Absicherung kritischer Infrastrukturen

Wenn der Hacker das Kraftwerk kapert

Seite: 2/2

Firmen zum Thema

Eine Lösung für alles nicht empfehlenswert

Ideal wäre natürlich, Security direkt bei der Planung von Anlagen, Produkten und Netzen zu berücksichtigen. Da aber die meisten Systeme sehr lange Lebenszyklen haben, ist dies häufig weder möglich noch sinnvoll. Denn die Anlagen oder Systeme laufen vielleicht noch zehn Jahre oder länger robust weiter – sie einfach auszutauschen wäre weder finanziell noch produktionstechnisch vernünftig.

In einem solchen Fall sollten Firmen ein Sicherheitskonzept entwickeln und definieren, welche Komponenten besonders geschützt werden sollen. Im Anschluss daran wird ein holistisches Sicherheitskonzept entwickelt: Dazu gehört unter anderem das automatische Monitoring von Cyber-Bedrohungen, Endpoint Protection, die Verschlüsselung von Daten sowie Lösungen, die mobile Endgeräte mit einbinden und schützen.

Darüber hinaus sollten Unternehmen auch eine Systemhärtung in Betracht ziehen. Dabei werden Betriebssysteme, Datenbanken oder Anwendungen um Funktionen erleichtert, die sie für ihren konkreten Einsatzzweck nicht benötigen. Ebenso gehören Technologien wie die Systemsperre (System Lockdown) dazu, mit der sich das Ausführen von Programmen einschränken oder das Starten sicherer Anwendungen garantieren lässt. Beides reduziert die Angriffspunkte für Hacker, auf das System zugreifen zu können.

Abhilfe durch „Security by Design“ bei neuen Systemen

Werden neue Systeme, Versorgungsnetze oder Anlagen geplant, muss Security Bestandteil der Planung sein. Die Betreiber von kritischen Infrastrukturen müssen zunächst ermitteln, welche Sicherheitsrisiken für ihre Anlagen bestehen und welche Auswirkungen erfolgreiche Angriffe haben könnten. Dabei müssen sie auch rechtliche Vorgaben wie das IT-Sicherheitsgesetz vom Juli 2015 und Compliance-Regeln beachten.

Der Aspekt IT-Sicherheit sollte in jeder Phase des Lebenszyklus einer kritischen Infrastruktur berücksichtigt werden. In der Praxis bieten sich Maßnahmen an wie die Trennung auf der Netzwerk-Ebene zwischen dem Unternehmensnetz und den Netzwerksystemen in der Produktionsumgebung. Die Schnittstellen zwischen beiden „Welten“ sollten mithilfe von Firewalls geschützt werden.

Unverzichtbar ist, den Zugriff auf Systemkomponenten abzusichern, etwa mithilfe von Virtual Private Networks (VPN) und Authentifizierungstechniken. Dabei gilt es auch, den Zugang zu solchen Systemen von mobilen Endgeräten aus zu berücksichtigen, etwa Smartphones und Tablets. Letztlich benötigen kritische Infrastrukturen eine durchgängige Sicherheitsarchitektur, die alle Ebenen miteinbezieht: den Rand des Netzwerks, die Zugangspunkte zu internen und externen Netzwerken, die Host-Systeme sowie Betriebssysteme und Anwendungen.

Für ICS-Komponenten, für nur selten oder gar keine Updates veröffentlicht werden, stehen zudem spezielle Lösungen bereit, etwa Symantec CSP (Critical System Protection). Sie riegeln Steuerung- und Kontrollkomponenten ab und ermöglichen nur das Ausführen von Anwendungen, die speziell für diese Systeme freigegeben wurden. Ein solches umfassendes Sicherheitskonzept ist unumgänglich. Denn die Zahl der Angriffspunkte wird weiter zunehmen. Dazu tragen Faktoren wie Smart Metering im Energiesektor sowie das Internet der Dinge (Internet of Things, IoT) bei. Die Gefahr von Cyber-Angriffen auf kritische Infrastrukturen wird daher erheblich ansteigen.

* Olaf Mischkovsky (CISSP, CCSK) ist Distinguished Systems Engineer bei der Symantec Deutschland GmbH.

(ID:43905754)