Nachgefragt bei Olav Strand, Splunk

Maschinendaten besser überwachen

Interview mit Olav Strand, Director Germany, Switzerland & Austria bei Splunk

Olav Strand, Splunk

Olav Strand, Director Germany, Switzerland & Austria bei Splunk

IT-DIRECTOR: Herr Strand, wie schätzen Sie derzeit die Bedrohung für Cyber-Angriffe auf Industrieanlagen bzw. -maschinen von Großunternehmen oder staatlichen Institutionen ein?
O. Strand:
Diese Art von Bedrohung schätze ich als sehr hoch ein, da diese Netze bzw. deren Steuerelemente ursprünglich vom Internet abgekoppelt waren und dementsprechend beim Design der IT-Netze auf Sicherheitsanforderungen kaum Rücksicht genommen wurde. Aus Kostengründen (Wartung, etc.) werden aber seit einiger Zeit immer mehr Systeme in Netze verlagert, die – wenn auch teilweise nur indirekt – über das Internet erreichbar sind. Hinzu kommt, dass auf Industrieanlagen häufig die standardisierten Sicherheitsmechanismen wie Virenscanner oder lokale Firewalls nicht installiert werden dürfen. Ebenso stellt die Tatsache, dass Patchzyklen oftmals nicht in die bestehenden Produktionsprozesse mit einbezogen wurden, eine Herausforderung dar.

IT-DIRECTOR: Wie viele und welche Attacken auf solche Anlagen sind 2012 ans Licht gekommen?
O. Strand:
2012 und 2013 wurden in der Presse schon eine ganze Menge solcher Attacken gemeldet. So wurde von Vireninfektionen bei US-Stromversorgern berichtet sowie von Manipulationen der Programmiersoftware CoDeSys des deutschen Herstellers 3 S-Smart Software Solutions. Ebenso wurde der kanadische IT-Dienstleister und Netzausrüster Telvent Opfer von Angriffen auf seine interne Firewall und andere Sicherheitssysteme, wobei Projektdateien für Software zur Überwachung und Steuerung industrieller Anlagen entwendet worden waren. Und auch zu Beginn dieses Jahres wurde auf Heise Security vermeldet, dass das für die Sicherheit von industriellen Steuerungssystemen zuständige ICS-Cert vor einem Tool, warnt, mit dem Scada-Passwörter geknackt werden können.

IT-DIRECTOR: Wie gehen Cyber-Kriminelle bei ihren Angriffen vor?
O. Strand:
Unterschiedlich. Je nachdem, wie gut erreichbar die Systeme aus dem Internet sind, werden die Steuerrechner direkt oder indirekt z.B. über verseuchte USB-Sticks (siehe oben) angegriffen. In der Regel werden die Angriffe unter dem Stichwort APT (Advanced Persistence Threat) zusammengefasst, da die Angriffe mehrstufig und zum Teil hochkomplex sind. Oft werden die Angriffe von Firmen überhaupt nicht bemerkt.

IT-DIRECTOR: Welche Einfallstore werden genutzt, um Anlagen zu attackieren?
O. Strand:
Wie oben zum Teil schon erwähnt, finden sich Schwachstellen in verschiedensten Formen, darunter in den Steuerrechnern, im Social Engineering, in der Software, im menschlichen Versagen (z.B. USB-Stick). Einfallstore für Angriffe bieten auch Mankos wie das Nicht-Ändern von Default-Passwörtern oder veraltete Betriebssysteme, die den sehr langen Innovationszyklen geschuldet sind – im Prinzip ziehen sie sich über sämtliche Prozessschritte und eingesetzte Technologien hinweg.

IT-DIRECTOR: Sind nur Anlagen mit IP-Adressen gefährdet? Inwieweit erweisen sich ICS- und Scada-Systeme (Industry Control Systems, Supervisory control and data acquisition) als die größten Schwachstellen?
O. Strand:
Angriffsziele sind in der Regel nicht die Anlagen selbst, sondern die Steuersysteme. Sind diese direkt oder indirekt über das Internet erreichbar, ist es egal, dass das eigentliche Zielsystem keine IP-Anbindung besitzt. Problematisch ist die Tatsache, dass beim Design der – inzwischen oft mehr als zehn Jahre alten – Scada- oder ICS-Strukturen auf vernetzte IT-Sicherheit damals kein Wert gelegt wurde. Diese Situation ist vergleichbar mit einem Cabrio, das man mit offenem Verdeck auf der Straße parkt. Wenn die normalerweise genutzte Garage nicht verfügbar ist, muss man sich überlegen, wie man das Handschuhfach sichern kann. Das Fenster hochkurbeln bei offenem Verdeck ist keine sinnvolle Lösung ...

IT-DIRECTOR: Mit welchen Frühwarnsystemen und konkreten Sicherheitsmaßnahmen können die Verantwortlichen solchen Angriffen entgegenwirken?
O. Strand:
Durch ein verbessertes Monitoring können Zugriffe außerhalb der Norm erkannt werden. Für diesen Fall der Anomaliedetektion kann die Splunk-Software, die es ermöglicht, sowohl Echtzeit- als auch historische Maschinendaten aus verschiedensten Quellen zu überwachen, durchsuchen, analysieren und visualisieren, effektiv eingesetzt werden. Zum anderen können die Systeme besser abgesichert werden, so dass ein Zugriff z.B. nur nach Mehrfaktor-Authentisierung und per VPN (aus dem Internet) möglich ist.

Ein zusätzliches Abgreifen sämtlicher Maschinendaten zur historischen Nachvollziehbarkeit ist unerlässlich. Sollte, wie so oft in der Vergangenheit geschehen, ein Angriff erst im Nachhinein bekannt werden, kann man auf diese Weise das Ausmaß und die Vorgehensweise nachvollziehen. Außerdem können betroffene Maschinen identifiziert und besser gesichert werden.

IT-DIRECTOR: Wurde ein Cyber-Angriff auf Anlagen und Maschinen bemerkt – welche Ad-hoc-Maßnahmen sollten sofort in die Wege geleitet werden?
O. Strand:
In einem ersten Schritt sollten Systeme vom Internetzugriff getrennt werden. Zudem muss man jeglichen Maschinen-Output überprüfen und das Verhalten der Maschinen im Auge behalten. Anschließend sollten auch andere Systeme auf wiederkehrende Muster hin überprüft und gegebenenfalls Spezialisten zur genauen Untersuchung herangezogen werden. Letztlich gilt es abzuwägen, ob die Systeme komplett abgeschaltet werden können. Die Schutzmaßnahmen müssen kontinuierlich überprüft und angepasst werden.

IT-DIRECTOR: Welche Bemühungen existieren auf nationaler wie internationaler staatlicher Ebene, um Cyber-Bedrohungen für Industrieanlagen bzw. -maschinen abzuwehren?
O. Strand:
Es gibt bereits in der Tat einige konsolidierte Bemühungen, um Angriffe abzuwehren. So hat sich Ende vergangenen Jahres das Cast-Forum in einer Veranstaltung dem „Schutz kritischer Infrastrukturen“ gewidmet. Dort wurden u.a. die Gefahren diskutiert, die eine Vernetzung der industriellen Informationstechnik mit dem offenen Internet bis hin zur Feldebene einzelner Sensoren in der Fertigung oder Energieversorgung mit sich bringt. Simulationen, die Neuberechnung von Toleranzgrenzen und industrielles Schwachstellenmanagement wurden als Lösungen zur Verbesserung der Sicherheit diskutiert.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok