Archiv der Kategorie: IOT – IoT-Security

Thingbots nun größte Gefahr für das Internet

Schon im vergangenen Jahr haben wir in dieser Blog-Reihe festgestellt, dass die Gefahr durch angreifbare IoT-Geräte zunimmt. Dieser Trend hat sich laut einer aktuellen Studie deutlich bestätigt. Mehr noch: Attacken auf IoT-Geräte übertreffen zahlenmäßig inzwischen die Angriffe auf Web- und Anwendungsdienste sowie E-Mail-Server.

Gemäß der Studie „The Hunt for IoT“ wurden bereits in der ersten Hälfte des Jahres 2018 dreizehn neue Thingbots entdeckt. Zum Vergleich: Im ganzen Jahr 2017 waren es sechs und 2016 neun. Bei Thingbots handelt es sich um IoT-Geräte, die mit Malware kompromittiert sind.

Demnach wurde Spanien in den letzten 18 Monaten am häufigsten angegriffen. Weitere oft attackierte Länder waren Russland, Ungarn, die USA und Singapur. Die meisten Angriffe zwischen dem 1. Januar und dem 30. Juni 2018 stammten aus Brasilien (18%), gefolgt von China (15%), Japan (9%), Polen (7%), USA (7%) und Iran (6%). Die am häufigsten von Bots infizierten IoT-Geräte waren Small/Home Office-Router, IP-Kameras, digitale Videorekorder und Videoüberwachungsanlagen.

Auch Deutschland stark betroffen
In Deutschland ist die Gefahr ebenfalls sehr hoch, nicht zuletzt aufgrund zunehmend eingesetzter Industrie-4.0-Lösungen und der stark wachsenden Zahl an IoT-Geräten. Auch hier stellen derzeit die auf einfache Weise mit dem Internet verbundenen Geräte wie Smart TV, Gebäudesteuerung und Überwachungskameras sowie im Privatbereich Spielekonsolen, Videorekorder und Haushaltsgeräte das größte Risiko dar. Viele dieser Geräte werden nur selten auf Sicherheitslücken geprüft und aktualisiert sowie deren Standard-Passwort geändert.

Den meisten Unternehmen ist diese Gefahr durchaus bewusst. So besitzt das Thema Security eine hohe Priorität bei Projekten, die auf einer IoT-Infrastruktur basieren. Dau gehören zum Beispiel vernetzte Fahrzeuge, kritische Infrastrukturen oder intelligente Produktionssysteme. Doch vor allem Privatnutzer und Mitarbeiter sind häufig nachlässig und setzen weitgehend  bedenkenlos vernetzte Heimsysteme oder Smartphones auch im beruflichen Umfeld ein.

Häufig eingesetzte Methoden
Das spiegelt sich in der Zunahme von Social-Engineering-Attacken wider. Zwar bleibt bei Thingbots die meistgenutzte Angriffsmethode Distributed Denial of Service (DDoS), im vergangenen Jahr kamen aber weitere Methoden hinzu. Dazu gehören die Installation von Proxy-Servern zum Starten von Angriffen, Kryptojacking, die Installation von Tor-Knoten und Paket-Sniffern, DNS-Hijacks, Credential Collection, Credential Stuffing und Betrugstrojaner. Gerade die letzte Methode zielt vor allem auf Nutzer.

Die häufigste Maßnahme, mit der Angreifer IoT-Geräte aufspürten und infizierten, waren Internet-Scans, die nach offenen Remote-Administrationsdiensten suchten. Telnet und Secure Shell (SSH) waren die beliebtesten Protokolle, gefolgt von Home Network Administration Protocols (HNAP), Universal Plug and Play Protocols (UPnP), Simple Object Access Protocols (SOAP) und anderen Transmission Control Protocol (TCP) Ports, die von IoT-Geräten verwendet werden.  

Infrastrukturen und Mobilgeräte anfällig
Laut der Studie sind IoT-Infrastrukturen „ebenso anfällig für Authentifizierungsangriffe über schwache Anmeldeinformationen wie die IoT-Geräte selbst“. Zur IoT-Infrastruktur gehören vor allem Server und Datenbanken.

Mobile IoT-Gateways sind genauso gefährdet wie herkömmliche drahtgebundene und WiFi-basierte IoT-Geräte. Bis zu 62 Prozent der getesteten Geräte waren anfällig für Angriffe per Fernzugang. Dabei wurden vor allem schwache Standardbenutzerdaten des Herstellers ausgenutzt.

Mirai weiterhin gefährlich
Außerdem ergab die Studie, dass die Gefahr durch Mirai weltweit kaum abnimmt. Zwar reduzierte sich die Anzahl der Mirai-Scannersysteme von Dezember 2017 bis Juni 2018 leicht. Europa bleibt jedoch die einzige Region, in der die Infektion mit Mirai-Scannern relativ konstant geblieben ist.

Dabei müssen Unternehmen neben dem ursprünglichen Bot auch mindestens 10 Mirai-Ableger berücksichtigen. Dazu gehören Annie, Satori/Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni und Wicked. Diese Geschwister von Mirai können weitaus mehr als nur DDoS-Angriffe starten. Zum Beispiel setzen sie Proxy-Server ein, um Krypto-Währungen zu suchen und andere Bots zu installieren.

Geeignete Maßnahmen treffen
Um sich ausreichend vor Thingbots zu schützen, müssen Unternehmen mehrere Schichten betrachten: zum einen die Applikationen und IoT-Broker, die Informationen verarbeiten und aufbereiten, und zum anderen Infrastrukturen sowie Endpunkte und Sensoren. Ein DDOS-Schutz ist auf allen Schichten sämtlicher Infrastrukturen und Applikationen notwendig, da es sonst zu einem Totalausfall der Systeme kommen kann. Eine Strategie zum Schließen von Sicherheitslücken in Anwendungen über Updates muss ebenfalls gegeben sein. Eine WAF (Web Application Firewall) sollte sicherstellen, dass sogar angreifbare Anwendungen bis zum Software-Update abgesichert sind.

Einfache Sensoren ohne Speicher und ohne gängiges Betriebssystem lassen sich aufgrund der geringen Kapazitäten nur schwer angreifen. Hier ist ein grundlegender Manipulationsschutz oft ausreichend. Endgeräte mit Speicher und Anwendungen sind dagegen durch veränderbare, komplexe Passwörter, Sicherheitsupdates, Härtung des Betriebssystems und bei Bedarf mit Virus- und Malware-Schutz zu versehen.

Dabei lassen sich zum Teil bereits genutzte Internet-bezogene Security-Maßnahmen erweitern und anpassen. Dazu gehören etwa DDOS-Schutz, WAF oder die klassische Netzwerk-Firewall. Kommen jedoch IoT-spezifische Protokolle zum Einsatz wie MQTT, sind meist neue Schutzmechanismen zu implementieren, zum Beispiel ein MQTT Gateway oder eine MQTT-fähige WAF. In jedem Fall sollten Digitale Signaturen, strenge Authentifizierung und Verschlüsselung immer Bestandteil der IoT-Kommunikation sein.

Fazit
Thingbots verbreiten sich immer stärker und die Angriffsmöglichkeiten auf das IoT nehmen zu. Daher sollten Unternehmen jetzt für hohe Sicherheit sorgen, vor allem durch Bot-Abwehr am Anwendungsperimeter sowie eine Anti-DDoS-Lösung. Sonst können Vorfälle zu deutlichen Umsatzeinbußen führen.

IoT: Zutrittskontrolle und Cybersecurity

Die Verknüpfung von physischen und digitalen Sicherheitskomponenten mit dem IoT läutet in der Tat die nächste Phase der digitalen Transformation ein: Das Zusammenspiel aller Komponenten eines vernetzten Sicherheitssystems optimiert zum einen die Effektivität, zum anderen übermitteln die individuellen Hardwareeinheiten Daten, die bei richtiger Handhabung auch eine Business Intelligence ermöglichen. Das Thema Cybersecurity ist dabei elementar und essentiell für den Erfolg eines jeden IoT-Systems.

Vernetzte Zutrittskontrolle

Ein interessantes Beispiel für ein solches vernetztes System ist die Zutrittskontrolle. Denn die Technologien von Türstationen umfassen weit mehr als nur Video-Türklingeln. Als Teil eines IoT-Systems können Netzwerk-Türstationen mit einem äußerst komplexen und hochwertigen Sicherheitsnetzwerk verbunden werden. Gleichzeitig werden Business-Intelligence-Daten gesammelt und sicher an Smartphones oder Server gesendet.

So können beispielsweise auch KFZ-Nummernschilder als Berechtigungsnachweise für einen Zutritt genutzt werden. Bei diesem System arbeiten verschiedene Technologien über das Netzwerk zusammen und sichern auf diese Weise die Zutrittskontrolle auf einen Parkplatz oder ein bestimmtes Areal. Sobald ein Fahrzeug in den Erfassungsbereich einer Kamera gerät, wird die Software der Kamera aktiviert und das Kfz-Kennzeichen des Fahrzeugs überprüft. Die Netzwerk-Kamera sendet die Daten anschließend an die Türsteuerung am Tor. Sie wiederum entscheidet durch die angeschlossene Datenbank mit den zugelassenen Kennzeichen, ob der Zutritt gewährt wird oder nicht. Sollte das Nummernschild eines Fahrzeuges nicht für den Zutritt freigegeben sein, kann sich der Fahrer beispielsweise über die Netzwerk-Video-Türstation mit einem Mitarbeiter verbinden, der dann entscheidet, ob er den Zutritt gewährt oder nicht. Die erhobenen Daten aus den geschilderten Vorgängen werden protokolliert und gespeichert.

Diese beschriebenen Vorgänge und Elemente kommunizieren alle über offene Protokolle miteinander. Die standardisierte, sichere Informationsübermittlung ermöglicht auch die Einbindung verschiedener Komponenten von mehreren Herstellern. Dadurch können Unternehmen Geräte nutzen, die für ihre individuellen Bedürfnisse am besten geeignet sind.

Maßnahmen zur IT-Sicherheit

Das Beispiel der KFZ-Kennzeichen-Zutrittskontrolle unterstreicht auch die Notwendigkeit, die Cybersecurity anwendungsorientiert umzusetzen. Jede Komponente dieses Systems stellt einen potenziellen Zugang für Kriminelle dar. Ist eines der Bestandteile in diesem Netzwerk nicht ausreichend geschützt, können sensible Informationen abgegriffen werden – mit der Folge, dass das Unternehmen einen realen Schaden erleiden kann.

Die Sicherung der verbundenen Geräte sowie die Sicherung der Daten selbst haben dabei oberste Priorität. Netzwerk- und Datenlecks verursachen nicht nur schwerwiegenden Reputationsschäden für das betroffene Unternehmen, sondern jeder Verstoß behindert auch die weitere Entwicklung des IoT. Dies liegt daran, dass sowohl Unternehmen als auch die Öffentlichkeit darauf vertrauen müssen, dass IoT-Technologien den Erwartungen an einen ungefährlichen und cybersicheren täglichen Betrieb gerecht werden. Datenschutzrichtlinien wie zum Beispiel die Datenschutz-Grundverordnung (DSGVO) sollten als Hilfe und nicht als Hindernis verstanden werden.

Schnelles Handeln für den Fortschritt

Um im Wettbewerb zu bestehen, müssen Unternehmen die besten am Markt erhältlichen Technologien miteinander verbinden – auch wenn das bedeutet, dass sie mehrere Anbieter kombinieren müssen. Standard- sowie offene Protokolle, mit denen verschiedene Geräte einfach miteinander kommunizieren können, sind der beste Weg für eine Sicherstellung der Kompatibilität bestehender und zukünftiger Produkte. Es ist ebenso wichtig, dass das Sicherheitssystem einfach zu bedienen ist. Die riesigen Datenmengen aus unterschiedlichen Quellen müssen aggregiert und den Nutzern in leicht managebaren Formaten präsentiert werden. Schließlich sollen Analysten die Daten interpretieren, um schnell entschlusskräftige Entscheidungen treffen zu können. IoT-Technologien und -Produkte, die einfach in der Bedienung sind, auf offenen Protokollen und globalen Standards basieren sowie den hohen Anforderungen an die Cybersecurity genügen, vereinen wichtige Erfolgsqualitäten.

Die Förderung offener Systeme zwischen Hardware, Software und Anwendungstechnologien sowie -Produkten bringt Vorteile. Organisationen wie ONVIF, die sich für standardisierte Netzwerkprotokolle einsetzen, leiten eine neue Ära der Zusammenarbeit in der Sicherheitsbranche ein. Dies bildet zusammen mit der Priorisierung von Cybersecurity die Grundlage für eine immer stärker vernetzte Welt.

 

Cybersecurity – Was User und Unternehmen wissen müssen

Cyberkriminalität boomt und wird weiterhin rasante Entwicklungen und Herausforderungen für die IT-Sicherheit mit sich bringen. Sicherheitsexperten und Datenwissenschaftler haben sieben Entwicklungen identifiziert, die ein Umdenken in der Cybersecurity erfordern: von biometrischem Hacking, Künstlicher Intelligenz und der Cloud als Einfallstor für IoT-Hacks bis hin zu branchenweiten Security Trust Ratings und einem Cyber Cold War aufgrund von neuem Isolationismus der Politik und Wirtschaft durch Handelsembargos.

Das gefälschte Gesicht – Hacker manipulieren Gesichtserkennungssoftware

Mit Phishing-Attacken und Hacks wie „SIM SWAPS“ untergraben Angreifer bereits regelmäßig die Wirksamkeit von Zwei-Faktor-Authentifizierung-(2FA)-Methoden (z. B. Login mit Passwort und SMS-Code). Eine mehrstufige Authentifizierung durch biometrische Merkmale bietet hier eine zusätzliche Sicherheitsebene. Sie verwendet Daten, die spezifisch für den End-User sind. Der Technologiegigant Apple setzt bei seinen neuen iPhones etwa auf Gesichtserkennung. Fakt jedoch ist: Keine Authentifizierungsmethode ist zu 100 Prozent sicher. Hacker werden zukünftig Identitäten trotz und gerade mit Gesichtserkennungssoftware stehlen. So überlistete bereits 2016 ein Bildverarbeitungsspezialist der University of North Carolina Gesichtserkennungssysteme mit öffentlich verfügbaren Digitalfotos und mobiler VR-Technologie. Unternehmen sollten sich daher mit verhaltensbasierten Systemen schützen. Tastenanschlag, Mausbewegungen, Geschwindigkeit beim Scrollen et cetera – physisches Verhalten einer Person ist eindeutig und lässt sich nicht nachahmen.

Industrie 4.0 – Angreifer nutzen Schwachstellen bei Hardware- und Cloud-Infrastruktur

In einer Umfrage identifizierten 76 Prozent der 1.000 Teilnehmer die massive Einflussnahme auf das industrielle IoT als wichtige Sicherheitsfrage. Die Vielzahl vernetzter Geräte, mobile Zugriffe und verschiedene Applikationen machen den Schutz von Systemen und Daten zunehmend komplexer. Mit gleichzeitig steigender Datenmenge setzen Unternehmen immer mehr auf Cloud-Lösungen und -Provider für Wartung, Updates und Device-Management. Die Multi-Tenancy-Architektur vieler skalierbarer Dienste für IoT-Systeme führt aber zu technologischen Schwachstellen. Angriffe auf die Cloud-Infrastruktur sind daher deutlich lukrativer, um wichtige Systeme zum Stillstand zu bringen. Produktion, Energieerzeugung und andere wichtige Sektoren könnten gleichzeitig betroffen sein. Ein effektiver, ganzheitlicher Schutz erfordert daher Einblicke in das Verhalten von Mensch und Maschine, um automatisch unautorisierte Eingriffe in IoT-Systeme zu verhindern, ohne dass die Verfügbarkeit beeinträchtigt wird.

Künstliche Intelligenz bleibt nur ein Buzzword in der Cyber-Sicherheit

Künstliche Intelligenz, die menschliche Kognition beziehungsweise geistige Aktivität reproduzieren kann, gibt es in der Cybersecurity nicht. Auch in 2019 wird KI ein beliebtes Schlagwort für Marketer und unausgereifte Produktlösungen bleiben. Manche Firmen gehen dabei sogar soweit, menschliche Eingriffe in ihr Produkt zu verschleiern. Automation und nicht KI per se, kann Security-Experten im Unternehmen in hohem Maße entlasten. So können sich diese durch einen hohen Automatisierungsgrad und adaptive, risikobasierte Lösungen sowie Anpassungen etwa ganz auf relevante, auffällige Aktivitäten konzentrieren.

Politische Isolation und Handelsstreit beschwören Cyber Cold War herauf

Spionage hat Staaten und Unternehmen schon immer einen Weg zum Erwerb neuer Technologien eröffnet. Allein 43 Milliarden Euro Schaden durch Hackerangriffe hat der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz für Unternehmen in Deutschland in den vergangenen zwei Jahren festgestellt. Isolationismus bei der Handelspolitik wird in vielen Fällen Nationen und Unternehmen dazu veranlassen, verstärkt durch Cyber-Taktiken Einfluss auf andere Staaten, kritische Infrastrukturen und wichtige Branchen zu nehmen oder geistiges Eigentum stehlen. Solche Angriffe zielen dabei häufig auf einzelne Mitarbeiter als Einfallstor für Schadsoftware. Statt weitere Mauern zu bauen, gilt es daher, besser zu verstehen, wie und warum Menschen mit sensiblen Daten umgehen und wo sich diese bewegen. Mit der Analyse von Nutzerverhalten kann gezielt auf hochriskante Aktivitäten eingegangen werden. Mittels automatischer Anomalie-Erkennung können Unternehmen normales Nutzerverhalten sowie gewöhnlichen ein- und ausgehenden Datenverkehr von verdächtigen Datenbewegungen unterscheiden.

Security Trust Ratings – die neue Grundlage für Kooperationen in der Wirtschaft

In der heutigen „Zero Perimeter World“, einer digitalen Welt ohne klare Grenzen, sind kritische Daten und geistiges Eigentum mehr denn je gefährdet. Die Verantwortung für die Datensicherheit bleibt dabei jedoch immer beim Unternehmen, auch wenn die Daten beispielsweise bei einem Provider liegen. Branchenweite Security Trust Ratings sind notwendig, wenn Unternehmen nach Zusicherungen suchen, dass Partner und Wertschöpfungsketten vertrauenswürdig und ausreichend gesichert sind. Firmen müssen Security daher von oben nach unten in ihre Unternehmenskultur integrieren. So kann diese etwa nur dann funktionieren, wenn Mitarbeiter das Gefühl haben, einen Beitrag zur ganzheitlichen Sicherheit des Unternehmens zu leisten. Das Thema darf daher nicht nur in der Verantwortung der IT-Teams liegen, sondern ist ein Geschäftswert. So suchen schon jetzt 58 Prozent der befragten Forcepoint-Umfrageteilnehmer aktiv nach vertrauenswürdigen Cloud-Anbietern mit einem guten Ruf für Sicherheit.

DSGVO – Mitarbeiter und Unternehmen streiten über Verantwortlichkeiten bei Datenverlust

Mit der DSGVO sind Konfrontationen im Gerichtssaal vorprogrammiert: 2019 wird es Gerichtsverfahren wegen Datenschutzverletzungen geben, bei denen ein Mitarbeiter seine Unschuld bekundet und ein Arbeitgeber vorsätzliches Handeln unterstellt. Ob ein Richter zugunsten eines Arbeitgebers oder eines Arbeitnehmers entscheidet, ist dabei nahezu irrelevant. Vielmehr werden mangelhafte IT-Sicherheitsmaßnahmen eines Unternehmens öffentlich präsentiert. Firmen müssen daher Menschen und Daten schützen und bösartige Aktivitäten identifizieren, bevor sie kritische Systeme und IPs schädigen. Die Analyse von Nutzerverhalten und Datenbewegungen am Arbeitsplatz hilft dabei, das Gesamtbild eines Vorfalls zu verstehen. Eingesetzte Lösungen müssen dabei drei Grundprinzipien erfüllen: legitimer Zweck, Verhältnismäßigkeit und vollständige Transparenz. Der Schutz personenbezogener Daten und der Privatsphäre sollte Grundvoraussetzungen für jedes erfolgreiche Unternehmen sein.

Datenskandale – mit Edge Computing die Vertrauenslücke schließen

Der Facebook-Datenskandal rund um Cambridge Analytica war 2018 nur die Spitze des Eisbergs. Das Vertrauen der User in viele Online-Dienste und dem verantwortungsvollen Umgang mit ihren Daten ist gering. Unternehmen werden versuchen mit Edge Computing diese Vertrauenslücke zu schließen. Daten werden nicht mehr automatisch in die Cloud geladen und zentral in einem Datencenter gespeichert, sondern auf dem jeweiligen Endgerät oder der Applikation (also am Rande des Netzwerks – dem „Edge“). Das verbessert den Datenschutz und erlaubt Usern mehr Kontrolle über ihre Daten. Edge Computing allein wird das mangelnde Vertrauen der Verbraucher aber nicht überwinden können. Es reicht nicht aus, dass Unternehmen Daten sowohl auf dem Gerät als auch in der Cloud erfassen und sichern. Um Vertrauen zu schaffen, müssen sie nachvollziehbar offenlegen, wie Nutzerdaten gesichert und genutzt werden.

So werden intelligente Städte sicher

Städtische Infrastrukturen werden immer stärker digitalisiert und vernetzt. Aber mit der Zunahme von Smart-City-Lösungen wächst auch die Angriffsfläche, die Cyberkriminelle für ihre Zwecke ausnutzen können. Städte dürfen die genutzten Daten und die öffentliche Infrastruktur jedoch keinem hohen Risiko aussetzen. Daher müssen sie vor allem zwei große Schwachstellen vermeiden: eine unzureichende Absicherung von öffentlichen WiFi-Netzen sowie Sicherheitslücken bei den eingesetzten IoT-Geräten und -Sensoren.

Gerade letzteres wird häufig unterschätzt. Tatsächlich weisen viele IoT-Geräte nur voreingestellte Passwörter auf, die sich zum Teil nicht verändern lassen. Solche Standard-Passwörter sprechen sich aber in Hacker-Kreisen schnell herum, so dass Angriffen Tür und Tor geöffnet wird. Attacken können dann Infrastrukturen empfindlich stören, zum Beispiel Verkehrsinformationen und Leitsysteme oder Steuerungen für Parkplätze, Laternen, Luft- und Lärmmessungen, die auf die Sensorik des Internet of Things zurückgreifen.

Eine Absicherung der Geräte und Sensoren durch Security-Software ist aber aufgrund der geringen Speicher- und Rechenkapazitäten kaum möglich. Daher müssen sie durch eine Art Schutzwall aus Systemen mit ausreichenden Ressourcen abgesichert werden. Entsprechend benötigen Städte ein durchgängiges Sicherheitskonzept. Gleichzeitig müssen die Hersteller konsequent aktuelle Security-Standards nutzen und weiterentwickeln, um ihre IoT-Produkte besser zu schützen.

Ganze Strukturen gefährdet

Neben Geräten werden auch ganze Systeme und Technologien für Smart Cities immer noch ohne geeignete Sicherheitsarchitekturen oder Lösungen zur Abwehr von Bedrohungen entwickelt. Diese Nachlässigkeit kann eine Reihe von Schwachstellen verursachen, die wiederum ernsthafte Probleme nach sich ziehen. Ein Hacker, der eine intelligente Parkuhr kontrolliert, kann lästig sein, aber ein cyberkriminelles Eindringen in die Verkehrsleitstruktur könnte katastrophale Folgen haben.

Auf der diesjährigen Black-Hat-Konferenz untersuchte das X-Force Red Team von IBM bestehende kommunale Technologien, um die Möglichkeit von groß angelegten Angriffen zu ermitteln. Die Nachforschungen konzentrierten sich auf vier gängige Systeme und fanden 17 Schwachstellen, von denen neun als kritisch eingestuft wurden. Ein europäisches Land benutzte ein empfindliches Gerät zur Strahlungsdetektion. In den USA war es ein System zur Überwachung der Verkehrsregelung. Die fraglichen Schwachstellen waren bei beiden Gelegenheiten nicht komplex. Die Anbieter hatten es einfach versäumt, grundlegende Sicherheitsmaßnahmen zu implementieren.

Zudem simulierten die Forscher von IBM einen Angriff auf Geräte, die den Wasserstand in Staudämmen überwachen. In weniger als einer Minute konnten sie die umliegenden Gebiete überfluten. Der simulierte Hack fand auf einer häufig verwendeten, aber leicht zu kapernden Hardware für Smart Cities statt.

Neue Gesetze und Verordnungen dürften die Sicherheitslage aber nicht wesentlich verbessern, da sie ohnehin nicht mit der technischen Entwicklung Schritt halten können. Daher helfen nur eher allgemein gefasste Rahmenbedingungen wie das IT-Sicherheitsgesetz sowie einheitliche Regelungen, die bereits heute von verantwortungsvollen Herstellern entwickelt und befolgt werden. In Zukunft müssen sie aber die technischen Möglichkeiten noch konsequenter und zeitnäher umsetzen, um kritische Infrastrukturen besser zu schützen, die bereits heute jeden Tag angegriffen werden.

Der Wettlauf um die Entwicklung

Ein einfaches Weiter-so und Ignorieren der Entwicklung bringt Städte aber nicht weiter. Denn schon heute befinden sie sich in einem Wettlauf um Bürger und Unternehmen. So müssen sie moderne, attraktive Infrastrukturen bieten, damit sie auch weiterhin erfolgreich sind. Gerade hier leisten Smart-City-Lösungen einen wichtigen Beitrag. Damit lassen sich umfassende Erkenntnisse aus unzähligen Sensoren, Interaktionen und Verhaltensweisen gewinnen. Laut einem aktuellen Whitepaper von ABI Research könnten weltweite Smart-City-Technologien im nächsten Jahrzehnt dadurch mehr als 20 Billionen Dollar an zusätzlichen wirtschaftlichen Vorteilen erschließen.

Europa verfolgt dabei große Ambitionen. Gemäß einer Untersuchung des Europäischen Parlaments aus dem Jahr 2017 gibt es hier bereits 240 Städte mit über 100.000 Einwohnern, die zumindest über einige intelligente Lösungen verfügen. Dazu gehört Technologie zur Verbesserung der Energienutzung, der Verkehrssysteme oder anderer Infrastrukturen. Die Europäische Innovationspartnerschaft Smart Cities and Communities sagt voraus, dass bis Ende 2019 sogar 300 Städte intelligent sind.

Die Zukunft gestalten

Führungskräfte, Vordenker, Entwickler, Dienstleister und Städteplaner müssen daher die Zusammenarbeit mit Regulierungsbehörden und Systempartnern dringend intensivieren. Nur gemeinsam können sie die Einführung sicherer Netzwerke und Geräte gewährleisten. Die gesamte Technologiebranche sollte auch mehr tun, um das Prinzip ‚Security-by-Design‘ konsequent in der gesamten Entwicklung von Infrastrukturen umzusetzen. Darüber hinaus muss die Ende-zu-Ende-Sicherheit verbessert werden, einschließlich strenger Authentifizierung der Benutzer sowie Richtlinien für alle Kommunikationswege. Gleichzeitig sollten Dienstleister ihre Verschlüsselungsfunktionen für den Datenschutz mit aktueller Software erweitern.

So müssen alle Beteiligten die Warnzeichen für eine zunehmende Cyberkriminalität bei städtischen Infrastrukturen ernst nehmen. Außerdem sind Cybersicherheitsexperten in allen Phasen einzubeziehen –von der Planung und dem Bau bis zum Infrastrukturmanagement. Städte müssen intelligenter werden. Das gilt nicht nur für die Nutzung der Daten, sondern auch für die Abwehr von Gefahren durch Cyberkriminelle. Die bislang geschlossenen städtischen Systeme waren von der Außenwelt abgekoppelt. Doch bei den offenen Smart-City-Lösungen hilft nur eine agile Sicherheitsarchitektur, welche die neuesten Security-Standards und -Funktionen voll ausschöpft und sich ständig weiterentwickeln lässt.

Das gehört zum Sicherheitsportfolio

Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.

Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:

  • eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials – BOM)
  • das Managen von Open-Source-Schwachstellen
  • die Sicherstellung von Open-Source-Compliance
  • die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)

Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.   

Das entgeht statischen Analyse-Tools

Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.

Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.

Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.

Tests für die Anwendungssicherheit

Blitztest für Open Source Software

Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:

  • “Nutzen wir die neueste Version von Apache Struts 2?”

Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt  145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.

  • “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“

Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.

  •  „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”

SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.

Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.

Cybersicherheit in der Industrie: Kein Zutritt für Trojaner, Viren und Co.

Hacker können im Zuge der Digitalisierung von Prozessen Sicherheitslücken leichter ausnutzen und Maschinen und Geräte infizieren. Laut einer aktuellen Bitkom-Studie hat die Anzahl von Cyberattacken in den vergangenen zwei Jahren für 84 Prozent der Industrieunternehmen zugenommen. Dadurch sind Angreifer in der Lage, die komplette IT-Landschaft eines Unternehmens lahmzulegen. Eine passende Firewall schafft Abhilfe. Sie schützt Unternehmen vor Cyberbedrohungen und erhöht die firmeninterne IT-Sicherheit. Doch worauf sollte man bei der Wahl einer passenden Firewall achten?

In der Industrie 4.0 verzahnen sich Prozesse mit modernster Informations- und Kommunikationstechnik. Maschinen und Produkte sind zunehmend softwaregesteuert und kommunizieren miteinander. Damit steigt auch die Flexibilität der Produktion. Die Vernetzung von Mensch, Maschine und industriellen Prozessen ist somit ein wichtiger Faktor für die Produktivität und verändert nachhaltig die Art und Weise, wie Unternehmen zukünftig produzieren und arbeiten. Gleichzeitig birgt die digitale Vernetzung jedoch ein großes Bedrohungspotenzial. Cyberangriffe auf industrielle Anlagen und kritische Infrastrukturen führen zu Imageschäden, stören den Geschäftsbetrieb, verursachen Datenverluste und können Menschen gefährden. Für einen unterbrechungsfreien Ablauf der industriellen Prozesse müssen die IT-Systeme deshalb umfassend abgesichert sein.

Firewall: Der „Tower“ hat alles im Blick

Eine Firewall schützt die gesamte IT-Landschaft, indem sie Cyberbedrohungen abwehrt. Sie ist daher ein unverzichtbarer Bestandteil der firmeninternen IT-Sicherheitsstrategie. Eine Firewall agiert längst nicht mehr nur wie ein Türsteher, der die Eingangstür zum Datenparadies mit essenziellen Unternehmensinformationen und zu Prozessen bewacht sowie unerwünschten Gästen wie Trojanern, Viren und anderen Schädlingen den Zutritt verwehrt. Inzwischen fungiert sie eher wie ein Tower am Flughafen. Dieser ermöglicht, über das ganze Informationssystem hinweg das Geschehen im Netzwerk zu kontrollieren und darüber hinaus potenzielle Bedrohungen zu beobachten und präventiv abzuwehren.

Firewall – worauf achten?

Zunächst sollten die Verantwortlichen die aktuellen und zukünftigen Sicherheits­anforderungen des Unternehmens identifizieren und vorausschauend planen: Bandbreite, auszulagernde Dienste, Zugang zu Netzwerkressourcen für Personen, die nicht physisch vor Ort sind und so weiter. Angesichts der fortschreitenden Digitalisierung und der sich immer schneller wandelnden Anforderungen ist es wichtig, auf flexible Technologien zu setzen, die sich an unterschiedliche Bedürfnisse wie beispielsweise die zunehmende Migration in die Cloud anpassen lassen. Zudem sollten IT-Verantwortliche auf offizielle Sicherheitsgütesiegel achten. In Europa prüfen zentrale Zertifizierungsstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder in Frankreich die Nationale Agentur für Sicherheit der Informationssysteme (ANSSI) auf Antrag Dienstleister oder Produkte. Eine Produktzertifizierung bestätigt, dass das Produkt bestimmte funktionale und sicherheitsrelevante Eigenschaften erfüllt, die in Schutzprofilen, Sicherheitsvorgaben oder technischen Richtlinien festlegt sind. Eine Firewall sollte sich zudem leicht in die firmeninterne Landschaft integrieren lassen und für den Anwender einfach zu bedienen sein.

Die Aufgaben einer Firewall

  • Datenverkehr des Netzwerks filtern:
    Analyse und Kontrolle des gesamten Datenverkehrs
  • Einen sicheren Zugang bereitstellen:
    Gewährleistung eines sicheren Informationsaustauschs – sowohl On-Premises als auch in der Cloud
  • Potenzielle Gefahren erkennen:
    Erfassung und Blockierung von möglichen Bedrohungen
  • Netzwerkfehler korrigieren:
    Feststellung und Beseitigung von Schwachstellen im Netzwerk

Fazit

Das Konzept der Industrie 4.0 eröffnet vielen Unternehmen neue Wertschöpfungsmöglichkeiten. Gleichzeitig birgt es neue Gefahren durch gezielte Angriffe von Hackern. Der Schutz von sämtlichen firmeninternen IT-Systemen und -Prozessen sollte daher in Unternehmen höchste Priorität haben. Als Grundlage für umfassende Sicherheit ist eine passende Firewall ein unverzichtbarer Bestandteil des IT-Sicherheitskonzepts. Sie analysiert den gesamten Datenverkehr, verhindert Cyberattacken auf IT-Systeme und schützt das Netzwerk vor unbefugten Zugriffen.

NGFW: Neue Dimensionen der Netzwerksicherheit

Unternehmen sind heute durch verteilte Organisationsstrukturen gekennzeichnet: Es gibt häufig viele verschiedene Standorte, Firmenangehörige sowie Freelancer arbeiten flexibel in unterschiedlichen Büros, im Home-Office oder mobil. Dafür muss eine hohe Netzwerk-Konnektivität gewährleistet werden. Auch Interaktive Software-as-a-Service (SaaS)-Applikationen wie beispielsweise Office 365 erfordern äußerst schnelle, performante Verbindungen mit geringen Latenzzeiten.

Auch Bedrohungen aus dem Cyberspace stellen immer neue Anforderungen an die Netzwerksicherheit. Ransomware und Spionage-Software, welche über Exploits Zugang zum Unternehmensnetzwerk erhalten, beeinträchtigen die Funktionsweise von Netzwerkdiensten. Eine noch höhere Gefahr geht von sogenannten Evasions aus. Dabei handelt es sich um getarnte Exploits, welche den Netzwerkverkehr verschleiern, so dass die Übertragungsprozesse nicht zweifelsfrei erkannt werden können. Angriffe durch bestehende Signaturen und andere grundlegende Funktionen lassen sich so nur schwer stoppen.

Traditionelle Netzwerk-Security-Lösungen helfen hier nicht mehr weiter. Sie sind nicht in der Lage, eine ausreichende Verfügbarkeit von Daten und Anwendungen über verschiedenste Geräte, Netze und Zugriffspunkte hinweg zu gewährleisten. Zudem sind sie extrem anfällig gegenüber modernen Angriffsvarianten und lassen sich kaum skalieren und damit nur schwer an die spezifischen Anforderungen im Unternehmen anpassen.

Um diese Herausforderungen erfolgreich zu stemmen, müssen die Firmennetzwerke hinsichtlich Konnektivität, Sicherheit sowie Web- und Cloud-Fähigkeit in ein ganzheitliches Gesamtkonzept eingebunden werden. Moderne Next-Generation-Firewall-Lösungen (NGFW) sind in der Lage, Tausende von Firewalls, IPSs, VPNs und SD-WANs in nur wenigen Minuten über eine zentrale Konsole zu installieren und in Betrieb zu nehmen. Dabei lässt sich das System bedarfsgerecht skalieren und individuell an das Wachstum der jeweiligen physischen und virtuellen Unternehmensnetzwerke anpassen. Dies ermöglicht das Management hocheffizienter Prozesse in verteilten Firmennetzwerken. So sind alle Daten und Anwendungen in der gesamten IT-Infrastruktur verlässlich geschützt – egal ob im Rechenzentrum, an den verschiedenen Firmenstandorten oder in der Cloud.

NGFW bietet Anwendern umfassende Transparenz und einen 360-Grad-Blick auf die gesamte Netzwerk-Architektur. Neben der Verringerung der Komplexität können die Netzwerkkosten gesenkt, Ausfallzeiten um bis zu 50 Prozent reduziert und IT-Risiken signifikant verringert werden.

P.S.: Zum Thema „Smarte Produktionsanlagen sicher betreiben“ findet bei uns ein kostenfreies Webinar statt. Hier geht’s zur Anmeldung.

Smart Cities – Urbane Probleme in den Griff bekommen

Sinnvoll angewendet kann Big Data hier wirksam unterstützen. Daten sammeln allein reicht nicht aus, die Flut an Informationen muss auch nutzenbringend ausgewertet werden.

Denn Ballungsräume kommen an ihre Grenzen, sei es durch den zunehmenden Verkehr, die Luftverschmutzung oder die Bevölkerungsdichte – bei gleichbleibender innerstädtischer Fläche. Derzeit lebt ungefähr 50 Prozent der Weltbevölkerung in Städten, Prognosen für 2050 sprechen sogar von rund 70 Prozent. Dies bringt besonders für die Stadtplanung erhebliche Herausforderungen mit sich. Die Erfassung, Analyse und Nutzung von Daten spielt bei der urbanen Problemlösung eine große Rolle. Doch wie lassen sich Städte mit Hilfe dieser Daten zu lebenswerteren Räumen gestalten? Und wie werden die Daten gewonnen?

Am Beginn der Datengewinnung steht die Sammlung von Informationen, beispielsweiser mittels verschiedener optischer und nicht-visueller Sensoren. Dies geschieht personenunabhängig, also anonymisiert. Im nächsten Schritt werden die neu erworbenen mit historischen Daten aus den unterschiedlichsten Bereichen gebündelt und vernetzt. Dieser Datenpool wird dann als Grundlage für Analysen verwendet. Die Daten eines einzelnen Menschen sind für sich genommen nicht relevant, erst in der Masse werden sie für die Stadtverwaltung und -entwicklung interessant und finden bereits Anwendung für verschiedenste Bereiche in der intelligenten Stadt.

Ein besonders wichtiger Sensor für die Datengewinnung und -verarbeitung ist die Netzwerk-Kamera. Zu den Möglichkeiten der digitalen Technologie einige Beispiele:

Intelligente Verkehrsplanung

So erfassen und analysieren Kameras heute mittels Sensoren und Software beispielsweise den Verkehrsfluss. Besonders an Verkehrsknotenpunkten oder zentralen Umschlagplätzen im öffentlichen Nahverkehr gilt es, durch Datenanalyse präventiv auf erhöhte Frequenzen zu reagieren.

Im Verkehr ist durch integrierte Sensoren beispielsweise das Zählen von Fahrzeugen, die Erfassung der Durchschnittsgeschwindigkeit und Fahrspurauslastung oder eine Fahrzeugklassifizierung möglich. Auch können Wetterfaktoren wie starke Regen- oder Schneefälle einbezogen werden. Die Stadtverwaltung kann sich somit früh auf Verkehrsstaus einstellen, die Situation anhand von Videoanalysen überprüfen, nötige Einsätze überwachen und Reaktionszeiten verkürzen.

Um den städtischen Verkehr zu optimieren, muss auch die Fahrzeuganzahl massiv gesenkt werden. Die intelligente Verwaltung von Parkmöglichkeiten und die Förderung von Car- und Bike-Sharing sind dabei wichtige Schritte – sie können ebenfalls über IP-Videotechnik realisiert werden. Durch Kameraerfassung und die gleichzeitige Vernetzung werden verfügbare Fahrzeuge oder Parkplätze in Echtzeit erkannt und sind sofort einsatzbereit.

Datenbasierter Umweltschutz

Netzwerk-Kameras mit speziellen Sensoren können Umweltparameter wie Luftqualität, Konzentration von Gasen wie CO2, Temperatur, Luftfeuchtigkeit oder Wasserqualität messen und diese mit der zugehörigen Software anschließend auch auswerten. Mit einer speziellen Technologie zur Niederschlagserkennung kann sogar die Intensität von Regentropfen oder Schnee mittels Echtzeitbildern gemessen werden. Die verschiedenen Datensätze liefern wichtige Informationen über die Luftbeschaffenheit, die Schadstoffbelastung oder Wetterverhältnisse und werden für eine effiziente Stadtentwicklung, Verkehrsplanung, Umweltschutz oder Präventionsmaßnahmen eingesetzt.

Auch der Müll nimmt in wachsenden Städten zu, wird mit Hilfe von intelligenten, vernetzten Sammelsystemen aber zumindest schneller entfernt. Transportwege für die Abfallentsorgungsbetriebe werden kürzer. Müllcontainer sind dafür beispielsweise mit Sensoren ausgestattet, die den Abfallentsorgungsunternehmen den Füllstand signalisieren. Das lässt eine Anpassung an aktuelle Bedürfnisse oder saisonale Abweichungen zu und ist effizient.

Zudem kann die Straßenbeleuchtung in intelligenten Städten auf den tatsächlichen Bedarf abgestimmt werden. Die Bewegungsanalyse in den Kameras erkennt, wann, ob und wie viele Personen oder Fahrzeuge sich in der zu beleuchtenden Gegend befinden und passt die Lichtverhältnisse von Straßen oder öffentlichen Plätzen dementsprechend an.

Höhere Sicherheit

In Städten geht mit wachsender Bevölkerungszahl oftmals auch eine Steigerung der Kriminalitätsrate einher. Um Sicherheit zu gewährleisten, ist das Zusammenspiel von Video, Audio und Analyse essentiell. Besonders bei großen Menschenansammlungen. Mittels Videoanalyse können die Anzahl der Personen in einer Menschenmenge erfasst, das Verhalten der Masse analysiert und dabei Abweichungen sofort erkannt werden. So können schwierige Situationen oder Probleme verhindert werden, noch bevor sie entstehen.

Die Stadt Tel Aviv nimmt eine Vorreiterrolle bei der datenbasierten Stadtverwaltung ein. Die Verantwortlichen haben nach einer neuen und effizienten Lösung gesucht, die Kriminalitätsrate zu senken und den Bewohnern ein nachhaltiges Gefühl von Sicherheit zu geben. Dabei sollen die Bewohner und ihr Eigentum einerseits bestmöglich geschützt, das Lebensgefühl und die Freiheit andererseits aber nicht eingeschränkt werden. Aktuell sind bereits hunderte Netzwerk-Kameras in Tel Aviv installiert, die mit einem offenen System von Axis in den Bereichen Sicherheit oder Verkehrsoptimierung arbeiten.

Avi David, Manager Control and Command Center bei der Stadt Tel Aviv, sagt: „Smart Cities sind die Zukunft, das steht außer Frage. Wir haben damit bereits den Grundstein für eine intelligente und vernetzte Stadt gelegt.“

In vier Schritten zum Standard IEC 62443

Spätestens seit den weltweiten Attacken mit den Schadprogrammen WannaCry und NotPetya im Jahr 2017 müssen sich Industrieunternehmen auch mit der umfassenden Sicherung ihrer Industrial Control Systems (ICS) auseinandersetzen. Die internationale Standardfamilie IEC 62443 »Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme« bildet dabei ein grundlegendes Rahmenwerk. Dieses gewährt sowohl die Cybersicherheit gegenüber Angriffen, als auch die Produktivität gegenüber technischen Fehlerzuständen und Fehlkonfigurationen.

Im Kern bildet die IEC 62443 ein Qualitätsmanagementsystem für ICS, denn sie folgt – wenn auch etwas versteckt – dem kontinuierlichen Verbesserungsprozess von Planen, Umsetzen, Überprüfen und Optimieren. Eine industrielle Anomalieerkennung wie Rhebo Industrial Protector bietet bezüglich der Sichtbarkeit der Daten umfangreiche Funktionalitäten, um ICS stabil und sicher zu planen und zu steuern.

Schritt 1: Risikoanalyse

Die praktische Umsetzung des Standards beginnt mit einer detaillierten Risikobewertung der informationstechnologischen Infrastrukturen. Was im Grund wie eine normale Fehlermöglichkeiten-Einflussanalyse (FMEA) klingt, birgt den Teufel im Detail. Denn der Standard fordert nicht weniger als die vollständige Bewertung des Status Quo:

  • Grenzen des zu betrachtenden Systems (System under Consideration, SuC)
  • Generelle Cybersicherheitsrisiken (externe Bedrohungsszenarien und interne Sicherheitslücken / Verletzbarkeiten)
  • Auswirkungen der Bedrohungen auf die bestehende Infrastruktur
  • Identifikation möglicher Sicherheitsmaßnahmen
  • Re-Evaluierung der Bedrohungen (als iterativen Prozess)

Für Betreiber von ICS bedeutet das die Analyse und Dokumentation jeder Komponente im ICS in Bezug auf ihre Eigenschaften, Kommunikationsbeziehungen sowie ihr Kommunikationsverhalten und Risiko für die Cybersicherheit und Gesamtanlageneffektivität. Firewalls und andere Grenzwächterlösungen versagen bei diesem Punkt, da ihnen die Innenansicht des ICS fehlt. Ein industrielle Anomalieerkennung dagegen blickt gezielt in das Netzwerk und identifiziert aufgrund von Kommunikationsvorgängen jegliche Komponenten, deren Eigenschaften und Verbindungen.

Anomalieerkennung
Eine Sicherheitslösung für ICS muss in der Lage sein, Störungen zu erkennen, bevor es zum ungeplanten Stillstand kommt. (Quelle: Rhebo)

Schritt 2: Komplette Absicherung

Der zweite Schritt umfasst einen sehr umfangreichen Maßnahmenkatalog, der im Kapitel 3.3 für die Systemebene und in Kapitel 4.2 für die Komponentenebene definiert wird. In sieben Basisanforderungen (Foundational Requirements, FR) verlangt der Standard die allumfassende Identifikation und Authentifizierung, Nutzungskontrolle, Systemintegrität, Vertraulichkeit der Daten, eingeschränkten Datenfluss, rechtzeitige Reaktion auf Ereignisse im ICS sowie die Verfügbarkeit der Ressourcen. Ziel ist letztlich eine vollständige Kontrolle über alle Vorgänge, Veränderungen und Zugriffe auf das ICS – sowohl während des Normalbetriebs als auch während des Stressbetriebs sowie nach Neuinstallationen und Anpassungen.

Die industrielle Anomalieerkennung unterstützt, prüft und dokumentiert den Anspruch an eine lückenlose Kontrolle durch die vollständige Sichtbarmachung der Vorgänge im ICS, sowohl punktuell als auch kontinuierlich.

Schritt 3: Rund-um-die-Uhr-Überwachung

Der große Unterschied zum Qualitätsmanagement liegt bei der IEC 62443 in der Gleichzeitigkeit. Während im Qualitätsmanagement Stichproben genutzt werden, um das System regelmäßig zu prüfen, gilt bei der IEC 62443 Echtzeit und Vollständigkeit. Das ergibt sich aus Schritt 2, der eine komplette Kontrolle über alle Vorgänge postuliert. Betreiber von ICS müssen also ein System aufbauen, das alle Vorgänge im ICS auf Richtigkeit prüft und sofort über Abweichungen alarmiert.

Eine industrielle Anomalieerkennung erreicht das zum Beispiel, indem sie lückenlos jeden Kommunikationsvorgang im ICS mitliest, gegen das zu erwartenden Standardmuster abgleicht und Abweichungen zu diesem umgehend als Anomalie meldet. Die Überwachung erfolgt rund um die Uhr, Anomalien werden in Echtzeit und inklusive Risikobewertung an die Betreiber gemeldet.

Schritt 4: Gefährdungen beseitigen, bevor die Fertigung betroffen ist

Wer alle Daten seines ICS vorliegen hat, kann auch optimal auf Störungen und erkannte Gefährdungen reagieren. Der Standard fordert dabei nicht nur die Überwachung des ICS auf Schadsoftware. Auch technische Fehlerzustände, die zum Beispiel Überlastzustände und Kommunikationsfehler im ICS hervorrufen und so die Fertigung gefährden können, gehören dazu.

Eine industrielle Anomalieerkennung erkennt jede Abweichung im ICS – vom Schadcode bis zu Fehlern im Kommunikationsverhalten oder den Inhalten der Telegramme. Darüber hinaus liefert sie zu jeder gemeldeten Anomalie alle Details zum Vorgang. Damit kann die Quelle einer Anomalie schnell gefunden, analysiert und repariert werden. Betreiber können damit Ausfälle vermeiden und das ICS kontinuierlich optimieren. Und sollte doch einmal eine plötzliche Störung auftreten, liegen alle Daten bereit, um Gegenmaßnahmen umgehend einzuleiten und den ungeplanten Stillstand auf ein Minimum zu beschränken.

Auf die Zusammenarbeit kommt es an!

Netzwerklösungen im Sicherheitssystembereich sollen in erster Linie Personen, Gebäude und Güter vor Übergriffen, ungewollten Eindringlingen, Vandalismus oder Diebstahl schützen. Doch dabei sollte eines nicht vergessen werden: Auch das Sicherheitssystem selbst muss gegen Cyberkriminalität gesichert werden. Mit der Aktualisierung von Netzwerk-Videosoftware und angeschlossener Hardware wird in der heutigen Zeit leider eher nachlässig umgegangen. Oftmals werden diese Systeme in der Regel nur dann aktualisiert, wenn weitere Geräte hinzugefügt oder zusätzliche Funktionen vom Benutzer angefordert werden.

Dieser leichtsinnige Umgang kann sich jedoch rächen: Ohne Wartung wird die Cybersicherheit mit der Zeit abnehmen. Die Wahrscheinlichkeit liegt bei fast 100 %, dass eine Schwachstelle im Systemkontext, also im Betriebssystem, der Software oder der Hardware gefunden wird. Auch wenn das Risiko gering erscheint, sollte jede bekannte Schwachstelle behoben werden und selbstverständlich regelmäßig Softwareaktualisierungen durchgeführt werden.

Wer ist verantwortlich?

Cybersicherheit ist ein Prozess, kein einmalig zu erreichender Ist-Zustand, der dann immerwährend gültig ist. Wichtig ist in diesem Zusammenhang, dass die Cybersicherheit eines Sicherheitssystems dabei einer gemeinsamen Verantwortung des Endnutzers sowie der Integratoren, Planer und Hersteller unterliegt. Um das Sicherheitssystem gegen virtuelle Angriffe zu schützen, müssen die Verantwortlichen der verschiedenen Bereiche und Gewerke zusammenarbeiten:

Der Nutzer / Verbraucher

Die Hauptverantwortung des Endanwenders liegt in erster Linie bei der Bereitschaft, für Cybersecurity zu bezahlen. Dies kann entweder auf eigene Faust erfolgen, das heißt beispielsweise die IT-Abteilung des Unternehmens wendet Fixes selbst an, oder man bezahlt einen Integrator/Installateur für die Wartung. Dabei muss beachtet werden, dass die Lebensdauer eines Sicherheitssystems, je nach Zustand, schnell 10-15 Jahre betragen kann. Die Wartung muss allerdings fortlaufend und als stetiger Prozess integriert werden.

Für ein ausgereiftes Bewusstsein im Bereich Cybersecurity spielt allerdings auch das Verhalten der Konsumenten eine zentrale Rolle: Wie oft wird das Passwort des Routers geändert? Wie komplex sind die eigenen Passwörter? Werden unterschiedliche Passwörter oder ein „Master“-Passwort für die meisten Anwendungen verwendet? Die Bequemlichkeit der Verbraucher ist immer noch einer der größten Vorteile für Hacker. Einfach zu erratende Passwörter und solche, die über alle Logins hinweg verwendet werden, setzen die Verbraucher dem Risiko eines Missbrauchs aus.

Der Integrator / Installateur

Der Systemintegrator spielt ebenfalls eine wesentliche Rolle im Bereich der Cybersicherheit. Er muss sicherstellen, dass alle seine eigenen Geräte, Laptops, mobilen Geräte und so weiter mit den neuesten Updates für das Betriebssystem gepatcht werden und einen anspruchsvollen Virenscan durchführen.

Die gewählten Passwörter sollten zumindest pro Kunde und Standort komplex genug und individuell sein. Die allgemeine Gewohnheit, ein Master-Passwort zu verwenden, um die Bedienung der Geräte zu erleichtern, muss unbedingt vermieden werden. Der Fernzugriff auf Installationen sollte nur begrenzt angewendet werden und alle Geräte, die mit dem System des Kunden verbunden sind, müssen äußerst sorgfältig auf Schadsoftware überprüft werden, um jegliche Art von Infektionen zu vermeiden.

Es liegt in der Verantwortung des Integrators, seine Kunden über die möglichen und nötigen Verfahren zu informieren.

Der Planer

Ein weiterer essentieller Bestandteil ist die Arbeit des Planers, der die Komponenten für die Sicherheitssysteme konfiguriert. Dieser muss nicht nur die richtigen Produktfunktionen und -merkmale festlegen, sondern auch die Wartung für die gesamte Lebensdauer des Systems so gut wie möglich definieren. Auf diese Weise kann der Planer deutlich machen, wie wichtig es ist, das System auf dem neuesten Stand zu halten und auch die möglichen Kosten dafür offenlegen.

Im Zusammenhang mit der Installation von so genannten OEM/ODM-Geräten (Geräte, die von einem Hersteller gekauft und unter einer anderen oder eigenen Marke veräußert werden) ist es jedoch sehr schwierig diesen Wartungsaspekt zu gewährleisten.

Der Distributor

Für einen einfachen Distributor ist das Thema Cybersicherheit grundsätzlich von geringer Bedeutung, weil er lediglich die Logistik der Ware übernimmt und mit dem Produkt selbst nicht in Berührung kommt. Allerdings müssen Distributoren einer Wertschöpfungskette die gleichen Aspekte berücksichtigen wie Integratoren oder Installateure.

Für Distributoren, die auch OEM/ODM-Geräte vertreiben, gelten andere Regeln. An erster Stelle steht dabei die Transparenz: Sie müssen ihre Kunden darüber in Kenntnis setzten, was genau sie für ein Produkt kaufen. Auch müssen sie, im Falle von Schwachstellen im System, Firmware-Upgrades des ursprünglichen Lieferanten zur Verfügung stellen. Viele Anwendungsbeispiele aus der Industrie zeigen jedoch, dass eine erkannte Schwachstelle in den Geräten der ursprünglichen Lieferanten in der Regel nicht in den Geräten ihrer vielen OEM-Partner behoben wird.

Der Hersteller

Die Verantwortungsbereiche der Hersteller sind unter anderem folgende:

Zum einen dürfen keine absichtlichen Details wie Backdoors oder hartcodierte Passwörter hinzugefügt werden. Die Bereitstellung der richtigen Tools, um das Cybermanagement für viele Geräte so einfach und kostengünstig wie möglich zu gestalten, muss außerdem gewährleistet sein. Zum anderen müssen Dritte über Risiken und ihre Vermeidung aufgeklärt werden, intern wie auch extern. Relevante Aspekte sollten in Hardening Guides oder anderen Dokumentationen beschrieben sein. Die Partner und Vertriebskanäle müssen zudem über Schwachstellen und mögliche Updates informiert werden. Transparenz ist oberstes Gebot.

Nur wenn alle Beteiligten gemeinsam an dem Thema Cybersecurity arbeiten, wird es gelingen, ein weitgehend sicheres System zu schaffen und auch aufrecht zu erhalten.
Die IT Branche hat im vergangenen Jahrzehnt viel dazu gelernt und sich mittlerweile sehr gut abgesichert. Dennoch schaffen es Hacker immer wieder, Schwachstellen zu finden und auszunutzen.
Die Sicherheitsbranche befindet sich vielerorts leider noch am Anfang der Lernkurve, Cybersecurity wird eher als Herstelleraufgabe verstanden, denn als gemeinsame Anstrengung. Es ist an der Zeit, dieses Verständnis grundlegend zu überdenken.