Deutschland wird weltweit für Wirtschafts-Leistung und Produkte weltweit geachtet. Die digitalen Systeme der Unternehmen aber bieten Cyberkriminellen Angriffsfläche. Hier sollten Unternehmen vorbereitet sein, so Frank Kölmel, Vice President Central & Eastern Europe bei FireEye.
Immer mehr Unternehmen verstehen, dass Cyberangriffe auf ihre Netzwerke unvermeidbar sind. Entschlossene Angreifer machen nicht bei den Mitarbeiter-PCs Halt und doch sind sich bisher nur wenige auch der Gefahr bewusst, die von ihren Angriffen für die Sicherheit von Steuerungssystemen ausgeht. Dabei gehört diese Bedrohung zu den folgenschwersten, die ein Industrieunternehmen treffen können.
Gezielte Angriffe auf Produktionsanlagen
Eines der wichtigsten Instrumente für die Cybersicherheit ist ein Incident-Response-Plan für den Krisenfall – was tun, wenn Not am Mann ist? Dieser Frage sollte gut vorbereitet begegnet werden können. Gerade bei Industriesteuerungssystemen können Fehlkonfigurationen, falsche Bedienung, Komponentenversagen oder gezielte Manipulation durch Malware zu Kontrollverlust und Totalausfällen von Anlagen führen. Das haben nicht zuletzt Stuxnet, Havex und Black Energy 2 gezeigt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies in seinem jährlichen Lagebericht zur IT-Sicherheit 2014 auf einen solchen Fall hin, der in einem deutschen Stahlwerk beobachtet worden war. Mittels Spear-Phishing und anderen Social-Engineering-Methoden erlangten die Angreifer zunächst Zugriff auf das Büronetz und schließlich auch auf die Produktionsnetze des Betriebs. Mehrere interne Systeme und industrielle Komponenten wurden bei diesem Angriff kompromittiert und ganze Anlagen fielen aus. Darüber hinaus konnte ein Hochofen nicht mehr geregelt heruntergefahren werden. Die infizierten Steuerungssysteme gaben keine Informationen zum Zustand der Anlage aus. Dieser Kontrollverlust führte zu schweren physischen Schäden an der Anlage und hätte weitere schwere Folgen bedeuten können.
Derartige Angriffe können nicht vollständig verhindert werden. Ein Angreifer, der ein Netzwerk kompromittieren will, wird es auch versuchen. Unternehmen können ihre Systeme jedoch darauf vorbereiten, um bei Sicherheitsvorfällen schnell reagieren zu können.
Incident-Response-Pläne beantworten wichtige Fragen
Ein Incident-Response-Plan bietet die Möglichkeit, Verhaltensregeln für unterschiedliche Szenarien zu entwickeln. Bei der Erstellung eines solchen Plans sollten verschiedene Punkte beachtet und wichtige Fragen geklärt werden. Dazu müssen beispielsweise Sicherheitsvorfälle definiert und sinnvoll klassifiziert werden. Ebenso muss es eine klare Rollenverteilung und Verantwortlichkeit unter den Führungskräften geben. Im Idealfall enthält ein solcher Plan auch Anleitungen zur Entdeckung und Analyse von Sicherheitsvorfällen, und erklärt einzelne Schritte der notwendigen Maßnahmen.
Industrieunternehmen, die bisher keinen Incident-Response-Plan für ihre Systeme entwickelt haben, können sich bei der Erarbeitung an anderen Plänen für Zwischenfälle orientieren. Auch in der Cybersicherheit helfen darin vorgesehene Maßnahmen, wie regelmäßige Sicherheitstests für Systeme und Mitarbeiter.
Netzwerk-Monitoring kann der Schlüssel sein
Kommt es zu einem Sicherheitsvorfall, benötigen Incident-Responder, die sich mit dem Vorfall befassen, Logs und weitere forensische Daten, um die Ereignisse rekonstruieren zu können. Durch das Nachverfolgen der Ereignisse kann eine Sicherheitslücke schnell identifiziert und geschlossen werden. Tools für Network Security Monitoring (NSM) bieten eine umfassende Hilfe, denn Netzwerkverkehr und System-Logs können auf diese Weise einfacher gebündelt analysiert und Anomalien schneller entdeckt werden. Solche Monitoring-Tools existieren bereits seit 25 Jahren, werden jedoch erst seit kurzer Zeit auch für Industriesteuerungsanlagen eingesetzt. Mit der Implementierung solcher Tools ist ein erster wichtiger Schritt zum Schutz eines Netzwerks getan.
Bei Incident Response ist Expertise gefordert
Die Untersuchung eines Sicherheitsvorfalls bei Steuerungssystemen unterscheidet sich von Vorfällen in normalen Büronetzwerken, da besondere Betriebssysteme und Management-Tools eine spezielle Herausforderung darstellen. In der Regel kann ein Steuerungssystem auch nicht einfach zur Untersuchung vom Netz genommen werden, denn daraus kann ein physisches Sicherheitsrisiko entstehen.
Erfahrene Experten – interne wie externe – sind ein Schlüsselelement der Incident Response. Kompetente Ansprechpartner sollten daher in Incident-Response-Plänen vermerkt werden. Bei der Untersuchung eines Sicherheitsvorfalls arbeiten Incident-Response-Experten eng mit Management, Rechtsabteilung, Ingenieuren, Technikern und weiteren Abteilungen und Fachleuten zusammen, um Schäden schnell einzudämmen und zu beseitigen.
Incident-Responder sind für die Umsetzung der notwendigen Maßnahmen, deren Zeitplan und die Wiederherstellung des Systems verantwortlich. Dabei müssen sie so schnell wie möglich agieren, ohne dabei forensische Hinweise auf den Ursprung der Sicherheitsverletzung zu zerstören. Schließlich ist es auch ihre Aufgabe, diesen Ursprung zu identifizieren und Maßnahmen zu erarbeiten, die eine Wiederholung des Vorfalls verhindern.
Nicht nur bei Büronetzwerken, sondern auch bei Industriesteuerungssystemen ist die Bedrohung durch Cyberangriffe heute so groß wie nie zuvor. Die Frage ist auch bei ihnen nicht, ob es zu einer Sicherheitsverletzung kommt, sondern wann dies geschieht. Unternehmen sind in der Pflicht, für Sicherheitsvorfälle vorzusorgen und auch für Steuerungssysteme in Produktionsnetzen Incident-Response-Pläne zu entwickeln, mit denen Experten schnell und mit den richtigen Tools ausgestattet reagieren können – bevor großer Schaden entsteht.