zur Bestimmung

der Risiken und geeigneten Sicherheitsmaßnahmen für Assets.

Der Einsatz

Natürlich lässt sich Defense in Depth (DiD) auch in der Office-IT umsetzen: Dort steht als zu schützendes As-set die Information im Mittelpunkt. Die DiD-Ebenen (oder auch -Schichten) beziehen sich dann auf Anwendungen, IT-Systeme, Netzwerke, Infrastuktur und übergeordnete Aspekte – der BSI-Grundschutz lässt grüßen. Auch die Anwendung auf ein einzelnes IT-System ist denkbar und

Abbildung 1:Beispielhafte Darstellung von „Defense in Depth“-Ringenin Anlehnung an das OSI-Modell (nach ISA „Beyond Defense in Depth“)

SecureMail

Tel.: +49 (0)30 5900300-0sales@zertificon.com

Sichere E-Mail: intern, extern, Ende-zu-Ende auch auf mobilen EndgerätenPKI: S/MIME & OpenPGP Automatisiertes ZertifikatsmanagementPasswortverschlüsselte E-Mail: PDF-, HTML-encrypted oder Webpostfachzentrale Security-PoliciesHardware oder virtuelle Appliance: skalierbar, clusterfähig, hochverfügbarWeitere Optionen: De-Mail, Governikus, HSM, ERP-Anbindung, u.v.m.

Zertificon Solutions GmbHwww.zertificon.com

Direkter Herstellersupport

E-Mail-Verschlüsselung & -Signatur ®

PDF-, HTML-encrypted oder Webpostfach

skalierbar, clusterfähig, hochverfügbar

wird zum Beispiel in einem Beitrag von Microsoft TechNet für Windows Server 2008 beschrieben [3].

Anders sieht es bei IACS aus: Im Gegensatz zur Office-IT hat hier die Verfügbarkeit der Produktionsan-lagen höchste Priorität. Daher werden die maßgeblichen Ebenen des Defense in Depth vor allem durch Anforde-rungen an die Anlagen- und Netzwerksicherheit sowie die Systemintegrität bestimmt.

Wie eine Defense-in-Depth-Strategie auf gesicher-ter Basis für industrielle Systeme umgesetzt werden kann, beschreibt der in Entwicklung befindliche ISA 62443 – „Se-curity for Industrial Automation and Control Systems“ [2]. Der aus dreizehn Einzeldokumenten bestehende Standard wird zurzeit durch eine Working-Group der „International Society of Automation“ (ISA, www.isa.org/isa99) bear-

52-55 (ind-DiD).indd 53 14.04.14 12:22

54 © SecuMedia Verlags-GmbH · 55205 Ingelheim · <kes> 2014#2

Management und Wissen Sicherheit industrieller Netze

beitet und soll voraussichtlich noch 2014 in der finalen Version zur Verfügung stehen. Einige schon vorliegende Teile wurden bereits von der „International Electrotechni-cal Commission“ (IEC) in der Reihe IEC 62443 „Industrial communication networks - Network and system security“ übernommen. Es wird außerdem erwartet, dass sich der Standard unter der Nummer 27020 in die ISO-2700x-Serie einreiht.

Der Standard

Mit Blick auf eine DiD-Strategie ist besonders die Einführung von Sicherheitszonen und der Übergang (Conduit) zwischen diesen Zonen ein wesentliches Merkmal des Standards. Dabei werden alle logischen und physischen Assets, die gemeinsame Sicherheitsanforde-rungen aufweisen, in einer Zone zusammengefasst (z. B. Controller-Zone) – jedwede Kommunikation zwischen Zo-nen darf nur über definierte Conduits erfolgen. Typische Zonen und ihre Elemente sind:

die Produktionsführung (ERP), die Betriebsführung (Engineering, MES), die eigentliche Prozessführung (EWS), die eine

weitere Zone auf Ebene der Feld-Infrastruktur enthalten kann,

die Safety-Zone (SIS-Controller) und die externe Zone (Remote-Operations, Business-

Partners).

Dabei ist es empfehlenswert, alle oder einzelne Zo-nen weiter zu segmentieren, beispielsweise beim Betreiben mehrerer Produktionslinien.

Aufgabe der jeweiligen Conduits ist es, den Zu-gang zu einer anderen Zone zu regeln und durch geeignete Sicherheitsmaßnahmen zu schützen. Je nach Art der Be-drohungen und daraus entstehenden Risiken für die Ziel-zone können das zum Beispiel Maßnahmen zur Abwehr von Denial-of-Service-(DoS)-Attacken oder der Schutz der Integrität und Vertraulichkeit des Netzwerkverkehrs sein.

Das Maß der zu erreichenden Sicherheit inner-halb der einzelnen Zonen wird in Anlehnung an die Safety in vier Security-Level unterteilt. Für jede Zone sind grundsätzliche Sicherheitsanforderungen (Foundational Requirements – FR) zu erfüllen, konkret:

Identification and Authentication Control (IAC), Use Control (UC), System Integrity (SI), Data Confidentiality (DC), Restricted Data Flow (RDF), Timely Responses to Events (TRE) sowie Resource Availability (RA).

Das innerhalb eines Risk-Assessments ermittelte Security-Level bestimmt dann für jede dieser Anforde-rungen (FR) die eigentlichen technischen Systemanforde-rungen (System Requirements – SR). Als ein Beispiel für das höchste Security-Level 4 und die FR IAC sei etwa nach ISA/IEC 62443 Teil 3-3 die Anforderung genannt, dass zur Nutzeridentifikation und Authentifizierung eine Multi-Faktor-Authentifizierung erforderlich ist (SR 1.1 RE (3)).

In der Praxis ist eine konsequente Umsetzung des Standards naturgemäß dann am leichtesten, wenn sich Produktionsanlagen noch in einer frühen Phase der Planung (Design) befinden: Hier lassen sich die spätere Netzwerkarchitektur und die mit den notwendigen Si-cherheitsmaßnahmen verbundenen Kosten noch weit-reichend beeinflussen. In bestehenden Strukturen sind die Maßnahmen innerhalb einer Zone nur schwierig umzusetzen – so sind etwa die für eine Wartung von Pro-duktionsanlagen (Maintenance) geplanten Zeiten dafür in der Regel kaum ausreichend. Sicherheitsmaßnahmen für Conduits lassen sich jedoch meist noch mit vergleichswei-se überschaubarem Aufwand umsetzen.

Die rein technischen Sicherheitsmaßnahmen müssen auch für IACS Teil eines ganzheitlichen Informa-tionssicherheits-Managementsystems (ISMS) sein: Teil 2-1

Die Experten für Privileged Account Security

C

M

Y

CM

MY

CY

CMY

K

AZ kes2 • CyberArk.pdf 1 10.04.14 09:49

Literatur

[1] Homeland Security, Industrial Control Systems Cyber Emergency Response Team, ICS-CERT Year in Review, 2014, https://ics-cert.us-cert.gov/ICS-CERT-Year-Review-2013

[2] The International Society of Automation (ISA), ISA 99 Committee, Work Product List, http://isa99.isa.org/ISA99%20Wiki/WP_List.aspx

[3] Jay Paloma, Windows Server 2008 in an Organization‘s Defense in Depth Strategy, Microsoft TechNet, Dezem-ber 2007, http://technet.microsoft.com/en-us/library/cc512681.aspx

[4] Dr. Gerald Spiegel, Michael Krammel, ISO 27001 für SCADA, Integration der industriellen Leittechnik mit dem Informationssicherheits-Management, <kes> 2011#5, S. 90

[5] Christian Gresser, Stefan Kubik, IT-Sicherheit für Leit-technik, <kes> 2006#1, S. 76

[6] Francesca Saglietti, Sicher ist sicher, Einheitliche Be-trachtung von Funktions- und Informationssicherheit, <kes> 2006#4, S. 47

52-55 (ind-DiD).indd 54 14.04.14 12:22

des Standards beschreibt die dazu notwendigen Bestand-teile, während ISA/IEC 62443-2-2 die Implementierung des ISMS ausführt.

Neben einer durchgängigen Behandlung der IACS-Sicherheit im Kontext Cyber-Security sowie der Umsetzung einer Defense-in-Depth-Strategie betont der Standard zudem auch die Bedeutung des immer wich-tiger werdenden Zusammenspiels zwischen Herstellern, Integratoren und Betreibern von Automatisierungs- und Steuerungssystemen.

Zusätzlich wird deutlich, dass auch CSO und CISO zu einer engen Zusammenarbeit finden müssen. Doch auch anderen Verantwortlichen für die Produkt- und Produktionsentwicklung wird die Verpflichtung auferlegt, die Sicherheitsziele zu unterstützen – gerade mit Ausblick auf neue Technologie im Zusammenhang mit der „Indus-trie 4.0“ ist das zwingend erforderlich.

Neue Herausforderungen

Der Grundstein für Industrie 4.0 sind so genannte Cyber-Physical Systems (CPS): Sie sind fähig, ihre Umwelt über Sensoren zu erfassen, diese Informationen zu verar-beiten und mit Aktoren ihrer Programmierung entspre-chend zu reagieren. Sind sie Teil eines Produktes, teilen sie Maschinen ihren Bearbeitungsbedarf mit, speichern die Informationen über alle durchlaufenen Produktions-schritte und vieles mehr. Anders als ortsfeste Produktions-anlagen sind CPS ortsunabhängig und kommunizieren mit dem Internet der Dinge und Dienste. Allein diese wenigen ausgewählten Merkmale eines CPS bringen wei-tere und teilweise neue Bedrohungen und Risiken mit

Die Experten für Privileged Account Security

C

M

Y

CM

MY

CY

CMY

K

AZ kes2 • CyberArk.pdf 1 10.04.14 09:49

sich. Neben der bisher als vorrangig angenommenen Verfügbarkeit der Systeme in der Produktion erhält damit auch die Vertraulichkeit der in einem CPS gespeicherten Informationen mehr Bedeutung: So muss etwa ein Schutz vor Wirtschaftsspionage gewährleistet werden.

Innerhalb der gesicherten Umgebung des produ-zierenden Unternehmens können die Sicherheitsmaß-nahmen durchaus hierauf ausgerichtet werden. Aber spätestens, wenn ein fertiges Produkt an den Endver-braucher ausgeliefert wird, ist keine Einflussnahme mehr möglich, da es dann in einer offenen und per se unsicheren Umgebung agiert. Doch selbst dann ist eine Defense-in-Depth-Strategie noch in der Lage, für die notwendige Informationssicherheit zu sorgen, sofern deren Ebenen unterschiedlicher Verteidigungslevel das CPS als eigene Zone behandeln.

Fazit

Defense in Depth ist auch zum Schutz von Auto-matisierungs- und Steuerungssystemen eine erprobte und durch Standards unterstützte Strategie. Dabei ist der Erfolg dieser Strategie heute mehr denn je von der Zusammenar-beit von CIO, CISO und CSO abhängig, die in jeder Phase des Product-Lifecycle-Managements erforderlich ist. Und spätestens mit der Managemententscheidung zum Einsatz neuer Verfahren im Umfeld von „Industrie 4.0“ ist eine umfassende Berücksichtigung von Cyber-Security-Fragen auch in diesem Umfeld unumgänglich. ■

Marco Kupilas ist bei der Steria Mummert Consulting GmbH als Senior Consultant für den Themenbereich Industrial-IT-Security zuständig.

52-55 (ind-DiD).indd 55 14.04.14 12:22