IT Sicherheitsrisiken in Produktionsumgebungen
Aus Safety wird IT Security
Wenn in industriellen Umgebungen von Sicherheit gesprochen wird, geht es meist um Ausfallsicherheit, elektrische Sicherheit, Sicherheit für das Betriebspersonal, Schutz gegen Umwelteinflüsse oder um Explosionsschutz. Die im Internet und Office-Bereich typischen Sicherheitsrisiken wie Denial of Service-Angriffe, Manipulation von Daten und Systemen, Ausspähen von Daten oder Systemeinbrüche werden hier oft nicht benannt, erkannt oder berücksichtigt. Dies kann schwere Folgen haben und sogar Menschleben in Gefahr bringen.
Die zunehmende Vernetzung erzeugt Synergien, aber leider auch mehr Risiken
Über die neu geschaffenen Übergänge sind plötzlich sämtliche Bedrohungen aus dem Office- und Internetbereich in den Produktions- und Prozessnetzen präsent. Diese Tatsache und die daraus entstehenden Konsequenzen können das Personal der Prozess-IT an die Grenzen dessen bringen, was sie mit Ihrem Know-how im Sicherheitsbereich einschätzen und lösen können. Die Prozess-IT muss sich mit den für sie neuen Bedrohungen aus der Office-Welt auseinander setzen. Zugleich ist auch die Office-IT gefordert, Know-how aus dem Bereich der Prozess-IT aufzubauen.
Eine Übernahme von Schutzmechanismen aus der Office-IT ist für die Prozess-IT keine dauerhafte Lösung
Um die neuen Bedrohungen in der Prozess-IT zu entschärfen, werden fast immer IT-Sicherheitsmaßnahmen aus der Office-Welt ins Auge gefasst. Dazu gehören:
Virenschutz
Die Pflege des Virenschutz ist sehr zeitintensiv. Er sollte mindestens tagesaktuelle Pattern auf allen Systemen aufweisen. Aufgrund technischer Gegebenheiten ist eine Online-Verteilung der Pattern oft nicht möglich. Das Update der Systeme aus dem Internet selbst ist aus Sicherheitsgesichtspunkten als sehr problematisch einzustufen, so dass oft nur manuelle Verfahren übrig bleiben.
Firewalls und Intrusion Prevention Systeme (IPS)
Das oberste klassische IT-Sicherheitsziel der Prozess-IT, die Verfügbarkeit, wird durch den Einsatz von Firewalls und IPS deutlich reduziert. Beide Lösungsansätze verlangen, dass der Datenverkehr durch diese Systeme geleitet wird. Das führt zu neuen Ausfallrisiken. Zudem sind diese Systeme dafür gebaut, Verkehr gezielt zu blockieren (IPS) oder nur manuell freigegebene Verkehrsbeziehungen (Firewall) zuzulassen. Durch die Updates bei IPS kann es durchaus zu der Situation kommen, dass Verkehr, der vor einem Update noch funktionierte, danach blockiert wird. Dies birgt erhebliche Risiken für die Verfügbarkeit der Prozessnetze.
Leider hat sich gezeigt, dass für den Betrieb sehr viel Know-how im Bereich IT-Sicherheit notwendig ist. Das betrifft in hohem Maße die Intrusion Prevention Systeme. Dieses Know-how ist zumindest initial in der Prozess-IT nicht vorhanden und müsste erst aufgebaut werden. Der Betrieb dieser Lösungen ist sehr zeitintensiv. Gerade IPS benötigt für einen sicheren Betrieb ständigen Pflegeaufwand.
Sicherheitslücken in Prozessnetzen schließen
Wie die honeyBox funktioniert
Die honeyBox® stellt in den Prozess-LANs virtuelle Opfersysteme (Honeypots) zur Verfügung, um Angriffe auf sich zu lenken. Angreifer und Schadsoftware (z. B Stuxnet) treffen dann bei den ersten Angriffsschritten (manuelle oder automatische Erkundung des LANs, Scans) auf reale Systems und virtuelle Honeypots.
Diese sind für den Angreifer zunächst nicht von den realen Systemen zu unterscheidbar, stellen sich aber in einem schlechteren Sicherheitszustand dar. In den nächsten Phasen eines Angriffs lenken sie so die weiteren Aktivitäten des Angreifers oder der Schadsoftware auf sich. Bereits beim ersten Kontakt mit einem virtuellen Honeypot erfolgt die Alarmierung.