«Trotz der Verschiedenartigkeit der kritischen Infrastrukturen fallen die meisten für ICS (Industrial Control Systems) sicherheitsrelevanten Schwachstellen in eine oder mehrere von fünf Kategorien», fasst Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. «Wir haben diese Schwachstellen aufgelistet und zeigen Möglichkeiten auf, um Sicherheitsprobleme zu lösen.»
Schwache Passwörter
Wo möglich, sollte die Verwendung starker Passwörter geregelt werden. Dies könnte auch Kontosperrungsregeln beinhalten, um Brute-Force-Angriffe zu unterbinden. Wenn die Einführung von starken Passwörtern nicht ohne Risiken für das ICS umgesetzt werden kann, sollte eine andere Sicherheitskomponente zwischengeschaltet werden. Dies könnte eine Firewall oder ein Terminalserver sein, so dass die Einführung starker Passwörter erleichtert wird, ohne Auswirkungen auf das ICS selbst.
Schlechtes Patch-Management
Patch-Management ist ein heikles Unterfangen. Wenn Maschinen in einer ICS-Infrastruktur ordnungsgemäss implementiert sind, wurden alle erforderlichen Ports und Protokolle identifiziert, um die korrekten Softwarefunktionen zu ermöglichen. In diesem Fall ist häufiges Patchen in der Regel nicht erforderlich, da diese Systeme zum grössten Teil von statischer Natur sind. Aber das bedeutet nicht, dass man Patch-Managementregeln ignorieren kann. Jede ICS-Umgebung erfordert einen Plan und ein Verfahren für das Aufspielen erforderlicher Patches. Nur so können bekannte Schwachstellen, die eine Bedrohung für die Umgebung darstellen, abgesichert werden. Nicht alle Schwachstellen stellen aber eine Bedrohung für die Systeme dar. Wenn zum Beispiel keine Web-Services auf dem System laufen, ist es nicht notwendig, die Web-Services zu patchen. Erfolgt dies trotzdem, erhöht sich nur das Risiko, dass das System beeinträchtigt wird.
Flaches Netzwerkdesign und unnötige Belastung für Firmenressourcen
Rückblickend wurden PCN, ICS, SCADA und anderen Steuerungsnetze zu einer Zeit entwickelt, als die Netzwerkanbindung kein Problem darstellte. Diese Systeme waren komplett getrennt vom übrigen Netzwerk. Erst infolge des erhöhten Bedarfs an Daten aus diesen Systemen war es notwendig, dass IT- und OT-Abteilungen damit anfingen, die Netzwerkanbindung zu erweitern. Eine wichtige Sicherheitsmassnahme ist hier die Einführung von ISA 62433 oder Netzwerksegmentierung, am besten so schnell wie möglich. Damit lassen sich kritische Ressourcen auf einfache Weise isolieren, so dass eine klar definierte Grenz-linie besteht.
Ebenso praktikabel ist es, diese Systeme vom Internet fernzuhalten, indem sie hinter Firewalls positioniert und von allen unnötigen Geschäftsnetzwerkdiensten isoliert werden. Erfordern die Systeme Fernzugriff, sollten sichere Methoden für mehr granulare Zugriffskontrolle eingeführt werden. Hierzu gehört auch die Erfassung aller Zugriffe auf das System.
Keine Authentifizierung zu Ressourcen
Wenn das ICS hinter einer Firewall isoliert wird, lässt sich ein höheres Mass an Zugriffskontrolle durchsetzen. Stellt die Firewall keine realisierbare Option dar, sollte eine andere Komponente zwischengeschaltet werden, die einen Login-Zugang erfordert.
Standardbenutzerkonten mit Standardpasswörtern
Zu guter Letzt sollten – wann und wo immer möglich – Standardbenutzer-IDs und Standardpasswörter für die Umgebung deaktiviert oder geändert werden. Es versteht sich von selbst, dass in der Welt der Steuerungssysteme Sicherheit von grösster Bedeutung ist. Ebenso ist es nicht praktikabel, sich im Problemfall durch eine lange Liste von Passwörtern vortasten zu müssen. Gleiches gilt, wenn 50 Steuerungseinheiten in Betrieb sind, die nicht zentral verwaltet werden. Viele ICS-Verantwortliche werden sagen: «Es würde ewig dauern, die Passwörter auf allen Steuerungseinheiten zu ändern.»
Aber es kann ein geändertes Passwort für alle 50 Systeme genutzt werden, insbesondere, wenn eine Anbindung an das Intranet/Internet gegeben ist. Die erforderliche Zeit und Energie, um die Änderung einmal durchzuführen ist mit viel weniger Aufwand verbunden als das Aufspüren und Handling eines Ausfalls. Ganz zu schweigen von der Berichterstattung an die Führungsetage, dass die Umgebung wegen eines Passwortproblems kompromittiert worden ist.
Infoservice
Palo Alto Networks GmbH
Josef-Schappe-Strasse 21, DE-40882 Ratingen
Tel. 0049 2102 128 910 40
www.paloaltonetworks.de
