Suchen

Security Die Cyberangriffe gezielt abwehren

| Autor / Redakteur: Dr. Pierre Kobes / Reinhard Kluger

Sie ist die Norm für die IT-Sicherheit: die IEC 63443. Das Konzept dahinter: Defense-in-Depth als Grundlage für eine erfolgreiche Verteidigungsstrategie. Diese setzt auf einen ganzheitlichen Ansatz zum Schutz von Produktionsanlagen.

Firmen zum Thema

Defense in Depth in der IEC 62443
Defense in Depth in der IEC 62443
(Siemens)

Defense in Depth – dieses wichtige Konzept basiert auf der Erkenntnis, dass beim Schutz der industriellen Anlagen gegen Cyberangriffen die Beteiligung aller Stakeholder erforderlich ist: des Betreibers, des Integrators und des Herstellers. Denn eine Maßnahme, ein Ansatzpunkt allein ist im Allgemein nicht ausreichend, um ein angemessenes Schutzniveau zu erreichen. Es müssen mehrere, untereinander abgestimmte und koordinierte Maßnahmen umgesetzt werden, die jeweils als Verteidigungslinien angesehen werden können.

Personal sensibilisieren

Die „Defense in Depth“-Strategie wird seit langem im militärischen Bereich angewendet, ihre Aspekte werden von den verschiedenen Bestandteilen der Norm IEC 62443 adressiert. Die ersten Verteidigungslinien sind beim Betreiber zu finden. Die Sensibilisierung des Personals für die Gefahren von Cyberangriffen ist dabei ein erster wichtiger Baustein. Als weitere organisatorische Maßnahmen zur IT-Sicherheit nennt die Norm Informationsveranstaltungen, Kompetenzaufbau, klare Prozesse und Organisationsstrukturen. Dazu gehören auch die Zugangskontrolle zu Betriebsräumen, die Prüfung von der Vertrauenswürdigket des Personals und was zu tun ist, wenn eine oder mehrere schützende Maßnahmen überwunden wurden. Weitere Verteidigungslinien können in der Auslegung der Automatisierungslösung gebildet werden, z. B. durch die Segmentierung des Kommunikationsnetzwerks in firewall-geschützte Zellen, den Zugriffsschutz mit Passworten oder das Reduzieren der zulässigen Aktionen des Anwenders auf das für seine Aufgabe minimal Notwendige. Solche Maßnahmen werden in der Regel durch den Integrator umgesetzt.

Bildergalerie

Integrierte Sicherheitsfunktionen

Die inneren Verteidigungslinien werden durch in die Geräte und Komponenten der Automatisierungslösung bzw. des Leitsystems integrierte Sicherheitsfunktionen realisiert. Zum Beispiel werden Virenscanner oder weiße Listen (White Listing) zum Schutz gegen Malware eingesetzt.

Zur Erhöhung der IT-Sicherheit in der Anlage unterstützt Siemens Industriekunden dabei, ein umfassendes Programm über den ganzen Lebenszyklus von Maschinen und Anlagen einzurichten und zu betreiben. Die sichere Auslegung und Integration der Produkte in die Automatisierungslösungen der Kunden wird durch die sog. „Operational Guidelines“ beschrieben. Darüber hinaus bieten die Managed Security Services (MSS) ein formales, dreistufiges Konzept. Zu Beginn erfolgt eine Risiko- und Schwachstellenbewertung der Anlage. Diese Analyse des Ist-Zustandes bezieht sowohl beteiligte Technologien, Menschen als auch Prozesse mit ein. Gemeinsam mit der Aufnahme des Ist-Zustands der installierten Technologie, der Kompetenz des Personals sowie den bereits eingeführten und gelebten Prozessen und Richtlinien bildet diese Risiko- und Schwachstellenanalyse die Grundlage für weitere Schritte. So wird nach der Ist-Aufnahme gemeinsam ein Bedrohungsmodell erarbeitet und das Risiko-Niveau abgeleitet. Am Ende steht dem Kunden eine Risikobewertung der Anlage inklusive einer Roadmap zur Verfügung. Sie zeigt die Maßnahmen auf, mit denen sich die Sicherheitsrisiken auf ein akzeptables Niveau verringern lassen.

Anlagennetz segmentieren

Das grundlegende Prinzip, das Siemens dabei verfolgt, ist der Schutz der Automatisierungsnetze vor unbefugten Zugriffen. Eine wirksame Maßnahme ist die Segmentierung des Anlagennetzes in einzelne geschützte Automatisierungszellen durch Firewalls, wie sie die Scalance S-Familie oder entsprechende Kommunikationsprozessoren (CP) bieten. Bei den Steuerungen der Reihe Simatic S7-1500 übernimmt zum Beispiel der Kommunikationsprozessor CP 1543-1 die Absicherung der SPS gegen Angriffe aus dem Ethernet-basierten LAN. Dabei lassen sich verschiedene Sicherheitsmechanismen kombinieren, wie eine intelligente Firewall, die statusabhängig arbeitet (Stateful Inspection Firewall), Passwortanfrage und Protokolle zur Datenverschlüsselung. Weil der Kommunikationsprozessor ein separates Gerät mit eigener Rechenleistung ist, kann sich die Steuerung auf die Automatisierungsaufgabe konzentrieren, die Security-Funktionalität wird in den CP ausgelagert. Die Systemintegrität wird durch Security-Funktionen unterstützt, die integraler Bestandteil sind. So bieten die Steuerungen Simatic S7-1500 und S7-1200 z. B. Manipulationssicherheit und Zugriffsschutz durch integrierte Security-Funktionen, dazu gehört u. a. ein Passwortschutz gegen unberechtigtes Öffnen von Programmbausteinen mit STEP 7. So ist auch ein Schutz vor unberechtigtem Kopieren von Algorithmen gegeben (Know-how-Schutz). Weitere Maßnahmen: der Schutz vor unautorisierter Vervielfältigung ablauffähiger Programme durch das Binden von einzelnen Bausteinen an die Seriennummer der Speicherkarte oder CPU. Auf www.elektrotechnik.de gibt's unter Suche 43143090 den ganzen Beitrag.

* *Dr. Pierre Kobes, Product und Solution Officer, Standards and Regulations, Siemens

(ID:43194027)