Ingenieure verfolgen Produktprozess im Werk mit Hilfe eines SCADA-Systems und Industrie 4.0

leonidkos / stock.adobe.com

30.03.2023 Fachinformation

Verhinderung von Cyberangriffen auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) erstrecken sich von der Versorgung über Medien und Kultur bis hin zur Gesundheit – und sind für unser tägliches Leben von größter Bedeutung. Vor allem auch deshalb sind sie ein beliebtes Ziel für Angriffe durch Kriminelle.

Ein wichtiger Aspekt beim Schutz sind die SCADA-Systeme. Die internationale Normung zeigt mit den Normenreihen IEC 62443 und IEC 62351 auf, wie kritische Infrastrukturen geschützt werden können.

IEC

Ein Artikel von Mike Mullane

Allzu oft wird Cybersecurity nur mit IT verbunden, wobei hier der Fokus gleichermaßen auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten liegt. Leider funktioniert dieser Ansatz nicht mit Blick auf die cyber-physischen Güter, die unsere moderne Gesellschaft sicher machen und am Laufen halten.

Diese Güter, auch als kritische Infrastruktur bekannt, finden sich in vielen verschiedenen Sektoren wie Energie, Gesundheit, Fertigung und Verkehr.

Das Industrielle Internet der Dinge (IIoT) hat das Wachstum cyber-physischer Systeme, in denen die ehemals getrennten Bereiche IT und Betriebstechnologie (en: operational technology, OT) zusammenlaufen, beschleunigt. An OT angeschlossene Sensoren und Monitore sammeln, analysieren und kommunizieren Daten mit anderen Geräten und Systemen, um die Qualität, Effizienz und Sicherheit zu verbessern.

Dies muss sich in jeder Cybersecurity-Strategie zum Schutz von OT widerspiegeln, da industrielle Umgebungen verschiedene Arten von Risiken meistern müssen. Oberste Priorität hat der Schutz von Mensch und Umwelt. In der cyber-physischen Welt ist alles auf die physische Bewegung und Steuerung von Geräten und Prozessen ausgerichtet, damit Systeme wie vorgesehen funktionieren. So trägt OT bspw. dazu bei, sicherzustellen, dass ein Generator in Betrieb geht, wenn der Strombedarf steigt oder dass sich ein Überströmventil öffnet, wenn ein Chemikalientank voll ist, damit keine gefährlichen Substanzen auslaufen.

In OT-Umgebungen laufen industrielle Automatisierungssysteme (en: industrial automation and control systems, IACS) in einer Schleife, um kontinuierlich zu überprüfen, ob alles korrekt funktioniert. Zu diesen Systemen gehört die SCADA-Technologie (Supervisory Control and Data Acquisition) sowie die Mensch-Maschine-Schnittstellen (HMI), die eine zentrale Rolle bei cyber-physischen Systemen spielen. Aus Sicht der Cybersecurity besteht die Herausforderung darin, dass IACS im Gegensatz zu Geschäftssystemen im Grunde dafür ausgelegt sind, den einfachen Zugriff von anderen Netzwerken aus zu erleichtern. Darüber hinaus haben Cyberangriffe auf IT- und OT-Systeme in der Regel auch unterschiedliche Konsequenzen: Cyberangriffe auf die IT haben fast ausschließlich wirtschaftliche Konsequenzen, wohingegen Cyberangriffe auf kritische Infrastrukturen die Umwelt beeinträchtigen, Geräte beschädigen oder sogar die öffentliche Gesundheit und Leben gefährden können.

KRITIS: Sektoren und Branchen

| DKE

Schutz von SCADA-Systemen

Beim Schutz von SCADA-Systemen, die zur Überwachung von Stromnetzen sowie von Maschinen in industriellen Anlagen verwendet werden, wird häufig auf das Prinzip „Security by Obscurity“ gesetzt, das die tief verwurzelte Einstellung widerspiegelt, dass, da niemand ihre Kommunikationssysteme bzw. Daten kennt bzw. sich dafür interessiert, es nicht nötig ist, diese zu schützen. Allerdings können SCADA-Systeme über weit verbreitete Kommunikationsnetzwerke verfügen, die zunehmend direkt oder indirekt in tausende von Anlagen hineinreichen, was zunehmende Gefahren (sowohl beabsichtigt als auch unbeabsichtigt) für Menschen und Anlagen mit sich bringt. Die Nachbesserung geeigneter und effektiver Sicherheitsmaßnahmen ist für diese SCADA-Systeme daher ziemlich schwierig geworden.

In der IT-Welt stehen beispielsweise Intrusion Detection and Prevention Systems (IDPS) an vorderster Front bei der Abwehr von Schadsoftware. IDPS sind gewöhnlich Softwareanwendungen, die den Datenverkehr im Netz abhören. Je nach Konfiguration reicht die Bandbreite von IDPS von der Meldung von Eindringlingen bis zum Ergreifen von Maßnahmen zur Verhinderung oder Minderung der Auswirkungen eines Eindringlings. Die Herausforderung bei SCADA-Systemen besteht darin, zwischen normalen Daten und Daten, die Schäden verursachen könnten, zu unterscheiden. Wenn der Eindringling gut gemachte Protokollnachrichten verwendet, merkt das IDPS eventuell nicht einmal, dass es sich um einen Eindringling handelt.

Die beste Lösung besteht darin, dass SCADA-Systeme Sicherheitsmaßnahmen bei ihren Kommunikationsprotokollen verwenden. Sicherheit bedeutet nicht notwendigerweise das Verschlüsseln von Nachrichten, aber zumindest das Hinzufügen von Authentifizierung und Autorisierung sowie die Überprüfung der Datenintegrität, während gleichzeitig weiterhin eine Paketüberprüfung der Nachrichten selbst möglich bleiben soll, was IDPS dabei helfen kann, festzustellen, ob unzulässige Daten übermittelt werden.

sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Ich möchte den DKE Newsletter erhalten!

Cyberangriffe auf cyber-physische Systeme

Bereits mehrfach kam es zu Angriffen auf kritische Infrastrukturen. 2014 erlitt beispielsweise ein Stahlwerk in Deutschland schwere Schäden, nachdem sich Hacker über Spear-Phishing, d. h. gezielte E-Mails, die von einer vertrauenswürdigen Quelle zu kommen scheinen und den Empfänger dazu veranlassen, einen mit einem Schadcode versehenen Anhang zu öffnen oder auf einen entsprechenden Link zu klicken, Zugang zu den Steuerungssystemen des Werks verschafft hatten. Die Hacker stahlen Login-Namen und Passwörter, die sie benötigten, um Zugriff auf das Büronetzwerk des Werks zu erhalten, von wo sie dann in sein Produktionssystem gelangten.

Der vermutlich bekannteste Vorfall ereignete sich 2015 in der Ukraine, als Hacker erfolgreich das SCADA-System eines Stromversorgers infiltrierten. Wichtige Leistungsschalter wurden abgeschaltet und das SCADA-System wurde mehr oder weniger unbrauchbar gemacht („Bricking”), was dann einen systemweiten Stromausfall zur Folge hatte. Fast eine Viertelmillion Menschen waren mitten im Winter für bis zu sechs Stunden ohne Strom.

Im Oktober 2019 bestätigten Berichte aus Indien, dass Hacker das größte Kernkraftwerk des Landes in Kudankulam im südlichen Bundesstaat Tamil Nadu infiltriert hatten. Laut der Viren-Scanning-Website VirusTotal war es den Hackern gelungen, mindestens einen Computer mit Schadsoftware zu infizieren, bevor der Eindringversuch entdeckt wurde.

2020 zielten mehrere Cyberangriffe auf israelische Wassersysteme ab, darunter Pumpanlagen, Abwassersysteme und Kläranlagen. Berichten zufolge nutzten Cyberterroristen Schwachstellen in veralteten ICS aus, um sich Zugang zu verschaffen. Glücklicherweise scheiterten die Angriffe dabei, die Wasserversorgung zu unterbrechen, aber es wird angenommen, dass die Hacker versuchten, Chemikalien wie Chlor im Wasser auf ein schädliches Niveau zu erhöhen. Dies sind nur einige wenige Beispiele, aber die klare Botschaft ist, dass mehr getan werden muss, um kritische Infrastrukturen zu schützen.

Entwurfskonzept eines analog-digitalen Kompasses

Sergey Tarasov / stock.adobe.com

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Mehr erfahren

Ein ganzheitlicher Ansatz

Ein IEC Technology Report zu industrieller Cybersecurity empfiehlt die Priorisierung von Resilienz gegenüber anderen eher traditionellen Ansätzen zur Abwehr von Cyberangriffen. Dem Bericht zufolge geht es beim Erreichen von Resilienz hauptsächlich darum, Risiken zu verstehen und zu minimieren, sowie darum, in der Lage zu sein, Sicherheitsvorfälle zu erkennen und sie zu bewältigen, wenn sie eintreten.

Natürlich gibt es keine Möglichkeit, sie vollständig zu verhindern. Selbst konstruktionsbedingt sichere Systeme erfordern eine kontinuierliche und durchgängige Überwachung, auch wenn sie von ihrer Grundkonzeption aus sicherer sind. IEC-Normen zu Cybersecurity betonen die große Relevanz der Anwendung des richtigen Schutzes an den entsprechenden Stellen im System, während gleichzeitig auf die Sicherheit und Zuverlässigkeit von Prozessen zu achten ist.

Es ist wichtig, dass dieser Prozess eng an den Unternehmenszielen ausgerichtet ist, da Entscheidungen darüber, welche Schritte unternommen werden sollen, um die Auswirkungen eines Angriffs zu minimieren, betriebliche Implikationen haben können. „Resilienz ist nicht nur eine technische Sache“, warnt der IEC-Bericht, „sondern muss einen ganzheitlichen Geschäftsansatz umfassen, der Cybersecurity-Maßnahmen mit Systemtechnik und -betrieb kombiniert, um sich auf sich verändernde Bedingungen vorzubereiten und sich an diese anzupassen und um Störungen zu überstehen bzw. sich schnell davon zu erholen“.

Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild

Pugun & Photo Studio / stock.adobe.com

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Mehr erfahren

Internationale Normen

Internationale Normen bieten Lösungen für viele dieser Herausforderungen auf Grundlage globaler Best Practices. IEC 62443 beispielsweise ist darauf ausgelegt, OT-Systeme am Laufen zu halten. Die Norm kann in jeder industriellen Umgebung angewandt werden, inklusive kritischer Infrastrukturen.

Das Industrial-Cybersecurity-Programm des IECEE, dem IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components, prüft und zertifiziert Cybersecurity im Bereich der industriellen Automatisierung. Das IECEE-Konformitätsbewertungssystem beinhaltet ein Programm, das Zertifizierungen nach Normen innerhalb der Normenreihe IEC 62443 ermöglicht.

In einer perfekten Welt wären Kraftwerke und andere kritische Infrastrukturen konstruktionsbedingt sicher („secure by design”). Neben Sicherheitsstandards für wichtige Kommunikationsprotokolle bietet die Normenreihe IEC 62351 Leitlinien zur Einplanung von Sicherheit in Systeme und Abläufe, bevor diese gebaut bzw. entwickelt werden, anstatt Sicherheitsmaßnahmen zu ergreifen, nachdem die Systeme eingeführt wurden. Der Gedanke dahinter ist, dass der Versuch, die Sicherheit nach einem Vorfall zu verbessern, im besten Fall nur eine kurzfristige Lösung ist und im schlechtesten Fall zu spät kommt, um Schaden abzuwenden.

Redaktioneller Hinweis:

Der englischsprachige Originalartikel erschien erstmals auf etech.iec.ch in der Ausgabe 04/2022.
Zu finden unter: https://etech.iec.ch/issue/2022-04/keeping-the-worlds-critical-infrastructure-cyber-secure

Die im Text aufgeführten Normen können Sie nach Veröffentlichung beim VDE VERLAG erwerben.

Zum VDE VERLAG

Interessiert an weiteren Inhalten zu Cybersecurity?

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.

DKE Arbeitsfeld Cybersecurity