Sicherheit in alten Anlagen

Kein Angst vor der Industrie 4.0

Die Art und das Alter von Anlagen beeinflussen die Art und Weise sowie den Umfang von möglicher und sinnvoller Security enorm. Doch ältere Anlagen werden allzu oft vernachlässigt.

Die Petya-Ransomware befiel im Juni 2017 auch zahlreiche Industrieanlagen. (Bild: Trend Micro Deutschland GmbH)

Die Petya-Ransomware befiel im Juni 2017 auch
zahlreiche Industrieanlagen. (Bild: Trend Micro Deutschland GmbH)

Bei analogen Steuerungen (elektrisch, magnetisch oder ähnliches), gibt es aus IT-Security-Sicht kaum potentielle Gefahren oder Angriffspunkte. Dies gilt selbst für Anlagen mit integrierten IT-Komponenten, sofern diese nicht z.B. mit speziell für den Anwendungsfall geschriebenen Komponenten auf ’nackter Hardware‘ – das heißt ohne Betriebssystem – oder noch unter DOS arbeiten. Ähnlich verhält es sich bei Steuerungen, die auf alten oder Mikroprozessoren basieren. Gefahrenpotenzial besteht höchstens, wenn diese Anlagen an neuere Systeme angebunden werden. Aber auch dabei ist die Anbindung, nicht die Steuerung an sich, die Hauptquelle für Bedrohungen.

Nicht-vernetzte Anlagen

Der erste Angstgegner der Office-IT-Security sind nicht-vernetzte Anlagen mit IT-Komponenten. Auf der einen Seite sind sie nicht vernetzt und damit unmöglich in moderne Security-Verwaltungswerkzeuge zu integrieren – diese gehen oft davon aus, dass alle angebundenen Komponenten zumindest zeitweise übers Netz erreichbar sind, beispielsweise für das Ausrollen von neuen Versionen, Pattern oder Richtlinien. Auf der anderen Seite finden sich eben dort noch Systeme, die auf Windows NT, Windows 2000 oder Windows XP basieren. Also Systeme, die seit Jahren nicht mehr gepatcht werden können und dementsprechend mit zahlreichen massiven Schwachstellen aufwarten. USB-Sticks zum Scannen und Säubern der Systeme stellen in diesem Umfeld einen validen Lösungsansatz dar. Mit ihrer Hilfe lassen sich auch alte Offline-Anlagen ganz ohne Softwareinstallation adäquat schützen.

Vernetzte Alt-Anlagen

Vernetzte Alt-Anlagen sind wohl der zweite Angstgegner der IT-Security. Dabei handelt es sich um Anlagen, die mit Netzwerkanbindung ausgeliefert wurden und solche, bei denen diese nachgerüstet wurde. Im ersten Fall geschah dies häufig unter der Prämisse, dass diese nur im abgeschotteten und geschützten Netzumfeld einzusetzen ist, im zweiten Fall oftmals durch das Upgrade der Wartungszugänge (Modem, DSL, Netzwerk) oder durch Protokollumsetzer (Seriell/USB oder Feldbus auf Netzwerk). Diese Systeme sind also online und damit potentiell für Angreifer erreichbar. Zudem sind sie häufig noch so konzipiert, dass sie aus Supportgründen nicht gepatcht werden dürfen. Dem Alter der Anlage entsprechend steigt die Angriffsfläche aufgrund von entdeckten Verwundbarkeiten stetig. Zeitnahes Patchen ist dabei nicht durchführbar. Alternativ bietet sich daher eine Abschottung auf Netzwerkebene an. Dazu gehören einerseits einfache Dinge wie die Segmentierung von Netzen, andererseits aber auch das Abschotten und Abschalten von nicht benötigten Kommunikationskanälen, Quellen oder Zielen mittels Firewalls. Leider garantiert dies noch keine Sicherheit: Angreifer nutzen durchaus auch Lücken in erlaubter Kommunikation. Ist z.B. der Zugriff des HMI-Systems auf einen Prozess übers Netz erlaubt, können Angreifer genau diese Kommunikation imitieren und dadurch Schadcode einbringen. Diese Taktik lässt sich jedoch durch den Einsatz von IPS (Intrusion-Prevention-Systemen) bzw. BDS (Breach-Detection-Systemen) adressieren: Trend Micros TippingPoint IPS beinhaltet beispielsweise außer Office-IT spezifischen Regeln auch Regeln und Intelligenz im Bereich der Feldbus- bzw. SCADA/ICS-Protokolle. Damit können auch Angriffe innerhalb erlaubter Kommunikationskanäle erkannt und unterbunden werden. Diese Systeme können u.a. beim Übergang vom Büro- in das Produktionsnetz eingesetzt werden, um Angreifern diesen Angriffsvektor zu entziehen. Sinnvoller ist natürlich ein Einsatz auf Segmentebene, also näher an der Anlage, um möglichst alle Zugriffe kontrollieren zu können. BDS werden besser im Office-Netz bzw. im Kontroll- (HMI, SCADA usw.) oder Entwicklungsnetz eingesetzt. Dort suchen diese Systeme die sprichwörtliche (Angreifer-) Nadel im (Netzwerk-)Heuhaufen, indem verdächtige Kommunikation und Verhaltensweisen in einer Vielzahl von Protokollen und Diensten nachhaltig untersucht werden. Auch vernetzte Alt-Anlagen lassen sich also trotz fehlendem Durchgriff auf den Softwarestand der Anlagen sinnvoll schützen. Dies geschieht umso effizienter, je näher entsprechende Netzwerkwerkzeuge wie Segmentierung, Firewalls, IPS- und BDS-Lösungen zur Anlage sind.

Das könnte Sie auch interessieren

Laut einer Studie des Beratungshauses Capgemini wollen rund 44 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz ihre IT-Ausgaben erhöhen. Etwa jeder siebte der 108 befragten IT-Verantwortlichen gab an, das Budget um mehr als zehn Prozent anzuheben. Damit setzt sich bei den IT-Ausgaben der positive Trend der beiden vorangegangenen Erhebungen weiter fort.‣ weiterlesen

Der Digitalisierungsindex der Deutschen Telekom zeigt, dass mittelständische Industrieunternehmen bei der Digitalisierung weiter sind als andere Branchen: Mit 58 von 100 möglichen Punkten liegt die Industrie über dem branchenübergreifenden Schnitt. Zu den Digital Leadern fehlt jedoch noch ein ganzes Stück.‣ weiterlesen

Gehen Mitarbeiter in den Ruhestand oder wechseln Angestellte den Arbeitgeber, geht mittelständischen Unternehmen wichtiges Wissen über Produkte, Prozesse und Kunden verloren. Digitales Wissensmanagement kann dabei unterstützen, Erfahrungen und Know-how zu erhalten.‣ weiterlesen

Die Mehrheit der deutschen Unternehmen setzt auf Weiterbildung wenn es um digitale Themen geht. Das geht aus einer Bitkom-Studie hervor. Demnach ist der Anteil der Unternehmen, die auf die Schulung ihrer Mitarbeiter setzen im Vergleich zu einer vorherigen Erhebung angestiegen.‣ weiterlesen

Deutschland soll Technologieführer für künstliche Intelligenz (KI) werden, so das Ziel der Bundesregierung. Schon heute werden zahlreiche Lernende Systeme und KI-Anwendungen in Deutschland entwickelt und angewendet. Die Plattform Lernende Systeme hat daher eine KI-Landkarte veröffentlicht um zu zeigen, wo die Technologie bereits eingesetzt wird.‣ weiterlesen

Laverana zählt zu den Pionieren für Naturkosmetik in Deutschland. Das Unternehmen setzt auf Werte wie Qualität, verantwortungsvolle Unternehmensführung und Nachhaltigkeit. Seine Managementsysteme steuert das Unternehmen inzwischen über ein integriertes Managementsystem. TÜV Rheinland hat dies im Rahmen einer Kombi-Zertifizierung geprüft.‣ weiterlesen