Social Engineering und Phishing
Durch meist nicht-technische Handlungen Zugang zu Informationen oder IT-Systemen erlangen.
Schutzmaßnahmen: Security-Awareness-Training, Sicherheitsrichtlinien, Etablieren von Alarmierungswegen, Device Control, Zutrittskontrollen.
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
Wechseldatenträger wie USB-Sticks sind sehr weit verbreitet. Mitarbeiter des Unternehmens verwenden diese häufig sowohl in Office- als auch in ICS-Netzen.
Schutzmaßnahmen: Etablieren strikter organisatorischer Vorgaben und technischer Kontrollen.
Infektion mit Schadsoftware über Internet und Intranet
Unternehmensnetze nutzen Standardkomponenten wie Betriebssysteme, Webserver und Datenbanken. Browser oder E-Mail-Clients sind in der Regel an das Internet angebunden.
Schutzmaßnahmen: Firewalls, VPN, Updates, Überwachung/Monitoring von Logfiles, Beschränkung der im Unternehmen frei verfügbaren Informationen.
Einbruch über Fernwartungszugänge
In ICS-Installationen sind externe Zugänge für Wartungszwecke weit verbreitet. Häufig existieren dabei zum Beispiel Default-Zugänge mit Standardpasswörtern oder sogar fest kodierten Passwörtern.
Schutzmaßnahmen: Standardnutzer/-passwörter löschen, SSL/TLS-Verschlüsselung, Pre-Shared-Keys, Zertifikate, granulare Segmentierung der Netze, Firewall, Freischaltung von Fernzugängen durch internes Personal, Protokollierung von Fernzugriffen, Zugänge personalisieren, Audits.
Menschliches Fehlverhalten und Sabotage
Das im Umfeld eines ICS tätige Personal nimmt eine besondere Stellung bez. der Sicherheit ein.
Schutzmaßnahmen: Etablieren des „Need-to-know“-Prinzips, Policies, automatische Überwachung von Systemzuständen und -konfigurationen.
Internet-verbundene Steuerungskomponenten
Oftmals werden ICS-Komponenten wie speicherprogrammierbare Steuerungen direkt mit dem Internet verbunden.
Schutzmaßnahmen: Keine direkte Verbindung von Steuerungskomponenten mit dem Internet, Standardpasswörter ändern, Firewall, Patches.
Technisches Fehlverhalten und höhere Gewalt
Software-Fehler in sicherheitsspezifischen Komponenten und ICS-Komponenten, die zu unvorhergesehenem Fehlverhalten führen können, lassen sich ebenso wenig ausschließen wie mögliche Hardwaredefekte und Netzwerkausfälle.
Schutzmaßnahmen: Aufbau eines Notfallmanagements, Tausch- oder Ersatzgeräte, Test- und Staging-Systeme, Nutzung von standardisierten Schnittstellen, redundante Auslegung, Zulieferer prüfen.
Kompromittierung von Extranet und Cloud-Komponenten
Der in der konventionellen IT verbreitete Trend zum Outsourcing von IT-Komponenten hält mittlerweile auch in ICS Einzug.
Schutzmaßnahmen: Service Level Agreement, zertifizierte Anbieter wählen, private Cloud-Nutzung, kryptografische Mechanismen, VPN.
(D)DoS-Angriff
Die Kommunikation zwischen den Komponenten eines ICS kann sowohl über drahtgebundene als auch über drahtlose Verbindungen erfolgen. Werden diese Verbindungen gestört, können beispielsweise Mess- und Steuerdaten nicht mehr übertragen werden. Beispiel: Überlastung einer Komponente durch eine sehr hohe Anzahl von Anfragen, sodass keine fristgerechte Antwort mehr ausgeliefert werden kann.
Schutzmaßnahmen: Härtung von Netzzugängen, Nutzung dedizierter und kabelgebundener Verbindungen für kritische Funktionen, Intrusion-Detection-Systeme (IDS) zur Detektion von Angriffen, redundante Anbindung unter Verwendung unterschiedlicher Protokolle.
Kompromittierung von Smartphones im Produktionsumfeld
Die Anzeige sowie die Veränderung von Betriebs- oder Produktionsparametern auf einem Smartphone oder Tablet wird bei immer mehr ICS-Komponenten als zusätzliche Produkteigenschaft beworben und eingesetzt.
Schutzmaßnahmen: Nur lesenden Zugriff, Mobile Device Management, VPN, zertifizierte App-Stores, keine Verwendung von Apps zum direkten Zugriff auf ICS.
