Die Wasserversorgung ist von Hackerangriffen bedroht
Cyberangriffe werden immer häufiger
Wie das Honeynet-Projekt von TÜV-SÜD zeigte, sind allein in 8 Monaten 60.000 Hackerangriffe auf ein Wasserwerk möglich. Der TÜV hatte ein System eingerichtet, das das Wasserwerk einer deutschen Kleinstadt simuliert. Dabei kamen Zugriffe aus 150 Ländern, die meisten davon von IP-Adressen in China und USA. Die Zugriffe erfolgten nicht nur über Standardprotokolle, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm. Folglich werden auch Sicherheitslücken in Steuerungsanlagen entdeckt und die Systeme werden dadurch verwundbar.
Die industrielle Prozess-IT bringt neue Anforderungen an eine nachhaltige IT-Sicherheit
Die Automatisierungs- und Steuerungstechnik war bisher durch Systeme gekennzeichnet, die untereinander mit eigenen Techniken und Protokollen kommunizierten. Doch in diesen Umgebungen hält die allgegenwärtige Netzwerktechnik auf Basis von Ethernet und TCP/IP immer weiteren Einzug. Zunächst werden die PC-Stationen vernetzt und danach die Ebenen der Leit- und Steuertechnik. Speicherprogrammierbare Steuerungen (SPS) werden zunehmend an das LAN angeschlossen und Kleinsteuerungen auf Basis von Embedded Systemen werden zunehmend mit LAN-Schnittstellen angeboten.
TCP/IP auf Ethernet zieht als bewährter Übertragungsweg immer weiter in vormals „TCP/IP-freie“ Bereiche von Produktions- und Steuertechnik ein. Industrial Ethernet ist im Markt angekommen und selbst WLAN-Komponenten sind mittlerweile den rauen Anforderungen der Produktionsumgebungen gewachsen und im Einsatz.
Gefahren, die durch die Nutzung von Ethernet und TCP/IP entstehen
Ethernet und TCP/IP bieten einem Angreifer oder Schadsoftware einen standardisierten Verbreitungsweg. Es ist immer weniger konkretes Wissen über die Anlagen notwendig. Das erlaubt auch standardisierte Angriffe. Bestehende und neue Implementierungen von TCP/IP Protokollen in Geräten sind fehlerbehaftet. Diese Fehler können auch sicherheitsrelevant sein.
Die zunehmende Vernetzung erzeugt Synergien, aber leider auch mehr Risiken
Über die neu geschaffenen Übergänge sind plötzlich sämtliche Bedrohungen aus dem Office- und Internetbereich in den Produktions- und Prozessnetzen präsent. Diese Tatsache und die daraus entstehenden Konsequenzen können das Personal der Prozess-IT an die Grenzen dessen bringen, was sie mit Ihrem Know-how im Sicherheitsbereich einschätzen und lösen können. Die Prozess-IT muss sich mit den für sie neuen Bedrohungen auseinander setzen und über den Einsatz zusätzlicher Sicherheitstechnologien nachdenken.
Die Prozess-IT stellt eigene Anfordungen an die IT Sicherheit
Um die neuen Bedrohungen in der Prozess-IT zu entschärfen, werden fast immer IT-Sicherheitsmaßnahmen aus der Office-Welt ins Auge gefasst. Die Lösungen eignen sich vielleicht nur bedingt, und für die Prozess-IT zum Teil gar nicht. Die häufig eingesetzten Sicherheitstechnologien wie Patch-Management, Virenschutz, Firewalls und IPS sind nur zum Teil für den Bereich der Gebäudeautomation geeignet, da entweder zusätzliches Know-how notwendig ist oder der Betrieb der Lösungen sehr zeitintensiv ist. Das äußert sich zum Beispiel in Form eines hohen Pflegeaufwands beim Virenschutz.
Es bedarf an also eines völlig anderen Ansatzes, um die Prozess-IT nachhaltig zu sichern
Für den Betreiber von Industrieanlagen ist es das oberste Ziel, die Verfügbarkeit der Systeme nicht zu gefährden. Ein Honeypot muss daher in jeder Situation transparent für den Rest des LANs sein und andere Systeme auch bei einem Ausfall nicht beeinflussen. Dadurch, dass die Honeypot-Hosts rein passiv agieren, sind auch keine Auswirkungen auf andere Bereiche des LANs zu erwarten sind.
So können die Sicherheitstechnologien, die ursprünglich aus dem Office-Umfeld übernommen wurden, optimal ergänzt werden. Mit einem richtig konfigurierten und angepassten Honeypot können die Betreiber von Industrieanlagen einen wichtigen zusätzlichen Sicherheitslevel etablieren, der aktive Schutzmechanismen wie Firewalls, Anti-Virus oder Intrusion Prevention Systeme nachhaltig absichert.
Die honeyBox® wurde speziell für das industrielle Umfeld entwickelt
Kommerzielle Honeypot-Systeme, wie die honeyBox® industrial wurden speziell für das industrielle Umfeld entwickelt. Die honeyBox® und andere Lösungen können in Industrie-Umgebungen sowohl Low- als auch High-Interaction Honeypots bereitstellen. Sie simulieren in den Prozess-LANs virtuelle Opfersysteme als Köder, die die Angreifer auf sich ziehen. Während der manuellen oder automatischen Erkundung des Netzwerks durch den Ein- dringling trifft er im LAN auf virtuelle Honeypots, die augenscheinlich schwächere Sicherheitsvorkehrungen aufweisen, als die übrigen Systeme darstellen.