Der Schlüssel zur Vermeidung von Cyberangriffen auf IIoT-Systeme: Vorsicht beim Verbindungsaufbau

Energieanlagen und Produktionsstätten sind von jeher vorrangige Angriffsziele, wenn es darum geht, einem Feind einen katastrophalen Verlust zuzufügen beziehungsweise ihm einen psychologischen Schlag zu versetzen.

In der Vergangenheit war dies nur durch den Abwurf von Bomben auf solche Ziele möglich.

Heutzutage können Angriffe gegen wichtige Infrastrukturen genauso zerstörerisch wirken, wenn sie im Internet gestartet werden.

Die Gefahr von Cyberangriffen gegen das Industrial Internet of Things (IIoT) ist sehr real. Beispielsweise verursachte ein Cyberangriff auf ein Kraftwerk in der Ukraine im Jahr 2015 einen Stromausfall, von dem 225.000 Kunden betroffen waren.

Cyberangriffe gegen wichtige Netzwerkinfrastrukturen können ernsthafte Konsequenzen nach sich ziehen. Weltweit sind Regierungen daher in höchster Alarmbereitschaft.

Bedrohung für IIoT

In den USA hat das Department of Homeland Security (DHS) Bedenken wegen der steigenden Anzahl von Cyberangriffen auf industrielle Steuernetzwerke geäußert.

Tatsächlich nimmt das DHS die Situation dermaßen ernst, dass es kürzlich Leitlinien veröffentlichte, um „Sicherheit zu einem strategischen Schwerpunkt zu machen und die Rahmenbedingungen für das Vertrauen zu verbessern, auf dem das IoT-System basiert.“

Mit diesem Dokument wurde zum ersten Mal versucht, Unternehmen für die Implementierung von IIoT eine genaue Anleitung zur Cybersecurity zu bieten. Darin wird ein kombinierter Ansatz gefordert.

Eine „durchdachte Vernetzung“ sowie „Defense-In-Depth“ gehören zu den erörterten Maßnahmen.

Nichtanwendung bewährter Praktiken

Die Federal Trade Commission (FTC), eine unabhängige Bundesbehörde der USA für den Wettbewerbs- und Verbraucherschutz, hat zahlreiche Unternehmen angeprangert, deren Datenschutz- und Sicherheitsverfahren nicht den bewährten Praktiken entsprechen.

Ein Beispiel dafür ist das Unternehmen Lifelock: Das Unternehmen hatte sich nicht davon überzeugt, dass die Mitarbeiter für eine angemessene Sicherheit der Computer gesorgt hatten, mit denen sie per Remote Access auf das Netzwerk zugriffen.

Ein weiteres abschreckendes Beispiel lieferte die FTC mit dem Unternehmen Premier Capital Lending. Den Angaben zufolge stellte das Unternehmen einen Remote-Login-Account zur Verfügung, sodass einer seiner Kunden auf Verbraucherberichte zugreifen konnte. Unglücklicherweise erfolgte dies ohne eine vorherige Überprüfung der Sicherheitsvorkehrungen des Kunden. Daher gelang Hackern der Diebstahl von Online-Passwörtern und persönlichen Kundendaten.

Ein unzureichend gesicherter Netzzugang Dritter kennzeichnete auch den Fall des Unternehmens Dave & Buster. Hierbei waren Dritte mit mehr Zugriffsrechten als nötig ausgestattet worden. Es hieß, das Fehlen von Einschränkungen bei Verbindungen zu bestimmten IP-Adressen oder von zeitlichen Beschränkungen habe einem Eindringling die Verbindung mit dem Netzwerk ermöglicht. Dadurch konnten persönliche Daten nach außen gelangen.

Durchdachte Vernetzung

Die Frage, ob ähnliche Limits bei IIoT-Verbindungen angewendet werden sollten, bildet den Kern dessen, was das DHS mit „durchdachter Vernetzung“ meint.

Für eine IIoT-Komponente in einer Netzwerkumgebung ist ein Ausfall oder eine Beeinträchtigung durch Betriebsstörungen nichts Ungewöhnliches.

Der DHS-Leitfaden fordert Unternehmen zu einer sehr gründlichen und bewussten Auseinandersetzung mit den Risiken auf, die ein möglicher Datenverstoß oder Geräteausfall nach sich zieht, im Vergleich zu den Kosten einer Einschränkung der Internetkonnektivität.

Beispielsweise mag ein ständiger Netzwerkzugriff komfortabel sein, aber ist er auch unbedingt notwendig für den Betrieb des Geräts? Ein Kernreaktor mit ständiger Internetverbindung birgt ein zu großes Risiko, da er gleichzeitig ein Tor für Eindringlinge in das Netzwerk öffnet.

Defense-in-Depth

IIoT-Unternehmen wird zur Verfolgung eines Defense-in-Depth-Ansatzes geraten. Dies soll ihnen helfen, Datenschutz- und Sicherheitsrisiken immer einen Schritt voraus zu sein. Defense-in-Depth umfasst drei Schritte:

  1. Ein genaues Verständnis vom Betrieb des Gerätes: Ohne eine umfassende Einschätzung der Funktionen und Anwendungsbreite jedes einzelnen Gerätes riskieren Unternehmen die Aktivierung von direkten Internetverbindungen, wenn diese nicht unbedingt notwendig sind.
  1. Treffen einer bewussten Entscheidung in Bezug auf jede IIoT-Verbindung: Manchmal reicht es aus, eine Verbindung zu einem lokalen Netzwerk herzustellen, damit der Inhalt wichtiger Daten vor der Versendung analysiert werden kann. Industrielle Steuerungssysteme (Industrial Control Systems, ICS) sind komplex und unverzichtbar. Ein auf Defense-in-Depth-Prinzipien basierender Schutz dieser Systeme ist äußerst wichtig.
  1. Einbau von Remote-Managementfunktionen: Hersteller, kritische Netzwerkinfrastrukturen und Dienstleister müssen in der Lage sein, Netzwerkverbindungen oder spezielle Ports aus der Ferne bei Bedarf zu deaktivieren.

Remote Connectivity benötigt verwaltete VPNs

Ungeachtet ihres wesentlichen Beitrags müssen IIoT-Systeme oft an den entferntesten, unzugänglichsten Orten, die man sich vorstellen kann, installiert werden.

Zudem sind sie höchst attraktiv für Cyberkriminelle, die in ihnen die verwundbarsten Stellen des Netzwerks sehen.

Remote Access-Verbindungen in IIoT-Systemen werden am besten mithilfe von Software für Virtual Private Networks (VPNs) geschützt und verwaltet. VPNs bauen eine sichere Verbindung am IIoT Remote Gateway auf. Dabei fügen sie sich nahtlos in die bestehende Infrastruktur ein und verschlüsseln den gesamten Datenverkehr, der über die einzelnen Geräte gesendet und empfangen wird.

Zur Realisierung von Defense-in-Depth empfiehlt NCP engineering, dass IIoT-Unternehmen gründliche Überlegungen hinsichtlich On-Demand- beziehungsweise Always-On-Zugriff sowie Kommandozeilen- oder API-Steuerung anstellen.

Zusätzlich wird eine Authentifikation mittels Netzwerkzertifizierung von Software beziehungsweise Hardware sowie ein zentrales Management für die Gerätekonfiguration per Fernzugriff empfohlen.

Alles in allem vertreten die Aufsichtsbehörden im Hinblick auf das Thema Sicherheit von IIoT oder Machine-to-Machine (M2M) die Einstellung, dass Unternehmen angemessene Vorsichtsmaßnahmen zum Management und zum Schutz der Vertraulichkeit von Daten ergreifen sollten.

Durch Einhaltung einiger elementarer Grundregeln und Absicherung sämtlicher notwendiger Remote Access-Verbindungen mit VPN Management sollte es Unternehmen gelingen, Internetbedrohungen immer einen Schritt voraus zu sein.

Sicherheitshalber ist es ratsam, permanent den Überblick zu behalten und IT-Betreibern klare Anweisungen zur Anwendung umfassender Datenschutz- und Sicherheitspraktiken zu geben.

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha: *