Österreich

Mission possible:
Informationssicherheit im IIoT


Das „Internet of Things“ zählt zu den großen Cyber-Angriffszielen der nahen Zukunft.
Sicherheit im System ist aber möglich – ein Kommentar von CIS-Auditor Gerd Brunner.

 

 

(CIS-Newsletter Juni 2015) - Der aktuelle McAfee Threats Report reiht das „Internet of Things“ ganz oben unter jene Angriffsziele, die künftig verstärkt in das Cyber-Fadenkreuz geraten. IoT ermöglicht durch Vernetzung die Remote-Steuerung von Geräten und Maschinen, wobei im B2B-Bereich bereits viele 04_Gerd Brunner _WEBIndustrie- und Kraftwerkssteuerungen darunterfallen – genannt seien schwimmende Bohrtürme, auf denen etwa der Neigungswinkel der Bohrinsel aus der Ferne überwacht und gesteuert wird. Das Angriffe auf Industrieanlagen generell zunehmen, betont das deutsche BSI in seinem Jahresbericht 2014: Dieser zeigt den Fall eines Stahlwerks, wo Hacker zunächst Zugriff auf die Bürorechner erlangten und über Spear-Phishing-Mails an ausgewählte Mitarbeiter bis in das Produktionsnetzwerk vordrangen. So wurde schließlich die Anlagensteuerung völlig außer Gefecht gesetzt, ein Hochofen überhitzte und wurde defekt. Ein massiver Schaden war entstanden.


Schnellzug in die Zukunft
Die jüngste Entwicklung des „Industrial Internet of Things“ macht deutlich, dass dieser Zug längst Fahrtwind aufnimmt. Die Goldmann Sachs Group prognostiziert einen Mega-Trend und Gartner setzt das Thema an die Spitze des aktuellen Hype Cycle. IIoT birgt neue Möglichkeiten, aber auch eine ganze Reihe neuer Risiken – die proaktives Vorgehen verlangen. IIoT formiert sich als Netzwerk aus Komponenten wie Maschinen, Lagersysteme und Betriebsmittel, die über integrierte Technologien Kennwerte erfassen und kommunizieren. So werden Maschinen in der Lage sein, sich selbstständig zu steuern und effizienter zu arbeiten. Produktionsbetriebe können künftig nach eingegangenen Bestellungen automatisiert Rohmaterial einkaufen, gleichzeitig automatisiert die Produktion planen und die Logistikkette ansteuern. Voraussetzung dafür ist die Möglichkeit, große Datenmengen durch geeignete IT-Infrastrukturen sicher zu übertragen und zu verarbeiten. Im Hintergrund solcher Industrial Control Systeme (ICS) stehen immer Komponenten rund um die Prozessführung zur Gewinnung von Informationen in Realtime und zur Signalverarbeitung, Komponenten der Betriebsführung zur betriebswirtschaftlichen Betrachtung sowie optimalen Planung sowie Komponenten der Produktionsführung zur Unterstützung der Betriebsorganisation.


Threats-Liste für das Internet der Dinge
Potenzielle Bedrohungen für Industriesteuerungssysteme sind laut einer BSI-Analyse in etwa dieselben wie für herkömmliche IT – mit dem Unterschied das IIoT-Komponenten um ein Vielfaches komplexer agieren. Die Threats-Liste reicht von DDos-Angriffen und Malware-Infektion über Sabotage und Social Engineering bis zu technischem Versagen:
• Infektion mit Schadsoftware über Internet und Intranet
• Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
• Social Engineering
• Menschliches Fehlverhalten und Sabotage
• Einbruch über Fernwartungssysteme
• Mit dem Internet-verbundene Steuerungskomponenten (ICS)
• Technisches Fehlverhalten und höhere Gewalt
• Kompromittierung von Smartphones im Produktionsumfeld
• Kompromittierung von Extranet und Cloud-Komponenten
• (Distributed) Denial of Service Angriffe - (D)DoS


Komplex, aber beherrschbar
Insgesamt macht die Komplexität von IIoT-Systemen ihre Absicherung zur Herausforderung einer neuen Dimension. In der Praxis zeigt sich, dass einige grundlegende Sicherheitspraktiken wesentlich für eine erhöhte Sicherheit im IIoT-Umfeld beitragen, so etwa Zugriffskontrollen und rollenspezifische Zugriffe, Patchen, Entfernung von nicht benötigten Diensten oder auch eine Prüfung, ob das System versehentlich vom Internet aus erreichbar ist. Hingegen erweisen sich fehlende Verantwortlichkeiten und Rollen für die IT-Sicherheit von ICS-Komponenten, unvollständiger Überblick über die eingesetzten ICS-Komponenten, veraltete Dokumentation, unreflektierte Übernahme von IT-Sicherheitsvorgaben aus der „klassischen IT-Welt“ sowie fehlende Awareness als die häufigsten organisatorischen Verfehlungen.


Sicherheit im System
Ein ganzheitlicher Ansatz ist hier also nicht nur lobenswert, sondern de facto erforderlich. Viele Unternehmen verfügen bereits über Informationssicherheits-Managementsysteme (ISMS), die ihre IT nach dem internationalen Security-Standard ISO 27001 durch strukturiertes Vorgehen auf hohem Niveau absichern. Im IIoT-Zeitalter ist es sinnvoll, das ISMS auf die gesamte Fertigungskette mit Einkauf, Produktion und Logistik auszuweiten. Kerngedanke der ISO 27001 ist die vorgelagerte Risikoanalyse, die Schwachstellen aufzeigt und bewertet. Nur mit regelmäßiger Risikobetrachtung können wirksame Sicherheitsmaßnahmen zielgenau umgesetzt und ständig optimiert werden. Gemäß ISO 27001 sollen Organisationen abgeleitete Maßnahmen aus der Risikobetrachtung mit dem Auditing-Prozess und entsprechenden Schwachstellenanalysen kombinieren. Auf diese Weise kann eine sichere ICS-Infrastruktur betrieben werden – auch im IIoT.

 

 


DI Gerd Brunner fungiert als CIS-Auditor für Informationssicherheit nach ISO 27001. Hauptberuflich steht er mit seinem Team zahlreichen Unternehmen auf organisatorischer wie technischer Informationssicherheitsebene beratend und prüfend zur Seite.


_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB