Ungeschützte SPSen Suchmaschine für Angriffsziele in der Industrie

Dr. rer. nat. Christoph Moder von Genua

Bild: Genua
21.09.2015

30 000 SPS sind ungeschützt mit dem Internet verbunden. Ein Forschungsprojekt kann der Industrie bei solchen Sicherheitslücken helfen.

A&D:

Was ist RiskViz?

Christoph Moder:

Beim Forschungsprojekt Risikolagebild der industriellen IT-Sicherheit in Deutschland (RiskViz) geht es um die Sicherheit von industriellen Steuerungssystemen (ICS). Die zunehmende Digitalisierung und Vernetzung in der Industrie spart Kosten und eröffnet neue Möglichkeiten – schafft aber gerade bei kritischer Infrastruktur neue Angriffsziele mit hohem volkswirtschaftlichen Schaden. RiskViz soll eine Suchmaschine entwickeln, die ICS auf Sicherheitslücken abklopft.

Was ist der Unterschied zu Suchmaschinen wie Google oder Shodan?

Anders als bei Google geht es nicht um Webseiten, sondern um industrielle Steuerungssysteme. Und Shodan kann zwar nach online erreichbaren ICS suchen, ist aber eine undokumentierte black box. Um die Sicherheit beurteilen zu können, muss man jedoch verstehen, wie die Suchergebnisse zustande kommen. Genau das soll RiskViz erreichen: eine seriöse Einschätzung der Gefährdung. Zudem ist die Suche nach Sicherheitslücken eine rechtliche Grauzone – RiskViz soll diese äußere Suche in einer rechtlich einwandfreien Weise implementieren.

Wie kann man von außen beurteilen, ob ein industrielles Steuerungssystem gefährdet ist?

Schwierig – deshalb soll RiskViz zusätzlich eine innere Suche implementieren, die bei ausgewählten Partnern die ICS von innen aus untersucht. Das ist natürlich heikel: Niemand möchte durch eine Sicherheitsanalyse eine Störung oder einen Schaden riskieren, oder ein Einfallstor für Viren und anderen Schadcode schaffen. Hier kommt das Know-How von Genua ins Spiel. Mit unserer Erfahrung in der Absicherung kritischer Software möchten wir die innere Suche auf sichere Beine stellen.

Wie profitiert die Industrie von RiskViz?

RiskViz soll Informationen liefern, wo es gefährdete Industrieanlagen gibt (äußere Suche) sowie ein Setup erstellen, mit dem auch innerhalb von ICS-Netzen sicher und vertrauenswürdig nach Sicherheitslücken gesucht werden kann (innere Suche). Außerdem soll es ein Bewusstsein schaffen, indem die Informationen visualisiert und zum Beispiel mit Wirtschafts- und Branchendaten verknüpft werden. Damit können Entscheidungsträger gewarnt werden und Argumentationshilfen für Investition in Sicherheit bekommen. Bisher war der Fokus oft einseitig auf die Zuverlässigkeit von Industrieanlagen ausgerichtet. Aber Sicherheit ist kein Luxus, sondern eine Notwendigkeit. Nicht zuletzt sollen Versicherungen das Schadenspotenzials besser einschätzen können. Potenziell existenzgefährdende Cyber-Risiken sind heute oft nicht versicherbar – stattdessen herrscht das Prinzip Hoffnung. Eine Gefährdungsanalyse kann helfen, gezielte Gegenmaßnahmen zu treffen und das Restrisiko angemessen zu versichern.

Firmen zu diesem Artikel
Verwandte Artikel