Typische Mängel
Das BSI, das selbst Penetrationstests bei Behörden durchführt, listet in seinem aktuellen Online-Bericht eine Reihe typischer Sicherheitsmängel auf. Etwa, dass Patch-Stände von Betriebssystemen und Applikationen veraltet und verfügbare Sicherheitsmechanismen deaktiviert sind. Maßnahmen zu Netzwerk-Management und -überwachung sind entweder gar nicht oder nur als Insellösungen vorhanden. Log-Daten werden lediglich lokal auf den Komponenten selbst vorgehalten und nur anlassbezogen manuell ausgewertet. Oft sei die Verantwortlichkeit für die IT-Sicherheit im Unternehmen nicht klar geregelt. Vom Faktor Mensch ganz zu schweigen: Social Engineering, bei dem menschliche Eigenschaften wie Hilfsbereitschaft, Neugier, Vertrauen oder Angst ausgenutzt werden, ist oft der erste Schritt, um an Zugangsdaten zu gelangen. Die BSI-Experten stellen fest, dass im Zuge der Entwicklung zu Industrie 4.0 IT-Komponenten immer stärker Einzug in die Produktionsnetze halten. Viele dieser Systeme seien jedoch nicht in Hinblick auf mögliche Angriffe konzipiert.
Honeypot lockt Angreifer
Ein Log-Archivierungssystem und ein gutes SIEM in Echtzeit ermöglichen generell eine laufende automatische Auswertung und Analyse aller Log-Dateien im IT-Netz. Mit zusätzlichen Applikationen lässt sich das gesamte Netzwerk auf Schwachstellen hin scannen. Ergebnisse werden an das zentrale Log-Management geschickt, das entsprechende sicherheitsrelevante Alarme auslöst. Unabhängig vom periodischen Scan ermöglicht eine solche App ebenfalls einen Alarm an den Administrator, wird etwas (unbefugt) am File-System geändert. Mit weiteren Features, wie beispielsweise dem sogenannten Honeypot, lassen sich auch aktiv und frühzeitig Virenausbrüche, Trojaner und Bot-Systeme erkennen sowie Angreifer gezielt von den Produktivsystemen wegleiten. Alle Komponenten zusammen ergeben eine Hochsicherheitsplattform, die eine hohe Ausfallssicherheit der gesamten IT-Struktur gewährleistet. Ein solches geregeltes, integratives Shutdown-Konzept bietet zudem die Möglichkeit, ein Shutdown-Procedere von der Zentrale aus in den jeweiligen, mitunter in weit entfernten Ländern gelegenen Außenstellen und deren lokalen Servern zu steuern – Mit autark arbeitenden Anwendungen, die zentral konfiguriert und periodisch synchronisiert werden. Für den generellen Überblick werden die jeweiligen Logs an die Zentrale übermittelt. Das BSI berichtet zudem, dass in Unternehmen Sicherheitskonzepte oft unvollständig und inkonsistent seien. Betriebe verfügen zwar u.a. über umfangreiche Disaster-Recovery-Systeme, die vom Diesel-Notstromaggregat bis zum gespiegelten Rechenzentrum alles bieten. Doch richtige und vor allem regelmäßige Desaster-Tests unter möglichst realen Bedingungen werden nicht durchgeführt.
Blackout
In seinem Thriller \’Blackout\‘ beschreibt Bestseller-Autor Marc Elsberg fast wie in einem Fachbuch, wie es, ausgelöst durch Terroristen, zu einem europaweiten völligen Stromausfall über Wochen kommt. Unrealistisch? Liest man im BSI-Bericht über reale Vorfälle, eher nicht. Nur mit hohem Aufwand konnte im Vorjahr die Stabilität des Stromnetzes in Österreich und Deutschland aufrechterhalten werden. Ausgelöst vermutlich durch einen Steuerungsbefehl beim Start eines Gaskraftwerkes in Süddeutschland, wurden in der Steuerung verschiedener österreichischer Leittechniknetzwerken Anomalien im Datenstrom festgestellt. Diese verursachten bei Verteilnetz- und Kraftwerksbetreibern Einschränkungen sowie vereinzelte Ausfälle in der Datenübertragung. Wegen der nicht spezifizierten Verarbeitung dieser Nachricht in Netzwerk-Komponenten wurde der Befehl in einer Endlosschleife versendet. Diese löste erhebliche Störungen der Leittechnik für die Netzsteuerung aus. Urheber des Vorfalles: unbekannt.