Management und Wissen, Sicherheit industrieller Netze

Tiefenwirkung

Defense in Depth – eine Strategie auch für Industrie 4.0

Defense in Depth ist eine erfolgreiche Strategie der Informationssicherheit und auch für industrielle Automations- und Steuerungs-Systeme (IACS) sowie Cyber-Physical Systems (CPS) anwendbar. Für dieses Umfeld ist mit ISA/IEC 62443 ein umfassendes Standardwerk [2] in Arbeit – der vorliegende Beitrag gibt einen ersten Überblick.

Von Marco Kupilas, Berlin

Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems – IACS) sind einer steigenden Anzahl von Angriffen ausgesetzt, von denen sowohl Hersteller als auch Unternehmen betroffen sind, die IACS in der Produktion oder als reine Anlagenbetreiber einsetzen. Da für Deutschland hierzu keine öffentlich zugänglichen Zahlen existieren, sei ein Blick in die USA gestattet, wo das ICS-CERT regelmäßig Berichte zur Sicherheitslage in diesem Bereich veröffentlicht [1]: 2013 wurden demnach 257 Sicherheitszwischenfälle (2012: 197 Zwischenfälle) gemeldet, von denen über 56 % auf den Energiesektor und 15 % auf produzierende Industriebereiche entfielen – die übrigen Anteile verteilen sich gleichmäßig auf andere Sektoren aus dem Bereich der kritischen Infrastruktur.

Abgesehen von einer sicherlich nur eingeschränkten Übertragbarkeit der Zahlen auf Deutschland sind die dort aufgeführten Top-Bedrohungen jedoch durchaus als international beachtenswert und bedeutend anzusehen:

  • nicht-autorisierter Zugriff auf und Nutzung von IACS über deren direkte Internetanbindung,
  • Malware-Infektionen innerhalb von "air-gapped" IACS-Netzwerken (ohne direkte Internetanbindung),
  • SQL-Injection und Anwendungsschwachstellen,
  • unerwünschte Querverbindungen ("Lateral Movements") zwischen Netzwerkzonen,
  • gezielte Spear-Phishing-Kampagnen sowie
  • so genannte "Watering Hole"-Angriffe auf einschlägige Websites inklusive der Ausnutzung von Zero-Day-Schwachstellen.

Es zeigt sich, dass Angriffe in diesem Umfeld häufig gezielt und vermehrt auf einzelne Unternehmen erfolgen, die Angriffsarten wesentliche Merkmale von Advanced Persistent Threats (APTs) tragen und die vermeintliche Sicherheit von Anlagen in Netzwerkzonen ohne Internetanbindung (mit "Air Gaps") extrem trügerisch ist.

Geschäftsführer und Vorstände stellen sich die Frage, was ein Unternehmen all dem an IT-Sicherheitsmaßnahmen entgegensetzen kann – Maßnahmen, deren grundlegende Prinzipien sich bewährt haben, allgemein anerkannt sind und sich noch dazu an den eigenen Abläufen in der Produktion orientieren. Und auf diese Frage erwarten nicht wenige eine Antwort von ihrem CISO. Als Antwort drängt sich eine Strategie auf: Defense in Depth.

Abbildung 1: Beispielhafte Darstellung von "Defense in Depth"-Ringen in Anlehnung an das OSI-Modell (nach ISA Beyond Defense in Depth)

Die Strategie

"Defense in Depth" oder auch "Layered Defense" wird auch in der Informationssicherheit aus wesentlichen Teilen einer Militärstrategie abgeleitet. Dieser Strategie folgend sollen es gestaffelte Verteidigungslinien einem Gegner unmöglich machen oder zumindest erheblich erschweren, das Ziel eines Angriffs zu erreichen. Für die Informationssicherheit heißt das: Durch aufeinander abgestimmte und sich ergänzende Sicherheitsmaßnahmen, die vorzugsweise in mehreren Ebenen ansetzen, sollen Angriffe auf ein zu schützendes Asset erkannt, abgewehrt oder wenigstens erheblich erschwert werden – das zu schützende Asset ist dabei zunächst unbestimmt. In der Fachliteratur hat sich hierbei die Darstellung der Ebenen von Sicherheitsmaßnahmen in Form von Ringen weitestgehend durchgesetzt (vg. Abb. 1).

Defense in Depth darf man jedoch nicht losgelöst und für sich allein betrachten. Auch diese Strategie ist vielmehr nur im Zusammenhang mit anderen Konzepten erfolgreich und benötigt:

  • einen Sicherheits-Kontext als Ausgangsbasis,
  • die Sicherheits-Ziele Vertraulichkeit, Integrität und Verfügbarkeit,
  • die Umsetzung des "Least-Privilege"-Prinzips für Nutzer und Applikationen sowie
  • ein Threat-Risk-Assessment zur Bestimmung der Risiken und geeigneten Sicherheitsmaßnahmen für Assets.

Der Einsatz

Natürlich lässt sich Defense in Depth (DiD) auch in der Office-IT umsetzen: Dort steht als zu schützendes Asset die Information im Mittelpunkt. Die DiD-Ebenen (oder auch -Schichten) beziehen sich dann auf Anwendungen, IT-Systeme, Netzwerke, Infrastuktur und übergeordnete Aspekte – der BSI-Grundschutz lässt grüßen. Auch die Anwendung auf ein einzelnes IT-System ist denkbar und wird zum Beispiel in einem Beitrag von Microsoft TechNet für Windows Server 2008 beschrieben [3].

Anders sieht es bei IACS aus: Im Gegensatz zur Office-IT hat hier die Verfügbarkeit der Produktionsanlagen höchste Priorität. Daher werden die maßgeblichen Ebenen des Defense in Depth vor allem durch Anforderungen an die Anlagen- und Netzwerksicherheit sowie die Systemintegrität bestimmt.

Wie eine Defense-in-Depth-Strategie auf gesicherter Basis für industrielle Systeme umgesetzt werden kann, beschreibt der in Entwicklung befindliche ISA 62443 – "Security for Industrial Automation and Control Systems" [2]. Der aus dreizehn Einzeldokumenten bestehende Standard wird zurzeit durch eine Working-Group der "International Society of Automation" (ISA, [externer Link] www.isa.org/isa99) bearbeitet und soll voraussichtlich noch 2014 in der finalen Version zur Verfügung stehen. Einige schon vorliegende Teile wurden bereits von der "International Electrotechnical Commission" (IEC) in der Reihe IEC 62443 "Industrial communication networks – Network and system security" übernommen. Es wird außerdem erwartet, dass sich der Standard unter der Nummer 27020 in die ISO-2700x-Serie einreiht.

Der Standard

Mit Blick auf eine DiD-Strategie ist besonders die Einführung von Sicherheitszonen und der Übergang (Conduit) zwischen diesen Zonen ein wesentliches Merkmal des Standards. Dabei werden alle logischen und physischen Assets, die gemeinsame Sicherheitsanforderungen aufweisen, in einer Zone zusammengefasst (z. B. Controller-Zone) – jedwede Kommunikation zwischen Zonen darf nur über definierte Conduits erfolgen. Typische Zonen und ihre Elemente sind:

  • die Produktionsführung (ERP),
  • die Betriebsführung (Engineering, MES),
  • die eigentliche Prozessführung (EWS), die eine weitere Zone auf Ebene der Feld-Infrastruktur enthalten kann,
  • die Safety-Zone (SIS-Controller) und
  • die externe Zone (Remote-Operations, Business-Partners).

Dabei ist es empfehlenswert, alle oder einzelne Zonen weiter zu segmentieren, beispielsweise beim Betreiben mehrerer Produktionslinien.

Aufgabe der jeweiligen Conduits ist es, den Zugang zu einer anderen Zone zu regeln und durch geeignete Sicherheitsmaßnahmen zu schützen. Je nach Art der Bedrohungen und daraus entstehenden Risiken für die Zielzone können das zum Beispiel Maßnahmen zur Abwehr von Denial-of-Service-(DoS)-Attacken oder der Schutz der Integrität und Vertraulichkeit des Netzwerkverkehrs sein.

Das Maß der zu erreichenden Sicherheit innerhalb der einzelnen Zonen wird in Anlehnung an die Safety in vier Security-Level unterteilt. Für jede Zone sind grundsätzliche Sicherheitsanforderungen (Foundational Requirements – FR) zu erfüllen, konkret:

  • Identification and Authentication Control (IAC),
  • Use Control (UC),
  • System Integrity (SI),
  • Data Confidentiality (DC),
  • Restricted Data Flow (RDF),
  • Timely Responses to Events (TRE) sowie
  • Resource Availability (RA).

Das innerhalb eines Risk-Assessments ermittelte Security-Level bestimmt dann für jede dieser Anforderungen (FR) die eigentlichen technischen Systemanforderungen (System Requirements – SR). Als ein Beispiel für das höchste Security-Level 4 und die FR IAC sei etwa nach ISA/IEC 62443 Teil 3-3 die Anforderung genannt, dass zur Nutzeridentifikation und Authentifizierung eine Multi-Faktor-Authentifizierung erforderlich ist (SR 1.1 RE (3)).

In der Praxis ist eine konsequente Umsetzung des Standards naturgemäß dann am leichtesten, wenn sich Produktionsanlagen noch in einer frühen Phase der Planung (Design) befinden: Hier lassen sich die spätere Netzwerkarchitektur und die mit den notwendigen Sicherheitsmaßnahmen verbundenen Kosten noch weitreichend beeinflussen. In bestehenden Strukturen sind die Maßnahmen innerhalb einer Zone nur schwierig umzusetzen – so sind etwa die für eine Wartung von Produktionsanlagen (Maintenance) geplanten Zeiten dafür in der Regel kaum ausreichend. Sicherheitsmaßnahmen für Conduits lassen sich jedoch meist noch mit vergleichsweise überschaubarem Aufwand umsetzen.

Die rein technischen Sicherheitsmaßnahmen müssen auch für IACS Teil eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS) sein: Teil 2-1 des Standards beschreibt die dazu notwendigen Bestandteile, während ISA/IEC 62443-2-2 die Implementierung des ISMS ausführt.

Neben einer durchgängigen Behandlung der IACS-Sicherheit im Kontext Cyber-Security sowie der Umsetzung einer Defense-in-Depth-Strategie betont der Standard zudem auch die Bedeutung des immer wichtiger werdenden Zusammenspiels zwischen Herstellern, Integratoren und Betreibern von Automatisierungs- und Steuerungssystemen.

Zusätzlich wird deutlich, dass auch CSO und CISO zu einer engen Zusammenarbeit finden müssen. Doch auch anderen Verantwortlichen für die Produkt- und Produktionsentwicklung wird die Verpflichtung auferlegt, die Sicherheitsziele zu unterstützen – gerade mit Ausblick auf neue Technologie im Zusammenhang mit der "Industrie 4.0" ist das zwingend erforderlich.

Neue Herausforderungen

Der Grundstein für Industrie 4.0 sind so genannte Cyber-Physical Systems (CPS): Sie sind fähig, ihre Umwelt über Sensoren zu erfassen, diese Informationen zu verarbeiten und mit Aktoren ihrer Programmierung entsprechend zu reagieren. Sind sie Teil eines Produktes, teilen sie Maschinen ihren Bearbeitungsbedarf mit, speichern die Informationen über alle durchlaufenen Produktionsschritte und vieles mehr. Anders als ortsfeste Produktionsanlagen sind CPS ortsunabhängig und kommunizieren mit dem Internet der Dinge und Dienste. Allein diese wenigen ausgewählten Merkmale eines CPS bringen weitere und teilweise neue Bedrohungen und Risiken mit sich. Neben der bisher als vorrangig angenommenen Verfügbarkeit der Systeme in der Produktion erhält damit auch die Vertraulichkeit der in einem CPS gespeicherten Informationen mehr Bedeutung: So muss etwa ein Schutz vor Wirtschaftsspionage gewährleistet werden.

Innerhalb der gesicherten Umgebung des produzierenden Unternehmens können die Sicherheitsmaßnahmen durchaus hierauf ausgerichtet werden. Aber spätestens, wenn ein fertiges Produkt an den Endverbraucher ausgeliefert wird, ist keine Einflussnahme mehr möglich, da es dann in einer offenen und per se unsicheren Umgebung agiert. Doch selbst dann ist eine Defense-in-Depth-Strategie noch in der Lage, für die notwendige Informationssicherheit zu sorgen, sofern deren Ebenen unterschiedlicher Verteidigungslevel das CPS als eigene Zone behandeln.

Fazit

Defense in Depth ist auch zum Schutz von Automatisierungs- und Steuerungssystemen eine erprobte und durch Standards unterstützte Strategie. Dabei ist der Erfolg dieser Strategie heute mehr denn je von der Zusammenarbeit von CIO, CISO und CSO abhängig, die in jeder Phase des Product-Lifecycle-Managements erforderlich ist. Und spätestens mit der Managemententscheidung zum Einsatz neuer Verfahren im Umfeld von "Industrie 4.0" ist eine umfassende Berücksichtigung von Cyber-Security-Fragen auch in diesem Umfeld unumgänglich.

Marco Kupilas ist bei der Steria Mummert Consulting GmbH als Senior Consultant für den Themenbereich Industrial-IT-Security zuständig.

Literatur

<dl>

[1]

 

Homeland Security, Industrial Control Systems Cyber Emergency Response Team, ICS-CERT Year in Review, 2014, [externer Link] http://ics-cert.us-cert.gov/ICS-CERT-Year-Review-2013

 

[2]

 

The International Society of Automation (ISA), ISA 99 Committee, Work Product List, [externer Link] http://isa99.isa.org/ISA99%20Wiki/WP_List.aspx

 

[3]

 

Jay Paloma, Windows Server 2008 in an Organization's Defense in Depth Strategy, Microsoft TechNet, December 2007, [externer Link] http://technet.microsoft.com/en-us/library/cc512681.aspx

 

[4]

 

Dr. Gerald Spiegel, Michael Krammel, ISO 27001 für SCADA, Integration der industriellen Leittechnik mit dem Informationssicherheits-Management, <kes> 2011#5, S. 90

 

[5]

 

Christian Gresser, Stefan Kubik, IT-Sicherheit für Leittechnik, <kes> 2006#1, S. 76

 

[6]

 

Francesca Saglietti, Sicher ist sicher, Einheitliche Betrachtung von Funktions- und Informationssicherheit, <kes> 2006#4, S. 47

</dl>