Im vorangegangenen Artikel \’Sichere Industrieprodukte entwickeln\‘ wurde vorgestellt, welche Elemente und Voraussetzungen in einem Entwicklungsprozess für Industrieprodukte auf Herstellerseite vorhanden sein müssen, um Produkte mit zeitgemäßem Security-Niveau zu entwickeln. Die Frage nach der Nachweisbarkeit von Cyber Security stellt sich insbesondere den Betreibern von Industrieanlangen, die vollmundigen Security-Versprechungen von Herstellern und Integratoren ausgeliefert sind. Es lohnt sich daher für jeden Betreiber industrieller Anlagen, sich hier bereits frühzeitig ein Konzept zu überlegen, wie Security-Risiken durch unsichere Komponenten in der Beschaffung verringert oder auf den Lieferanten abgewälzt werden können.
Gemeinsames Verständnis erforderlich
Voraussetzung ist ein gemeinsames Verständnis des Betreibers sowie seiner Lieferanten, was bezüglich Cyber Security in den Komponenten (bzw. Dienstleistungen) erwartet wird bzw. zu leisten ist. Versäumt der Betreiber dies, so übernimmt er unwissentlich die Risiken für unzureichende oder fehlende Security-Maßnahmen. Diese reduzieren die operative Cyber Security während des Betriebs dauerhaft. Daneben gibt es aber eine zweite Entwicklung, die ein \’Security-Housekeeping\‘ beim Zukauf von Industriekomponenten für jeden Anlagenbetreiber nochmals dringender macht: Da vor allem größere Betreiber ihre Anlagen immer besser absichern, haben Cyber-Kriminelle die oft weniger gut geschützten Zulieferer als Angriffspunkt entdeckt, um über die Wertschöpfungskette einzudringen. In Untersuchungen zu gezielten Hacking-Angriffen wurde in den letzten Jahren eine 200%ige Steigerung bei kleinen und mittleren Unternehmen (bis 250 Mitarbeitern) gemessen [1]. Kleine und mittlere Unternehmen, die unter Zulieferern häufig sind, sehen sich aufgrund ihrer Größe sehr selten als interessantes Angriffsziel und wähnen sich damit fälschlicherweise in Sicherheit. Große Unternehmen investieren zwar mitunter mehr Ressourcen in Sicherheitsmaßnahmen, kaufen aber erhebliche Teile der Wertschöpfungskette ihrer Produkte zu, was bei fehlenden Maßnahmen und Vorgaben in der Beschaffung erhebliche \’zugekaufte\‘ Sicherheitsrisiken mit sich bringen kann.
Worauf beim Kauf zu achten ist
Was ist nun beim Kauf von Industriekomponenten bezüglich Cyber Security zu beachten? Folgende Elemente sollten während der Beschaffung vom Lieferanten eingefordert, bzw. zumindest angefragt werden:
- Nachweise über die Einhaltung und Umsetzung gängiger Vorgehensweisen der sicheren Softwareentwicklung: Der Lieferant sollte nachweisen können, dass Cyber Security in seinen Entwicklungs- und Testprozessen betrachtet wird. Ein Nachweis können die Arbeitsergebnisse von Security-Tests, Entwicklungsprozessdokumentation oder ein Schulungsnachweis der Entwickler zu sicherer Softwareentwicklung sein. Im Zweifel hilft auch ein externer Dienstleister, ein Benchmarking der Lieferanten bzgl. Security durchzuführen.
- Explizites Stellen von Security-Anforderungen unter Zuhilfenahme von Security Procurement-Vorlagen: Es existiert eine Reihe von Vorlagen, die für Ausschreibungen von Industriekomponenten herangezogen werden können. Diese existieren sowohl branchenspezifisch (z.B. in Form des BDEW-Whitepapers [2] für die Energie- und Wasserwirtschaft), als auch branchenübergreifend (z.B. WIB Process Control Domain for Vendors [3], INL Procurement Language [4]). Während des Einkaufsprozesses können diese Dokumente vom Einkäufer referenziert werden. Im Umgang mit diesen Anforderungen trennt sich schnell die Spreu vom Weizen: Lieferanten die auf Security bedacht sind, kennen diese Anforderungskataloge und wissen damit umzugehen.
- Forderung nach zertifizierter Robustheit der Netzwerkschnittstellen von Industriekomponenten: Für die Stabilität und Robustheit der Netzwerk-Stacks von Industriekomponenten hat sich am Markt die \’Achilles\‘-Zertifizierung der kanadischen Firma Wurldtech [5] etabliert, die auch im deutschsprachigen Raum angeboten wird [6]. Hierbei werden über eine Netzwerkverbindung Angriffe auf die Netzwerkschnittstelle des Automatisierungsgeräts gesendet, um die Robustheit grundlegender Protokollstackelemente wie ARP, IP, TCP und UDP zu testen. Während der Durchführung des Tests wird die Reaktionszeit des Geräts am Netzwerk gemessen, als auch der ordentliche Ablauf der Automatisierungslogik beobachtet. Um eine Achilles-Zertifizierung erfolgreich zu bestehen, darf weder die Antwortzeit der Netzwerkschnittstellen, noch Automatisierungslogik durch den Netzwerkverkehr signifikant beeinträchtigt werden. Eine öffentliche Liste [7] gibt Auskunft, welche Hersteller die Netzwerkstacks ihrer Industriekomponenten bereits zertifizieren haben lassen.
- Durchführung von Security-Abnahmetests: Am Ende der Inbetriebsetzungsphase sollten neue Systeme bzw. Lösungen von einem unabhängigen Gutachter auf Schwachstellen geprüft werden. Die ordentliche Behebung entdeckter Schwachstellen durch den Hersteller/Integrator sollte fest vereinbart werden.
Je nach Anwendungsfall sind während der Beschaffung von Industriekomponenten eine bzw. mehrere der genannten Methoden bzw. Quellen geeignet, um adäquate Security-Anforderungen aufzustellen und als Betreiber an den Lieferanten weiterzugeben. Nur wenige Hersteller sind heutzutage bereits in der Lage, nahezu alle möglichen Anforderungen vollständig zu erfüllen, an vielen Stellen werden Kompromisse notwendig sein.
Qualitätskriterien definieren
Wie in anderen Bereichen muss auch in der industriellen Cyber Security begonnen werden, Qualitätsmaßstäbe und -kriterien bereits bei der Beschaffung anzulegen. Höherqualitative Industriekomponenten im Sinne der industriellen Cyber Security reduzieren Securityrisiken im laufenden Betrieb, es lohnt daher, ihnen bereits in der Beschaffung entsprechende Beachtung zu schenken. In der nächsten Ausgabe wird vorgestellt, welche Chancen und Risiken Security Assessments und Penetrationstests in Industrieanlagen bergen. n Quellen