• Kommentare deaktiviert für Angriffe auf IT- und ICS-Komponenten

Angriffe auf IT- und ICS-Komponenten

Härtung als technische Maßnahme

zur Abwehr von Cyber-Angriffen

Das Thema Security gewinnt mit der Digitalisierung immer mehr an Bedeutung. Daher ist es meines Erachtens immens relevant, dass Fertigungs- und Produktionsbetriebe aufgrund des vernetzten Maschinenparks ihre bisherige Sicherheitsstrategie adaptieren müssen. Ansonsten laufen sie Gefahr, gezielten oder ungezielten Hacker-Angriffen ausgesetzt zu sein, die in Produktionsabläufe eingreifen oder geschäftskritische Daten stehlen können.

Wie am 30.12.2020 einer österreichischen Tageszeitung zu entnehmen war, attackieren Hacker aber nicht nur produzierende Betriebe, sondern vermehrt auch kritische Infrastruktur wie Stromversorger und Kliniken. Nicht auszudenken, wenn dadurch IT-Systeme bis hin zu Herz-Lungen-Maschinen in Intensivstationen ausfallen.

Aber zurück zu unseren Produktionsbetrieben und den vielfältigen Gefahrenpotentialen für deren Steuerungsanlagen. Vorab: Zum Messen, Steuern und Regeln von Abläufen, wie sie bei Automatisierungsprozessen vorkommen, sind sogenannte ICS „Industrial Control Systems“ (industrielle Steuerungssysteme) im Einsatz. Diese gilt es zu evaluieren und zu schützen. Andernfalls läuft man Gefahr, Ziel eines Hacker-Angriffes zu werden…

  • Der Hacker, der gezielt mit seinen automatischen Scanprogrammen nach „Einfallstoren“ in Ihrer Firma sucht. Sei es eine IP-Adresse oder ein offener Port, der den Hacker dazu einlädt, einzudringen und Schaden anzurichten.
  • Bei der Vernetzung der Fertigungsmaschinen mit der „Außenwelt“ wird auf standardisierte Protokolle und Systeme zurückgegriffen, welche bereits aus der IT bekannt sind, sowie deren Risiken und Bedrohungen. Wer hat nicht schon einmal seinen PC „neustarten“ müssen, um ein „Problem“ zu lösen. Eine in der Produktion nicht umsetzbare Maßnahme. In der IT werden Programmierfehler durch sogenannte „Patches“ gelöst. Hingegen stößt man in der Produktion bei der Implementierung von umfangreichen Patches sehr rasch an seine Grenzen und somit wird ein „nicht-patchbares“ System relativ rasch zum Verhängnis. Dadurch haben Hacker ein weiteres Einfallstor in das Firmennetzwerk.
  • Ein Klassiker ist das präparierte Email, welches ein Firmenmitarbeiter öffnet und dadurch eine Hacker-Attacke (Schadsoftware) quer durch sämtliche Abteilungen startet bishin zu den Steuerungseinheiten der Fertigungsanlagen.
  • Aber auch Wartungsarbeiten bringen Risiken mit sich, vor allem, wenn per Fernwartung auf Produktionssysteme zugegriffen wird.

Um diesen beispielhaften Bedrohungen ein angemessenes Sicherheitsniveau entgegensetzen zu können, bedarf es geeigneter Maßnahmen bei der Konzeption, Integration und dem Betrieb.

Ein Ansatz dabei ist die Angriffsfläche auf

Systeme durch „Härtung“ zu verringern.

Der Begriff „Härtung“ oder „Systemhärtung“ ist die Übersetzung des Englischen „System Hardening“ und wird in der IT-Welt vereinfacht als „Härtung“ oder „Härten“ bezeichnet. Durch das Härten wird das Betriebssystem geschützt, wodurch sensible Firmendaten, die besonderen Kategorien personenbezogener Daten oder auch Prozesse auf schwach geschützten bzw. veralteten IT-Systemen, auf die kein Dritter, kein Hacker und auch kein Trojaner zugreifen darf, abgesichert werden.

Sinn der Serverhärtung ist, ungenutzte Komponenten bzw. nicht konfigurierte Funktionalitäten sowie deren Schnittstellen abzuschalten und dadurch die Sicherheit der Serversysteme zu erhöhen.

Laut dem „Bundesverband IT-Sicherheit e.V.“ handelt es sich bei den wesentlichsten Bedrohungen von nicht gehärteten Serversystemen unter anderem um folgende:

  • Datenmanipulation von personenbezogenen Daten und sensiblen Unternehmensdaten
  • Datenabfluss (z.B. Abzüge gesamter Datenbanken von Datenbanksystemen)
  • Manipulation von Anwendungen auf dem Serversystem oder verbundenen Systemen
  • Manipulation, Sabotage oder Spionage bei Betriebs- und Produktionsabläufen
  • Diebstahl von Identitäten (z.B. bei Angriffen auf Domänencontroller)
  • Einbringung von Malware jeglicher Art und Verteilung der Malware zu anderen Systemen

Härtungsmaßnahmen sind durch technische Einstellungen umsetzbar und können mittels eines Härtungspakets automatisiert auf alle Serversysteme des Unternehmens verteilt werden. Neue Serversysteme sollten direkt nach Abschluss der Installation mit dem Härtungspaket gehärtet werden. Bei der Härtung von bestehenden Systemen kann eine Härtung zum Ausfall von Funktionalitäten führen, daher muss eine Datensicherung erstellt und die Härtung ausgiebig getestet werden.

Folgende beispielhafte Maßnahmen können hierzu angewendet werden (siehe Quelle „Bundesverband IT-Sicherheit e.V.“):

  1. Deaktivierungen von Komponenten:
    • Regelmäßige Überprüfung, ob aktivierte Dienste für den Betrieb noch notwendig sind
    • Deaktivierung oder Deinstallation von nicht notwendigen Betriebssystemkomponenten / Diensten inklusive Hintergrunddiensten
    • Deaktivierung von nicht notwendigen Autostart- oder zeitgesteuerten Prozessen
    • Deaktivierung von nicht benötigten, technisch veralteten oder als unsicher geltenden Schnittstellen oder Protokollen
    • Deaktivierung von ungenutzten Dateifreigaben
  1. Aktivierung hardwarenaher Schutzfunktionen:
    • Aktivierung von CPU-Sicherheitsfunktionen und Prüfung der ordnungsgemäßen Funktion der Anwendungen
    • Aktivierung des BIOS-Zugriffspassworts, Limitierung der Bootreihenfolge auf die notwendigen Devices
    • Aktivierung von sicheren Bootverfahren
  1. Sicherheitskonfiguration
    • Einsatz von Kommunikationsprotokollen zur Sicherstellung, dass sensible Daten sowie Authentifizierungsinformationen verschlüsselt übertragen werden
    • Einsatz von Zertifikaten zum Austausch von kryptographischen Schlüsseln
    • Deaktivierung von Autostart-Mechanismen (z.B. für USB-Medien)
    • Aktivierung eines Bildschirmschoners mit Kennwortschutz
    • Aktivierung starker Benutzerkontensteuerung (User Account Control)
    • Aktivierung des Antivirenschutzes auf dem System bereits beim Bootvorgang
    • Entfernung von nicht notwendigen Zertifikaten aus Vertrauensspeichern
    • Unterbinden von Hinweisen auf installierte Services bzw. Versionsnummern
    • Aktivierung der Protokollierung
    • Betrieb der laufenden Dienste nur mit minimalen Rechten und mit einem eigenen Benutzer sowie Betrieb von Prozessen nach Möglichkeit in einer isolierten Umgebung
  1. Minimale Vergabe von Berechtigungen (Need-to-know-Prinzip, Least-Privilege-Prinzip)
    • Regelmäßige Überprüfung der vergebenen Berechtigungen
    • Minimale Rechtevergabe für administrative Tätigkeiten
    • Minimale Rechtevergabe für Dateisystem und externe Datenschnittstellen
    • Minimale Rechtevergabe für Wartungsschnittstellen / -zugängen
    • Einschränkung des Zugriffs auf die Konfigurationsdateien des Betriebssystems
  1. Konten und Kennwörter
    • Einsatz starker einheitlicher Kennwortrichtlinien für Benutzerpasswörter (z.B. Kennwortlänge, Komplexität, Sperrzähler, Änderungszyklus etc.)
    • Verwendung der 2-Faktor-Authentifizierung
    • Schutz aller Konten mit zumindest einem Kennwort entsprechend der Kennwortrichtlinie
    • Änderung aller vorhandenen Standardkennwörter durch Kennwörter entsprechend der Kennwortrichtlinie
    • Sperre des lokalen Administrator-Kontos nach mehrmaliger Falscheingabe des Kennworts
    • Einsatz von eigenen personenbezogenen administrativen Konten für administrative Tätigkeiten
    • Deaktivierung oder Umbenennung von Standard-Benutzerkonten
    • Deaktivierung von lokalen Gast-Konten
    • Verwendung nicht privilegierter Benutzerkonten zur Ausführung von Prozessen
    • Sperre der Anmeldung von lokalen Benutzerkonten über das Netzwerk
  1. Netzwerkkomponenten
    • Einschränkungen bei den Netzwerkeinstellungen (z.B. TCP/IP-Konfiguration)
    • Abschaltung von ungenutzten Netzwerkprotokollen
    • Beschränkung der über einen Dienst laufenden Verbindungen auf das erforderliche Minimum
    • Aktivierung von Paketfiltern/Firewall und deren Öffnung der minimal benötigten Zugänge

Wie in der Einleitung erwähnt, werden Industrial Control Systems (ICS) für die Abwicklung physischer Prozesse eingesetzt. ICS sind somit immer mehr denselben Cyber-Angriffen ausgesetzt, wie dies im konventionellen IT-Bereich der Fall ist. Das Risiko- und Schadenspotential von sowohl nicht-zielgerichteter Schadsoftware als auch von gezielt spezifischen Angriffen gegen ICS-Infrastrukturen muss dementsprechend von der Unternehmensleitung berücksichtigt und regelmäßig überprüft werden.

Mehr Informationen über das Thema Cyber-Security für Produktions- und Fertigungsanlagen von Dietmar Thüringer können Sie hier über das Kontaktformular beantragen.

Photo by Michael Geiger on Unsplash