Industrielle Sicherheit und die Rolle eines Managed Security Service Providers


Die zunehmende Konvergenz von Informationstechnologie und Automatisierungs- bzw.  Prozesssteuerungs-technik resultiert in einer veränderten Bedrohungslage, wodurch der Schutz von Produktionsanlangen und kritischen Infrastrukturen vor Cyber-Angriffen an Bedeutung gewinnt. Diese Entwicklung nahm auch auf traditionelle Security Service Provider Einfluss.

Industrielle Anlagen besitzen eine Laufzeit von mehreren Jahrzehnten und wurden in der Vergangenheit abgesehen von Betriebs- und Ausfallsicherheit ohne Betrachtung weiterer Sicherheitsaspekte entwickelt. Die nachgelagerte Integration von Patchmanagement, Zugriffs- und Berechtigungsmanagement oder Anti-Viren-Schutz stellt die Anlagenbetreiber vor eine nicht überwindbare Hürde. Darüber hinaus entstehen durch die globale Vernetzung von IT- und ICS-Umgebungen neue Angriffsvektoren. Zur Reduzierung der Bedrohungslage ist ein abgewogenes Vorgehen unter Einbeziehung von Machbarkeitsaspekten, Zielsicherheitsniveau und einer messbaren Reduktion von Geschäftsrisiken empfehlenswert. Bestehende Automatisierungs- bzw.  Prozesssteuerungssysteme bleiben abhängig vom geforderten Sicherheitsniveau in vielen Fällen unverändert. Dagegen erfolgt eine systematische Analyse und Implementation von Segmentierung und Echtzeitüberwachung des Sicherheitszustands basierend auf Best Practices und Industriestandards aus IT und ICS. Erfahrungsgemäß führen folgende Maßnahmen zu einem enormen Sicherheitszuwachs bei einem verhältnismäßig geringen Änderungsbedarf in bestehenden ICS-Umgebungen:

  • Definition von Sicherheitszonen und Segmentierung von Netzwerken durch Sicherheitskomponenten
  • Prozessabhängige Definition von Richtlinien und Whitelists für Kommunikationsverbindungen
  • Absicherung und Echtzeitüberwachung der Segmentierung, Kommunikationsverbindungen und Remote- bzw. Wartungszugriffe (Betriebs- und Ausfallsicherheit, Authentifizierung, Verschlüsselung, Integrität)
  • Erkennen von Richtlinienverstößen, Anomalien und Schadsoftware an Perimetern und zw. den Zonen
  • Definition von Verantwortlichkeiten und Etablierung eines Incident Response Prozesses

Die Umsetzung dieser Maßnahmen stellt zwar in Hinblick auf Machbarkeit eine weniger große Hürde dar. Die Herausforderung besteht jedoch darin, geeignetes Personal und Wissen aufzubauen. Diese Lücke schließt ein Managed Security Service Provider (MSSP) hinsichtlich Analyse, Design, Integration, Betrieb und sicherheitstechnischer Überwachung. Bei der Auswahl eines MSSPs sollte neben dem kontinuierlichen Betrieb (24h*7) und der Verfügbarkeit an allen Unternehmensstandorten vor allem auf die Fähigkeiten der Erkennung von ICS-spezifischen Bedrohungen (bspw. Modbus oder Profinet) geachtet werden. Zur Priorisierung von Zwischenfällen (Incidents) wären Möglichkeiten zur Verknüpfung der Eintrittswahrscheinlichkeit mit der Schadenshöhe und zur Ableitung eines potentiell resultierenden Geschäftsrisikos ein weiteres wichtiges Auswahlkriterium.

Die in diesem Praxisbericht aufgeführten Sicherheitsaspekte sind keineswegs vollständig. Die Wichtigkeit organisatorischer Maßnahmen zur Anlagensicherheit, wie z.B. physischer Zugangsschutz oder der Umgang mit externen Speichermedien bei Mitarbeitern und Partnern, muss an dieser Stelle nicht erläutert werden. Mittelfristig wird auch im Bereich industrieller Sicherheit ein Defense-in-Depth-Vorgehen Anwendung finden und auf allen Ebenen zusätzliche Maßnahmen wie Patchmanagement, Anti-Viren-Schutz, etc. berücksichtigt. Unter Einbezug der Machbarkeit ermöglicht der in diesem Bericht vorgestellte Ansatz zur Segmentierung und sicherheitstechnischen Überwachung eine deutliche Reduzierung des Verwundbarkeitsrisikos für derzeit im Betrieb befindliche Anlagen. Diesen Ansatz kann bei Personal- und Wissensmangel ein MSSP mit Expertenwissen und kontinuierlicher Sicherheitsüberwachung unterstützen.