Schwachstellen-Management ist für Industrieanlagen Pflicht

Das Schwachstellen-Management ist ein Kernbestandteil für eine hohe Sicherheit in der IT-Welt. Umso unverständlicher ist es, dass Hersteller von Industrieanlagen nur äusserst zögerlich ein effizientes Vulnerability Management implementieren.

Für den zuverlässigen Betrieb von Infrastrukturen hat sich in der IT-Welt das Regelwerk der IT Infrastructure Library, kurz ITIL, etabliert. Zu dessen Themengebieten gehört auch das Change- und Configuration-Management. In der Praxis kombinieren Unternehmen oft ITIL mit der Normenreihe ISO 27000 für den Aufbau und den Betrieb eines ISMS (Information Security Management Systems). Auf dieser Basis betreiben Unternehmen in der IT-Welt auch ein klassisches Patch-Management. In der OT (Operational Technology)-Welt der Industrie- und Produktionsanlagen ist das Schwachstellen-Management dagegen bislang weitgehend unbekannt, es wird nur selten, wenn überhaupt, Software aktualisiert.

Eine Erklärung dafür findet sich in der Art und Weise, wie eine klassische Industrieanlage entsteht. Vereinfacht ausgedrückt beschreiben beispielsweise ein Maschinen- und Anlagenbauer oder ein Automobilzulieferer in einem Dokument die funktionalen Anforderungen (Functional Requirement) an eine Anlage. Auf dieser Basis beschafft das Unternehmen dann die Anlage als Komplettlösung oder lässt sie in Einzelteilen zusammenbauen. Anschliessend installiert der Anlagenbauer die aktuell unterstützte Software, konfiguriert das komplette System und nimmt funktionale Tests vor. Wenn alles wie erwartet läuft, geht die Anlage in Betrieb und wird dann ohne triftige Gründe nicht mehr angepasst.

Das Hauptproblem dabei: Das Thema Sicherheitsforderungen, inklusive Patch-Management-Prozess und Incident-Handling, bleibt aussen vor. Auch Anforderungen aus dem Sicherheitsmanagement sind nicht umgesetzt. Zudem gibt es auch keine Prozesse, um Schwachstellen in der OT-Umgebung zu überwachen und die damit verbundenen Risiken zu bewerten.

Transparenz in der OT-Welt schaffen

In der komplexen Produktionsanlage eines Unternehmens können schnell einige tausend OT-Komponenten verbaut sein, beispielsweise PLCs (Programmable Logic Controller), Sensoren, Aktoren, HMIs (Human Machine Interfaces), Engineering Workstations und Server-basierte SCADA-Systeme. All diese Komponenten zeichnen sich dadurch aus, dass bei der Produktentwicklung die Funktionalität im Mittelpunkt steht. Die Sicherheit, und vor allem mögliche Änderungen der Sicherheitsanforderungen über den gesamten Verlauf des Lebenszyklus (meist mehr als 15 Jahre), bleiben in aller Regel weitgehend aussen vor.

Zum Zeitpunkt der Auslieferung eines Produkts testet der Hersteller das Zusammenspiel der OT-Komponenten für eine bestimmte Konfiguration in der Produktionsumgebung eines Unternehmens; dafür übernimmt er auch die Wartung und Gewährleistung über einen zu bestimmenden Zeitraum. Ändert sich im Zeitverlauf in der Produktionsumgebung eine Steuerkomponente, beispielsweise weil ein einzelnes Bauteil eines Herstellers im Rahmen eines Wartungsvertrags ausgetauscht oder eine Software eines PLC wegen eines Fehlers aktualisiert wird, gestaltet sich die Bewertung der Abhängigkeiten auf all die anderen Bauteile als enorm schwierig: Im Grunde genommen müsste dann sowohl das funktionsmässige Zusammenspiel aller Teile getestet werden – was auch geschieht – als auch die Auswirkungen auf die Sicherheit der neuen Konfiguration im Hinblick auf Sicherheitsschwachstellen; genau dies geschieht aber oft nur sehr oberflächlich, was das Sicherheitsniveau eher reduziert.

Schwachstellen ausfindig machen

Was können Unternehmen tun, um Transparenz über die vorhandene Produktionsanlage herzustellen? Wie lassen sich vorhandene Schwachstellen ausfindig machen? Unterstützt durch einen externen IT-Security-Spezialisten können mit Tools wie SCADAguardian von Nozomi Networks oder mit der Lösung von Claroty passiv in ihrem OT-Netz die eingesetzten Komponenten inclusive Softwareversion, Kommunikationsprotokolle und Kommunikationspartner erkannt werden. Beide Tools arbeiten so, dass sie die regulären Abläufe und die Kommunikation im OT-Netz nicht beeinflussen.

Die Lösung von Nozomi Networks bietet einen guten Einblick in eine breite Palette von ICS (Industrial Control Systems)-, SCADA (Supervisory Control and Data Acquisition)- und anderen Steuerungssystemen, Protokollen und Netzwerken unter Verwendung passiver Überwachungstechniken zur sicheren Untersuchung und Analyse von OT-Netzen. Sie verwendet Echtzeit-Überwachungs- und detailgenaue Analyseverfahren, um Anomalien zu erkennen und Unternehmen schnell auf Sicherheits- und Prozessintegritätsprobleme hinzuweisen. Dies ermöglicht eine Bestandsaufnahme der vorhandenen industriellen Steuerungssysteme und identifiziert Geräte mit Schwachstellen. Darüber hinaus sind für viele PLCs Schwachstellendatenbanken verfügbar, mit denen sich Unternehmen einen sehr guten Überblick über die Gefährdungslage der von ihnen eingesetzten Produkte verschaffen können.

Eine schnell umsetzbare und effiziente Massnahme ist der Einsatz von Endpoint-Protection-Software für Engineering Workstations und SCADA-Server-Systeme. Ziel dabei ist es, die Rechner wirksam vor Malware aller Art und Cyber-Angriffen zu schützen. Die Software überwacht alle auf den Workstations ablaufenden Aktionen und verhindert potenziell gefährliche Situationen. Darüber hinaus lässt sich beispielswiese auch feststellen, ob es im Netzwerkverkehr anormale Ereignisse gibt. Die Herausforderung für eine Gesamtlösung ist nun, dass die SCADA-Softwarehersteller die Wartung und Gewährleistung einschränken, wenn nicht unterstützte Drittsoftware auf den Engineering Workstations und Server Systemen eingesetzt wird. Hier ist ein Umdenken der Hersteller und ein «sauberes» Softwaredesign erforderlich. In der Zwischenzeit ist die Empfehlung, die freigegeben Endpoint-Protection-Lösungen einzusetzen und dies mit dem Hersteller der OT-Anlage abzuklären.

Aber auch die Produzenten von Sensoren und Maschinen müssen aktiv werden. Sie sollten erstens bereits auf dem Markt eingeführte Produkte schrittweise einem regelmässigen Penetrationstest unterziehen. Er stellt kosteneffiziente Verfahren zur Aufdeckung und Analyse von Schwachstellen und Fehlern bereit und liefert Ansatzpunkte zu deren Behebung. Zweitens sollten sie bei der Produktentwicklung nach dem Security-by-Design vorgehen, das heisst, bereits die fachliche Anforderungsanalyse sollte die aktuell mit Geräten verbundenen Sicherheitsrisiken berücksichtigen, aber soweit wie möglich auch solche, die im weiteren Lebenszyklus auftreten könnten. Die IEC 62443 bietet hier eine gute Basis. Eine Zertifizierung der Produkte nach diesem Standard ist auch möglich und sicherlich ein Wettbewerbsvorteil für jeden Hersteller.

Ein wichtiger Ansatzpunkt für mehr Sicherheit ist das Smart Vulnerability Management. Es setzt bei der Bestandsaufnahme der vorhandenen PLCs, Sensoren, Aktoren, Engineering Workstations und SCADA-Systemen an und bewertet, filtert und priorisiert Risiken. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und deren Kommunikationsbeziehungen. Vorbild dafür ist die Konfigurationsdatenbank (Configuration Management Database, CMDB) der IT-Systeme. Eine zentrale Rolle spielt die Risikoabschätzung, da jede Fertigungsumgebung oder Anlage ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse ermittelt werden muss. Darauf bauen dann alle weiteren Massnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie, wie eine strukturierte Planung der weiteren Schritte zur Steigerung der OT-Sicherheit, auf. Gerade bei Bestandsanlagen ist die pauschale Empfehlung, alle Komponenten immer zu aktualisieren, sicherlich zwar wünschenswert, aber praktisch nicht umsetzbar. Die Visibilität in der OT-Umgebung und die Kenntnis der bestehenden Risiken und Vulnerabilities ist hier sicherlich der ausschlaggebende Faktor, um mittels risikobasierter Netzwerksegmentierung, OT-Angriffserkennung, der Erkennung von Veränderungen in der Infrastruktur und kontrolliertem Zugriff auf das Netzwerk auch von extern Massnahmen umzusetzen, die den Betrieb der Anlage nicht stören, aber das Sicherheitslevel spürbar erhöhen. Das eigentliche Patchen von Schwachstellen wird in Zukunft nur mit einem Umdenken der Hersteller bei der Softwareentwicklung für OT-Komponenten erfolgreich umsetzbar sein.

Zum Autor:
Christian Koch ist Director GRC & IoT/OT bei NTT Security.