•  

Cyber-Angriffe: Gefahren erkennen und Systeme effektiv schützen

KAS-44 bietet Leitsätze für den Schutz von industriellen Anlagen + Früher endete für Unternehmen der Schutz vor unbefugtem Zutritt sprichwörtlich am Werktor. Doch zu physischen Bedrohungen kommt in Zeiten der Digitalisierung weitere Gefahren hinzu: ortsunabhängige Cyberangriffe, die von überall auf der Welt lanciert werden können. Gerade für Unternehmen, die unter die Störfallverordnung fallen, ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) weiß um diese neue Dimension und hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Allerdings können daraus resultierende Anforderungen zur Umsetzung Unternehmen vor große Herausforderungen stellen. Bei der Implementierung geeigneter und effizienter Maßnahmen können Unternehmen jedoch auf Hilfe bauen.

Standen beim Leitfaden der KAS gegen Eingriffe Unbefugter aus dem Jahr 2002 noch phys-sche Gefahren und Barrieren für technische Anlagen im Fokus, hat die Kommission diesen inzwischen überholten Sicherheitsbegriff deutlich erweitert. Das Merkblatt KAS-44 vom November 2017 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen.

Ob Chemiewerke mit mehreren Produktionsstätten, Biogasanlagen oder Lager von großen Mengen gefährlicher Stoffe: Sie alle sind von der KAS-44 direkt betroffen. Industrielle Produktionsanlagen erfordern einen besonderen Schutz und stellen deswegen spezielle Anforderungen an die IT-Sicherheit. Denn Betriebe werden im Zuge der Digitalisierung zunehmend vernetzt, etwa mit autonomen Produktionsanlagen, digitalisierten Prozessen oder Fernwartung. Diese Systeme stellen potenzielle Angriffspunkte dar. Hat dann ein Hacker Erfolg, kann er den gesamten Betrieb lahmlegen – mit schwerwiegenden Folgen.  

Die IT-Sicherheit muss neu gedacht werden

Die KAS-44 beinhaltet Leitsätze, keine Vorschriften. Diese sollen ein Bewusstsein für die Bedrohungen schaffen und Unternehmen auf potenzielle Sicherheitslücken hinweisen. Vor allem das Management soll sensibilisiert werden. Während sich Großkonzerne zumeist über die Gefahrenlage im Klaren sind, fehlt gerade in mittelständischen Unternehmen die Awareness. Doch gerade für diese Firmen kann das Eindringen eines Hackers nicht nur einen enormen Reputationsschaden darstellen. Sondern ein erfolgreicher Angriff kann schnell zu einem businesskritischen Faktor werden.

Und das Gefahrenpotenzial steigt: Es muss nicht nur mit Attacken aus jeder Richtung gerechnet werden. Die gesamte IT eines Unternehmens wird zur Angriffsoberfläche: Äußere Parameter, normale Unternehmens-Firewalls oder andere IT-Schutzmechaniken. Auch Schnittstellen stehen oft im Visier von Hackern.

Die Aufgabenstellung für Unternehmen lautet daher, die IT-Sicherheit komplett neu zu überdenken. Der Fokus auf autonome Anlagen und Prozesse der Industrie 4.0 allein reicht nicht. Stattdessen müssen die optimalen Sicherheitsmaßnahmen definiert und im gesamten Unternehmen angewendet werden, da ansonsten die Schnittstellenproblematik erhalten bleibt.

Was die Anforderungen für Firewalls und Perimetersicherheit angeht, gab es bisher wenige regulatorische Verfahren. Unternehmen oder Organisationen, die zu den kritischen Infrastrukturen gehören, wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ISMS (Information Security Management System) empfohlen. Doch gerade solche Betriebe, die unter die Störfallverordnung fallen, benötigen heute sogar ein erweitertes ISMS.

In der Realität sind viele Unternehmen dagegen mit der Basis-IT-Sicherheit beschäftigt und haben Maßnahmen, die der aktuellen Bedrohungslage angemessen sind, noch gar nicht ins Auge gefasst.

Vorgehen und Tools eines KAS-44-konformen Risikomanagements

Ein KAS-44-konformes Risikomanagement besteht aus Identifizierung, Analyse und Bewertung. Als einer der ersten Schritte gilt es, den Status Quo zu ermitteln: die Erfassung aller relevan-ten IT-Assets und der Netzwerkarchitektur des Unternehmens. Die KAS-44 empfiehlt ein Asset Register mit allen für die Sicherheit relevanten Komponenten. Doch die dafür benötigten Standardtools sind bei vielen Unternehmen nicht im Einsatz oder erfassen nicht segmentübergreifend alle Assets. Dabei unterstützt eine externe Beratung.

Sie analysiert die Basis-Dokumentation im Unternehmen und macht sich ein objektives Bild der Lage. Tools helfen, im Netzwerk Angriffsflächen herauszufinden. Dem schließt sich eine Gefährdungsanalyse, die Ermittlung des Schutzbedarfs und eine Gap-Analyse an. Daraus wird schließlich der anzustrebende Sicherheitsstandard festgelegt.

Danach wird das Risikomanagement analysiert, die Vollständigkeit geprüft und die Risiken bewertet. Im weiteren Vorgehen folgen Attacken auf die IT-Strukturen unter Einsatz entsprechender Tools wie einer Angriffssimulation. Das Ergebnis ist eine Maßnahmen-Liste, um die Sicherheit der Infrastruktur zu optimieren.

Für das Unternehmen kann das schmerzhafte Eingriffe bedeuten, da gewachsene Strukturen verändert, Standards neu gedacht werden müssen und bequeme Abläufe, etwa der Remotezugriff von diversen Devices, unter Umständen nicht mehr ohne erweiterte Sicherheitsmaßnahmen möglich sein werden.

Cyber-Angriffen vorbeugen

Eines der größten Probleme bei der Prävention von Cyber-Angriffen ist es zu erkennen, dass man unter Beschuss steht oder die Infrastruktur eventuell bereits korrumpiert ist. Dafür benötigt man ein Incident Management, die konsistente Aufzeichnung der Vorfälle, als Teil des ISMS. Die Herausforderung besteht darin, Sensoren an den richtigen Stellen zu positionieren und die wichtigen von den unwichtigen Meldungen zu separieren. Wie bei einem IPS/IDS-System (Intrusion Detection und Intrusion Prevention) laufen hier so viele Daten auf, dass in den meisten Fällen gängiges Know-how nicht ausreicht, um sie zu filtern. Deswegen ist ein SIEM (Security Information and Event Management) notwendig: Darüber können alle relevanten Daten aus Security-Instanzen geordnet, gesammelt und mit Zeitstempel versehen ausgewertet werden. Damit können aus Ereignissen, die für sich genommen nicht kritisch erscheinen, aber in Kombination mit anderen kumulierten Prozessen und Veränderungen, Angriffsmuster erfasst, ausgewertet und entschärft werden.

Wichtig ist außerdem, von Anfang an Szenarien zu antizipieren und Prozesse vorbereitet zu haben, die im Worst Case eingesetzt werden können: eine Art Cyber-Notfall-Kit. Ein Unternehmen sollte zudem in der Lage sein, zu entscheiden, ob es bei einem Angriff weiter online bleibt oder offline geht und eine Betriebsunterbrechung in Kauf nimmt. Hat ein Unternehmen zu wenig Erfahrung im Umgang mit Angriffen, wird es die Systeme lieber komplett abschalten und die damit verbundenen Ausfälle im Hinblick auf Verfügbarkeit in Kauf nehmen.

Dann muss das Ziel sein, schnell wieder auf einer sauberen Grundlage online zu gehen, ohne die Infrastruktur zu gefährden. Dafür ist ein nicht korrumpierter Zugang nach außen notwendig. Hier ist eine vorbereitete Konfiguration sinnvoll, die schlicht aus einem Router, einer SIM-Karte mit LTE-Volumen und einer Handvoll Tools auf einem USB-Stick bestehen kann, um die Infrastruktur wieder online zu bringen.

Unternehmen brauchen eine gute Sourcing-Strategie

Für Unternehmen stellen diese Sicherheitsmaßnahmen hohe Hürden dar: Sie installieren teure und aufwändige Technologien, müssen Prozesse aufsetzen, die bis zur Automatisierung viel Manpower verschlingen und sind dann oft immer noch nicht in der Lage, Bedrohungen realistisch einzuschätzen. Um den Anforderungen gerecht zu werden, brauchen Unternehmen deswegen eine gute Sourcing-Strategie und Klarheit darüber, was sie inhouse selbst übernehmen und welche Tasks sie outsourcen wollen. Das Incident Management ist zum Beispiel oft so aufwändig, dass es – wenigstens teilweise – empfehlenswert ist, es extern zu vergeben. Da Scheuklappendenken und Betriebsblindheit oft stark verbreitet sind, ist es wichtig, eng mit einem Dienstleister zusammenzuarbeiten, der sich eine breite Expertise und Erfahrung vorweisen kann. Hier ist die Kombination verschiedener Kenntnisse gefragt: Zum einen fundiertes Know-how zur Anlagensicherheit, zum anderen tiefes Verständnis für aktuelle Cyber-Bedrohungen.

Darüber hinaus müssen Dienstleister mit den entsprechenden Berechtigungen ausgestattet sein. Denn Störfälle beschränken sich nicht auf IoT-Anwendungen, sondern umfassen auch das OT-Umfeld. Zur Sourcing-Strategie gehört deshalb ein Service Level Agreement (SSA). Unternehmen brauchen die juristische wie technische Expertise für den Fall, dass der Dienstleister nicht in der Lage ist, zu leisten. Gerade im Cyber-Bereich kommt es häufig zu Kumulschäden, die breitflächig auftreten. Das ist dann der Fall, wenn eine Vielzahl von Infrastrukturen von ein und demselben Cyber-Angriff betroffen ist. So kann es passieren, dass der Dienstleister verschiedene Kunden hat, die alle von einem Schaden betroffen sind, womit auch ein großes Haus überlastet ist.

Ausblick

Um die Empfehlungen der KAS-44 umzusetzen, bietet sich eine externe Beratung für Unternehmen an – gerade für jene, die mit den Maßnahmen der IT-Sicherheit noch am Anfang stehen und auch nicht über die personellen Ressourcen verfügen, um dieser Aufgabe gerecht zu werden. Externe Anbieter können Schwachstellen schnell ausmachen und bei den umfänglichen Aufgaben wie der Erstellung von Asset Register, dem Risiko- und Incident Management sowie der Erkennung von Security-Vorfällen zur Seite stehen und die Sicherheit der IT-Anlagen systematisch verbessern. Unternehmen erhöhen damit ihre Produktionssicherheit und minimieren ihr Ausfallrisiko. So hilft externes Know-how aus Anlagen- und Cyber-Sicherheit dabei, gleichzeitig Kosten und Zeit zu sparen und die Wirtschaftlichkeit zu verbessern.

Autorien: Nadja Müller, IT-Journalistin für Wordfinder, Jürgen Bruder, CSO/Leiter Cyber- & Informationssi-cherheit, TÜV Hessen

www.tuev-hessen.de

Autor: Nadja Müller

Diesen Artikel empfehlen