IT-Sicherheit industrieller Steuerungssysteme

Weit verbreitetes Unwissen macht das Thema Cyber-Sicherheit von industriellen Steuerungssystemen besonders gefährlich.
\"Das allgemeine Bewusstsein, die Cyber-Sicherheit von industriellen Steuerungssystemen (Industrial Control Systems - ICS) verbessern zu müssen, hat in den letzten Jahren zugenommen\", erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. \"Dennoch gibt es immer noch allzu viele falsche Vorstellungen, was dieses Thema betrifft.\"

Der jüngste größere Cyber-Angriff auf ein deutsches Stahlwerk verdeutlicht diese Problematik. \“Dieser Angriff entlarvt sehr eindrucksvoll einige Mythen über die Cyber-Sicherheit im Bereich ICS\“, so Thorsten Henning. \“Ein weit verbreiteter Mythos ist, dass bis auf Stuxnet die bisherigen Cyber-Angriffe auf ICS nicht wirklich physische Schäden herbeigeführt haben. Für viele scheint der Natanz-Stuxnet-Vorfall so einmalig und weit entfernt, dass die vielfältigen Angriffsvektoren, denen ICS-Umgebungen ausgesetzt sind und die physischen Schaden hinterlassen können, ignoriert werden.\“ Genau Letzteres geschieht aber häufig – und kommt gar nicht erst ans Tageslicht. Der erwähnte Vorfall ist ein klarer Denkanstoß dafür, dass kritische Ressourcen durch Cyber-Angriffe tatsächlich beschädigt oder zerstört werden können. Ein weiterer Mythos, der durch den Vorfall in Deutschland infrage gestellt wird, ist, dass ICS-Umgebungen durch Air Gapping, also die Isolation einzelner Anschlüsse oder ganzer Zonen, gesichert werden können. Es gibt viele wirtschaftliche, betriebliche und auch regulatorische Treiber, die Konnektivität zwischen ICS-Umgebungen und internen und externen Organisationen fordern. Air Gapping ist daher in der heutigen Zeit in den meisten Fällen keine praktische Option. Unternehmen müssen für die Konnektivität nach außerhalb sorgen – und dabei sicherstellen, dass die Systeme vor Cyber-Bedrohungen geschützt sind. Das heißt wiederum nicht, dass interne Segmentierung/Sicherheit ignoriert werden kann, denn Bedrohungen von innen sind durchaus sehr real. Der dritte Mythos ist, dass für die nötige Sicherheit nur Firewalls erforderlich sind. Dies soll nicht bedeuten, dass dies die einzigen Sicherheitseinrichtungen im betroffenen Stahlwerk waren. Möglicherweise kamen sogar eine Reihe von weiteren Sicherheitseinrichtungen und -technologien zum Einsatz. Aber der Punkt ist hier, dass veraltete Stateful-Inspection-Firewalls in einer ICS-Umgebung nicht ausreichen, um die Sicherheit zu gewährleisten. Zusätzliche Sicherheitsfunktionen an den Netzwerk- und Endpunktebenen sind erforderlich, um Bedrohungen effektiv zu stoppen. Für eine tiefergehende Verteidigung von ICS-Umgebungen in einer immer anspruchsvoller werdenden Bedrohungslandschaft sind effektivere Technologien – wie etwa Anwendungstransparenz und -kontrolle, Netzwerk-IPS/-AV/-Anti-Spyware und Malware Sandboxing – unverzichtbar. Zudem sollten Sicherheitsaufgaben so weit wie möglich automatisiert werden, um die Sicherheitsverantwortlichen zu entlasten\“, fasst Thorsten Henning zusammen. \“Mit diesen Maßnahmen werden ICS-Umgebungen tatsächlich sicherer – und die Mythen gehören der Vergangenheit an.\“

Palo Alto Networks GmbH
http://www.paloaltonetworks.com

Das könnte Sie auch Interessieren

Weitere Beiträge

Verschleiß überwachen, Schäden vorbeugen

Nicht nur Motoren und Pumpen sind in Produktionsanlagen dem Verschleiß unterworfen, sondern auch die Datenleitungen der Maschinen- und Anlagennetzwerke einschließlich Kabel und Stecker. Während der mechanische Verschleiß analog wahrnehmbar ist, macht sich der Verschleiß einer Datenleitung erst im Extremfall bemerkbar: dem Ausfall. Um dem entgegenzuwirken, empfiehlt Indusol den Einsatz von intelligenten Managed Switches, mit denen der physikalische Zustand der Datenleitung digitalisiert und somit sichtbar gemacht werden kann.

mehr lesen

Entwicklungslösung für CC-Link IE TSN-Gerätehersteller

Mitsubishi Electric sieht in Time-Sensitive Networking die Zukunft und konzentriert seinen Entwicklungsaufwand auf das neue industrielle Kommunikationsnetzwerk CC-Link IE TSN. Neben einem in seiner Gesamtheit kompatiblen Produktportfolio kündigt der Automatisierungsspezialist Entwicklungslösungen für Gerätehersteller an.

mehr lesen