Einzelmaßnahmen für mehr Sicherheit
Die größten Schwachstellen vor Ort in der Anlage sind in diesem Beispiel die USB-Steckverbindung und der PC, der für Servicezwecke mit dieser Schnittstelle verbunden wird. So wächst laut Honeywell USB Threat Report 2024 die Anzahl der speziell für Cyberattacken über USB-Schnittstellen entwickelten Malware-Varianten von Jahr zu Jahr. Konzeptionell lässt sich die fehlende Authentifizierung des Mitarbeiters gegenüber der Anlage (also der Steuerungstechnik im Schaltschrank) als gravierende Schwachstelle einstufen. Die Fernzugriffskommunikation wird vermutlich TLS-gesichert erfolgen und lässt sich daher im Rahmen einer Bedrohungsanalyse als ausreichend sicher bewerten. Problematisch wäre es allerdings, wenn über diese TLS-Verbindung eine Software-Update-Datei vom PC des Fernwartungsexperten in eine Steuerung im Schaltschrank heruntergeladen wird und im Zielpunkt (also innerhalb des Schaltschranks) weder die Authentizität noch die Integrität des Updates geprüft werden.
Cybersecurity-Schwachstellen, die im Rahmen von NIS-2-Risikoanalysen identifiziert wurden, lassen sich in der Regel durch entsprechende Umrüstmaßnahmen abstellen. In dem Beispiel könnte ein direkt in den Schaltschrank integriertes OT/IT-Gateway mit 4G-Mobilfunkschnittstelle und internem kryptografischem Sicherheits-Chip die USB-Schnittstelle in der Schaltschrankwand sowie die Kabelverbindung zum Service-PC ersetzen. Softwareseitig wird eine PKI-basierte OT Device-Authentifizierung mit einem Rendezvous-Server im Internet hinzugefügt. Ist eine Förderanlagen-Fernwartung erforderlich, autorisiert der Betreiber per NFC-Tag oder App den Verbindungsaufbau des 4G-Schaltschrank-Gateways zum Rendezvous-Server. Anschließend kann der Fernwartungsexperte nach einer zweifachen Identitätsauthentifizierung über das OT/IT-Gateway auf die Anlage zugreifen, um wie gewohnt die Wartungsarbeiten auszuführen. Die PKI-Elemente lassen sich darüber hinaus für sichere Software-Updates der Automatisierungstechnik im Schaltschrank nutzen. Jedes Update erhält dabei vom Autor eine digitale Signatur, die im Gateway als PKI-Endpunkt zur Gewährleistung einer Ende-zu-Ende-Authentizität bzw. -Integrität verifiziert wird.
