Behandlung von Schadsoftware-Vorfällen im Industrieumfeld

Angesteckt

Für den Schutz vor Schadsoftware gibt es im Office-Umfeld längst allgemeingültige Handlungsempfehlungen und Lösungswege. Nicht so im industriellen Umfeld. Hier existiert kein Königsweg gegen Cyber-Attacken. Dennoch gibt es einige Aspekte, mit denen man sich auf den Ernstfall vorbereiten kann.

Relevante IT-Sicherheitsstandards beschäftigen sich mit dem Schutz vor Schadsoftware. So fordert die ISO27001, dass \“Erkennungs-, Vorbeugungs- und Wiederherstellungsmaßnahmen\“ verwirklicht sein müssen. Im Code of Practice (ISO27002) wird es konkreter: Kapitel 12.2 (Protection from Malware) listet ein Dutzend Teilmaßnahmen auf. Der IT-Grundschutz enthält einen ganzen Baustein (B 1.6 Schutz vor Schadprogrammen), der 16 Gefährdungen und 13 Maßnahmen mit einem Gesamtumfang von mehreren Dutzend Seiten umfasst. Gemeinsam ist diesen Normen, dass die Spezifika von Automatisierungstechnik nicht im Fokus stehen. Insbesondere beim Thema Vorfallsbehandlung lassen sich daher viele Aktivitäten nicht einfach übertragen. Aus diesem Grund haben sich ICS-spezifische Guidelines herausgebildet, etwa das ICS-Security-Kompendium des BSI. Dieses enthält u.a. Best Practices in Bezug auf Malware-Schutz im Bereich der Automatisierung. Allerdings gehen diese nur auf Prävention und Detektion ein – nicht auf den Bereich der Behebung (Response). Ähnlich sieht es in der IEC62443-Standardfamilie aus: Teil 2-1 (Sicherheitsmanagement) baut auf ISO27001/2 auf und ergänzt diese um ICS-Besonderheiten. Auch hier sind wichtige Vorgehensweisen bezüglich \’malicious and mobile code\‘ im Industrieumfeld enthalten, jedoch keine Aussagen dazu, wie ein einmal erfolgter Virenbefall zu behandeln ist.

Gefahr erkannt …

Bevor ein Befall behandelt werden kann, muss er erkannt werden. Auffälligkeiten in der Funktion von Automatisierungssystemen wie wiederholt abstürzende oder stark verlangsamte Systeme, unbekannte Benutzerkonten oder außergewöhnlicher Netzwerkverkehr können auf eine Infektion hinweisen, ebenso Logdateien von Betriebssystemen oder Firewalls. Häufig wird es allerdings die Meldung einer Anti-Virus-Software sein, auf die zu reagieren ist. Manchmal erfolgt die Meldung auch durch einen Außenstehenden, etwa einen Dienstleister, in seltenen Fällen auch durch Dritte wie den Internetprovider.

… Gefahr gebannt

Wird eine Schadsoftware im System erkannt, besteht instinktiv der Wunsch, diese entweder umgehend zu beseitigen oder aber die befallene Komponente zu deaktivieren. Im Prozessumfeld dürfen jedoch Automatisierungskomponenten nicht ohne weiteres außer Betrieb genommen werden. Auch eine ungeplante Beseitigung kann Nebenwirkungen bis hin zu dauerhaften Funktionsstörungen haben. Der Schaden kann dann leicht größer sein als durch den Schädling selbst. So empfiehlt es sich, besonnen zu reagieren:

  • 1. Arbeiten am System auf dem kürzesten vertretbaren Weg beenden.
  • 2. Betroffene Systeme nicht ohne vorherige Rücksprache mit Fachleuten und Entscheidern ausschalten.
  • 3. Betroffene Komponenten separieren bzw. Datenverbindungen trennen – wenn es der zu steuernde Prozess zulässt. Sonst ist möglichst das gesamte Netzwerksegment zu separieren, in welchem sich die Komponente befindet.
  • 4. Virenbefall melden. Ein solcher Prozess ist idealerweise für alle Arten von Sicherheitsvorfällen definiert. Die Meldung kann z.B. an den Anlagenverantwortlichen, an IT-Facheinheiten oder an einen Dienstleister erfolgen.
  • 5. Vorfall ggf. auch in die entsprechende Datenbank einpflegen, falls vorhanden.
  • 6. Wurde die Schadsoftware durch einen Virenscanner entdeckt, dessen Versionsnummer sowie die der Signaturen notieren.
  • 7. Ggf. Bildschirmausdrucke und/oder Logfiles sichern.
  • 8. Wo sinnvoll, Komponente mit Hinweiszettel (z.B. \“Achtung: Virenverseucht\“) versehen.

Desinfektion

Vor einer Beseitigung von Schadsoftware steht eine gründliche Vorplanung an. Bei jeglichen Veränderungen an einem Steuerungssystem sind mögliche Fehlfunktionen und Ausfälle durchzukalkulieren. Die folgenden Hinweise gelten daher immer unter Berücksichtigung des zu steuernden Prozesses, der jeweiligen Automatisierungskomponenten, der betrieblichen Umstände und nicht zuletzt auch der eigenen Kenntnisse und Fähigkeiten. Bei Zweifel sollte immer mit Fachleuten Rücksprache gehalten werden.

Seiten: 1 2Auf einer Seite lesen

HiSolutions AG
http://www.hisolutions.com

Das könnte Sie auch Interessieren

Weitere Beiträge

Verschleiß überwachen, Schäden vorbeugen

Nicht nur Motoren und Pumpen sind in Produktionsanlagen dem Verschleiß unterworfen, sondern auch die Datenleitungen der Maschinen- und Anlagennetzwerke einschließlich Kabel und Stecker. Während der mechanische Verschleiß analog wahrnehmbar ist, macht sich der Verschleiß einer Datenleitung erst im Extremfall bemerkbar: dem Ausfall. Um dem entgegenzuwirken, empfiehlt Indusol den Einsatz von intelligenten Managed Switches, mit denen der physikalische Zustand der Datenleitung digitalisiert und somit sichtbar gemacht werden kann.

mehr lesen

Entwicklungslösung für CC-Link IE TSN-Gerätehersteller

Mitsubishi Electric sieht in Time-Sensitive Networking die Zukunft und konzentriert seinen Entwicklungsaufwand auf das neue industrielle Kommunikationsnetzwerk CC-Link IE TSN. Neben einem in seiner Gesamtheit kompatiblen Produktportfolio kündigt der Automatisierungsspezialist Entwicklungslösungen für Gerätehersteller an.

mehr lesen