English

Mit LARS auf Schwachstellensuche bei Industrie 4.0

Internet-of-Things

von VPNHaus | 22.06.2016 |Cybersecurity Strategy, IT policy

Kein Tag vergeht, ohne dass Industrie 4.0 als die Zukunft des produzierenden Gewerbes gepriesen wird. Und es stimmt, die Digitalisierung von Produktionsumgebungen läuft, in manchen Branchen mehr, in anderen weniger. Allen gemein ist die Sorge um die Sicherheit der schönen neuen vernetzten Welt. Denn wenn nun Standard-Hard- und Software für die Steuerung von Motoren, Schützen und Pumpen verantwortlich sind, müssen auch deren Sicherheitsrisiken von der Automatisierungsabteilung im Auge behalten werden. Dafür ist zunächst ein methodischer Ansatz notwendig, der am besten an das zentrale ISMS angepasst und mit ihm verbunden wird. Ganz konkret kann ein Tool wie Light And Right Security (LARS) den Unternehmen bei der Absicherung von Industrieumgebungen (ICS – Industrial Control System) helfen. Es wurde 2014 im Auftrag des BSI von der Sirrix AG in Zusammenarbeit mit der TÜV SÜD Rail GmbH entwickelt. Das Werkzeug unterstützt Firmen dabei, vorhandene ICS-Umgebungen und den bereits vorhandenen Umsetzungsgrad von Sicherheitsmaßnahmen in einer vereinfachten Form zu erfassen. Die Komponenten lassen sich in Kategorien wie „Kommunikationsverbindungenà Externes Netzwerk à Feldebene“ einordnen, LARS zeigt dann automatisch typische Fehlerquellen und Bedrohungen an. Auch der Fernzugriff wird erfasst. Dabei unterteilt LARS in Feldebene, Leitebene und Steuerungsebene und ordnet den Bereichen unterschiedliche Attribute zu. So ist bei der Feldebene meist keine Verschlüsselung möglich und die Absicherung muss über Verfahren wie 4-Augen-Prinzip erfolgen. In der Steuerungsebene ist hingegen Verschlüsselung möglich. LARS empfiehlt deren Einsatz und zusätzlich den Verbindungsaufbau über DMZ sowie weitere Maßnahmen.

Einfacher Einstieg als Ziel

Die Autoren legen Wert darauf, dass LARS nicht dazu gedacht ist, ein ganzheitliches Information Security Management System (ISMS) zu ersetzen. Das Tool soll den Einstieg in die Absicherung von ICS erleichtern, indem es eine Struktur vorgibt, wie die vorhandene Umgebung erfasst und kategorisiert werden könnte. Für sehr große ICS-Umgebungen ist LARS nicht geeignet, es spielt seine Stärken vor allem bei kleinen und mittelgroßen Firmen aus, die sich bislang nur wenig mit ICS-Security beschäftigt haben. Die Methodik wurde, im Vergleich zum klassischen Weg mit Schutzbedarfsfeststellung und Risikoanalyse, sehr vereinfacht. Das gilt auch für die notwendigen Kenntnisse über Security und Analysetechniken als auch hinsichtlich der Personalaufwände. Einmal mit Daten gefüllt können durch den Benutzer verschiedene Berichte erzeugt werden. Dazu gehört eine Liste aller Maßnahmen, die zur Erreichung der nächstbesseren Security-Stufe umgesetzt werden müssen. Wurden die Maßnahmen umgesetzt, können die Änderungen im Werkzeug nachgezogen und deren Auswirkungen auf die Security-Stufe durch das Werkzeug neu ermittelt werden.

Statt Excel und handgeschriebenen Listen

Stark vereinfacht könnte man auch sagen, dass das Tool wie eine Gedächtnisstütze wirkt: Die Kategorisierung hilft dabei, keine Komponenten und deren typische Bedrohungen zu vergessen und die Abstufung in „umgesetzt, teilweise umgesetzt, nicht umgesetzt und nicht relevant“ fungiert mit ihrer Ampel-Farbmarkierung wie eine Wiedervorlage. Was nicht umgesetzt ist, wird rot markiert, der Anwender weiß, dass es hier noch etwas zu tun gibt. Einige vordefinierte Berichte wie eine Asset-Übersicht und ein priorisierter Maßnahmenkatalog helfen bei der Abstimmung und bei Diskussionen mit anderen Abteilungen und dem Management. Ein Mapping auf das ICS Security Kompendium des BSI und Standards wie IEC 62443, ISO 27001 und Grundschutzkataloge des BSI rundet die Funktionalität ab.

LARS, der beste Kumpel des Automatisierers

In vielen Unternehmen würden die Mitarbeiter im Automatisierungsumfeld gern mehr Sicherheit implementieren oder zumindest die Schwachstellen des ICS erfassen. Aufgrund fehlenden Know-hows und weil die Aufgabe am Anfang abschreckend aufwändig wirken kann, bleibt es aber ohne regulatorischen Druck oft bei der Absicht. LARS bietet in so einem Fall optimale Hilfestellung. Mit dem Tool kann jeder sofort loslegen, muss sich (zunächst) keine Gedanken um den Standard machen, den er einhalten will und wird trotzdem in eine Methodik gelenkt, die sich später für ein „richtiges“ ISMS eignet. Klares Fazit: LARS kann man nur empfehlen.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK