Angst vor den Maschinen im Raum? Gar nicht so abwegig: Die Schadprogramme WannaCry, NotPetya und Industroyer waren jüngst in der Lage, in OT-Umgebungen vorzudringen und Produktionsabläufe in den betroffenen Unternehmen ernsthaft zu stören. Maschinen streikten und Haushalte wurden nicht mehr mit Strom beliefert. Auch das ehemalige Kernkraftwerk Tschernobyl war von den Anschlägen betroffen.
Doch auch wenn auf den ersten Blick ein frühzeitiges Patching die beste Vorsichtsmaßnahme gegen die Bedrohung zu sein scheint, ist der Sicherheitsansatz bei OT-Netzwerken wesentlich komplexer und diffiziler. Produktionsmaschinen sind in der Regel vom Hersteller zertifiziert, Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann dabei unerwünschte Auswirkungen auf die Produktionsparameter haben. In extremen Fällen kann eine in bester Ansicht getroffene Sicherheitsmaßnahme (zum Beispiel Patching von Schwachstellen) zu einem inakzeptablen Risiko für den gesamten Betriebs-
prozess führen. Daher sind die klassischen IT-Sicherheits-Maßnahmen für OT-Bereiche nicht immer anwendbar. Um Malware-Risiken effektiv abzuwenden, sollte deshalb auf einen mehrschichtigen Sicherheitsansatz gesetzt werden. Dieser sollte folgende Kriterien umfassen:
Berücksichtigung aller Sicherheitsphasen: von der Vorbeugung bis zur Wiederherstellung des Systems nach einem Angriff;
Berücksichtigung aller Sicherheitsvorkehrungen: von Arbeitsprozessen bis zum Einsatz der passenden Technologien;
Überwachung aller Technologie-Bereiche: vom Gateway- bis zum End-Point-Schutz (bei Industrie 4.0 wird der Gateway horizontal noch bis zur Anlage beim Anwender erweitert);
Überwachung des gesamten OT-Netzwerks: von der Datenerfassung bis hin zur speicherprogrammierten Steuerung (SPS), den Remote Terminal Units (RTU) oder sogar bis zur Sensor- und Actuator-Ebene.
WannaCry, NotPetya und Industroyer zeigen, dass Sicherheitsvorfälle für industrielle Infrastrukturen ein Risiko sind, das zunehmend berücksichtigt werden sollte. Ein Problem ist markant: Häufig werden gar keine Sicherheitsinformationen aus den industriellen Netzen erhoben, so dass sowohl Eintrittspunkt und Angriffspfad, also auch der Angriffszeitpunkt nicht genau festgestellt werden können. Damit ist eine forensische Angriffsanalyse unter Umständen gar nicht möglich. Die zunehmende Bedrohung zwingt Unternehmen deshalb dazu, die Sicherheitsprozesse und -verfahren in ihren Betrieben kontinuierlich neu zu bewerten und zu verbessern und neben der „Corporate IT“ auch industrielle Infrastrukturen zu berücksichtigen.
In der Regel sind einzelne Sicherheitslösungen nur für bestimmte Stadien innerhalb des Wirkungsbereichs geeignet. Einige wenige, besonders effektive Lösungen integrieren und automatisieren Sicherheitsvorkehrungen über mehrere dieser Phasen. Es werden allerdings immer auch etablierte Sicherheitsrichtlinien und -prozesse benötigt, damit eingesetzte Technologien effektiv und nachhaltig arbeiten können. Doch klar ist auch: die eine, beste Lösung gibt es nicht.
Jeden Patch überprüfen
In OT-Umgebungen kann jede aktive Sicherheitsvorkehrung als ein erhebliches Risiko für die Verfügbarkeit und Aktualität von Betriebsprozessen betrachtet werden. Jedes Sicherheits-Patching stellt hier zudem eine zusätzliche Herausforderung dar: Denn jeder Patch muss vom Hersteller überprüft und genehmigt werden, um sicherzustellen, dass es keine ungewollten Nebeneffekte auf die Prozesssteuerung gibt. Werden Anlagen und Systeme ohne Hersteller-Freigabe verändert, führt das häufig zu einem Verlust des Supports und der Systemzertifizierung. Dies geschieht nicht ohne Grund, denn es könnten systemrelevante Funktionen betroffen sein. Es gibt jedoch andere Wege, um OT-Umgebungen auf Angriffe vorzubereiten. Statt etablierte IT-Sicherheitsverfahren eins zu eins auf OT-Umgebungen zu übertragen, sollten sogenannte kompensierende Sicherheitsvorkehrungen berücksichtigt werden.
Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) dürften innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Im besten Fall sind die Sicherheitsvorkehrungen in Anlehnung an eine abgestimmte und regelmäßig aktualisierte IT- und OT-Sicherheitsstrategie auch schon festgelegt worden. Zudem sollten verschiedene Sicherheitsstufen eingeführt und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen. Jegliche Kommunikation – insbesondere zwischen IT und OT – sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Backup-Daten hinterlegt sind.
Alle bisher dokumentierten großen Angriffe auf Maschinen gelangten über die mit der OT verbundenen IT-Infrastrukturen in das Anlagennetzwerk. Bereits schon durch angemessenes Patching der IT-Komponenten hätten Unternehmen den erfolgreichen Attacken von WannaCry und NotPetya Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Deshalb hat IBM neben einer Lösung für IT- auch eine Patch-Management-Version für OT-Systeme entwickelt. Sie wird von dem Business-Partner Verve Industrial angeboten. Die Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. Sowohl IBM BigFix für IT als auch Verve für OT lassen sich im Übrigen auch in IBMs zentrale Security Intelligence (QRadar SIEM, Security Information and Event-Management) integrieren. In dieser Kombination können beide Lösungen:
Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;
Schwachstellen beseitigen, wenn ein Patch vorliegt;
anfällige Dienste erkennen und ggf. deaktivieren, bzw. Informationen zur tatsächlichen Bedrohungslage erhalten;
Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;
Methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.
Detektive und korrektive Vorkehrungen
Normalerweise sind zentrale SIEM-Systeme (Security Information and Event Management) dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cybergefahren erkennen können: So können auch IBM BigFix für IT und Verve für OT helfen, Bedrohungen schnell zu erkennen, in dem sie anomales Prozessverhalten registrieren und selbst unbekannte und Zero-Day-Bedrohungen identifizieren.
Durch eine Kombination dieser Security-Lösungen wäre WannaCry womöglich einfacher zu identifizieren gewesen: Sie hätten die typischen Aktionen der Ransomware, die die Malware ergreifen muss, um die Daten-Wiederherstellung zu verhindern, wahrscheinlich schneller erkannt und Alarm geschlagen. Das Verhalten von NotPetya war ebenfalls verdächtig, da sich die Malware auffällig seitwärts durch die Netzwerkstruktur bewegte, Schwachstellen ausnutzte und mit nicht vertrauenswürdigen Internetquellen kommunizierte, um Passwörter zu knacken. Normalerweise löst ein derartiges Muster eine sofortige Warnung in jedem Standard-SIEM-System aus. Auch bei Industroyer hätte das System wahrscheinlich Alarm geschlagen.
Aktuelle Patch-Anwendungen können Angriffe, die auf bereits bekannte Sicherheitslücken abzielen, erkennen und potenziell unterbrechen. In einem üblichen Szenario wären WannaCry und NotPetya vermutlich rechtzeitig identifiziert – wenn auch nicht verhindert – worden. Ein modernes SIEM-System hätte zusätzlich gewarnt, so dass laufende Aktionen gestoppt und weitere Zugriffsversuche verhindert worden wären. So ist die Endpoint-Lösung von IBM und Verve beispielsweise fähig, System-
änderungen nahezu in Echtzeit zu erkennen und das System manuell in den ursprünglichen Zustand zurück zu versetzen. Korrektive Maßnahmen werden in OT-Netzwerken nur dann eingesetzt, wenn der Sicherheitsprozess garantiert funktioniert – andernfalls ist das Risiko ungewünschter Nebeneffekte (z.B. Prozessunterbrechungen) zu groß.
Incident Response zielt darauf ab, auf einen Vorfall möglichst schnell zu reagieren. Kann ein Schadcode nicht zeitnah erkannt werden, muss die Analyse ggf. nachträglich erfolgen. Das Potential den Angriffsweg und -Zeitpunkt nachzuverfolgen und potenziell gefährdete Systeme zu verorten sowie eine schnelle Rückkehr in den Regelbetrieb aufzunehmen, trägt hier wesentlich zur Reduzierung von Kosten eines Angriffs bei. Insbesondere bei gezielten Angriffen kann die forensische Analyse die erste, letzte und einzige Möglichkeit sein, einen Sicherheitsverstoß überhaupt zu identifizieren.
Endpunkt-Lösungen schließlich unterstützen eine ganze Reihe von Response-Maßnahmen: Von der Geräte- und Dateiquarantäne (WannaCry, NotPetya) bis hin zum kompletten Prozessabbruch (im Fall von Industroyer). Aber auch hier gilt: Es sollten Reaktionspläne in der Schublade liegen, die regelmäßig überprüft werden. Die Verantwortlichen sollten damit umgehen können und in der Lage sein, schnell auf Zwischenfälle zu reagieren. Protokolle, Konfigurationen, Firmware und Daten sollten in jedem Fall gesichert werden. Das Backup sollte archiviert und die Mitarbeiter jederzeit in der Lage sein, Wiederherstellungsprozesse vorzunehmen.