ICS: Schutz kritischer Infrastruktursysteme

Da die Welt zunehmend vernetzt wird, ist die Sicherheit von Industrielle Steuerungssysteme (ICS) ist von größter Bedeutung, insbesondere in kritischen Infrastruktursektoren wie Fertigung, Energie und Versorgungsunternehmen. Diese Systeme, die einst isoliert waren und in firmeneigenen Netzwerken betrieben wurden, sind heute stärker in fortschrittliche IT-Technologien integriert, was zu erheblichen Effizienzgewinnen, aber auch zu neuen Sicherheitslücken führt.

Simon Park

An article from

Simon Park
Cyber Security and Risk Management Consultant
Published
December 9, 2024
Updated
Reading time
minutes
ICS-Cybersicherheit - C-Risk

Entwicklung der ICS und neue Herausforderungen

Dieser Artikel untersucht die Herausforderungen und Entwicklungen im Bereich der ICS-Sicherheit und beleuchtet den Wandel von isolierten Systemen zu miteinander verbundenen Netzwerken, die anfällig für ausgeklügelte Cyberbedrohungen sind. Er unterstreicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen, erörtert die Auswirkungen schwerwiegender Cybervorfälle und führt ein strategische Rahmenbedingungen und Kontrollen zielt darauf ab, die Widerstandsfähigkeit dieser grundlegenden Systeme zu verbessern.

 

Sichern und Unterstützen Industrielle Steuerungssysteme (ICS) ist seit langem und für viele Organisationen eine Herausforderung. In den Anfängen der ICS-Technologie waren Komponenten wie Programmierbare Logiksteuerungen (PLC), Sensoren und Geräte waren sich der IT-Infrastruktur glücklicherweise nicht bewusst und liefen auf proprietären Netzwerken und „Bussen“ wie Profibus oder Modbus oder Genius Bus oder DeviceNet und ControlNet (FactoryTalk) von Anbietern wie Siemens, GE, Rockwell und anderen. Ein Großteil der Logik war in der SPS enthalten, und frühe Fabrikmanagementsysteme wie Dextralog kamen in den 1970er Jahren auf den Markt.

 

In den 1980er Jahren war die Explosion des PC- und MicroServer-Marktes ein Wendepunkt. Dies führte zu einer grundlegenden Änderung der ICS mit der Umstellung auf PC-basierte Systeme Mensch-Maschine-Schnittstellen (HMIs) und serverbasiert Überwachung und Datenerfassung (SCADA) -Systeme und anschließend Fertigungsleitsysteme (MES), das Teil der wurde 4th industrielle Revolution.

 

Die SPS erhielt natürlich mehr CPU, und die Bustechnologie wurde um Ethernet-Gateways erweitert, trotzdem befolgte die bescheidene SPS immer noch einfach ihren grundlegenden Befehlssatz ohne Transaktionsauthentifizierung (nicht zu verwechseln mit der lokalen SPS-Anmeldung). Wir gerieten unwissentlich in einen perfekten Sturm, ähnlich den Epidemien, die die Menschheit sah, als der Mensch die Welt kolonisierte. Was in den frühen Tagen physische und logische natürliche Grenzen oder Haltepunkte für IT und OT waren, schützte uns jetzt nicht mehr. Denken Sie auch daran, dass der OT-Lebenszyklus mehr als zwanzig Jahre betrug, die IT höchstens fünf bis sieben Jahre, sodass Veränderungen unvermeidlich waren.

 

Technologischer Wandel und Auswirkungen auf die Sicherheit

Die Betriebstechnologie wurde von der IT-Technologie gesteuert, und vorgelagerte ERP-Systeme bestimmten die Fabrikplanung und Rezeptinformationen, und Finanzkontrolleure, Märkte, Abläufe und eine Vielzahl anderer wollten Daten aus diesen OT-Systemen visualisieren und verarbeiten. Hinzu kamen kabellose Handgeräte wie Funkdatenterminals und sogar Industrietablets, sodass auch die OT-Umgebung mobil geworden war.

 

Während all dies geschah, waren die Hersteller dieser Automatisierungssysteme extrem langsam dabei, ihr Produkt für neuere Technologien zu zertifizieren, da Open-Source-Betriebssysteme und kommerzielle Betriebssysteme sowohl in vollständigen als auch in Delta-Release-Zyklen schnell weiterentwickelt wurden. Anwender oder Verbraucher der Technologie sahen sich mit folgenden Problemen konfrontiert widersprüchliche Ziele; ihre Systeme wurden von den Aufsichtsbehörden validiert und lizenziert, sodass jede Änderung ohne erneute Validierung nahezu unmöglich war. Die Hersteller haben es einfach versäumt, Schritt zu halten und ihre Produkte nach Delta oder neuen Versionen der von ihnen unterstützten Plattformfamilien zu zertifizieren. Es überrascht nicht, dass sich die IT- und OT-Supportmitarbeiter mit diesem Dilemma auseinandersetzen mussten, was quasi bedeutete, dass Sicherheitslücken nicht gepatcht wurden und sich immer mehr auf die fragile Kontrolle von“Luftspalte„, d. h. die physische Trennung zwischen Enterprise und OT. Es war idealistisch, aber in Wahrheit ein Trugschluss. Die Herausforderungen betrafen nicht nur die Produktintegrität und kritische Kontrollpunkte, sondern auch die Sicherheitssysteme. Der erste und berühmteste staatlich geförderte Angriff, Stuxnet, zerstörte zahlreiche Zentrifugen in der iranischen Urananreicherungsanlage in Natanz, da sie sich selbst ausbrannten, weil die maximalen Drehzahlschwellen der Zentrifugen überschritten wurden.

 

Während Drehkreuze und Steckkarten ursprünglich als effektive physische Barrieren zur Absicherung sensibler Bereiche dienten, hat die schnelle Entwicklung der Technologie ihre Wirksamkeit erschwert. Die Raffinesse integrierter Systeme, insbesondere mit dem Aufkommen der Internet der Dinge (IoT) generiert jetzt riesige Mengen an Echtzeitdaten. Diese Komplexität, gepaart mit den logistischen und finanziellen Unpraktikabeln des Vor-Ort-Supports, bei dem es nicht mehr möglich ist, darauf zu warten, dass ein Techniker für Diagnosen und Reparaturen ins Ausland reist, hat viele Unternehmen dazu veranlasst, agilere, cloudbasierte Lösungen einzuführen. Darüber hinaus als Unternehmensressourcenplanung (ERP-) Systeme wurden in die Cloud migriert und mobile Geräte begannen, personalisierte Echtzeitdaten zu liefern. Traditionelle physische Sicherheitsmaßnahmen reichten nicht mehr aus. Diese Entwicklungen führten zu einer natürlichen, aber kritischen Veränderung in der Art und Weise, wie Unternehmen mit der Sicherheit ihrer Betriebstechnologien umgehen.

Als industrielle Systeme zunehmend digitalisiert wurden, verwandelte sich die traditionelle physische Trennung zwischen Netzwerken der Informationstechnologie (IT) und der Betriebstechnologie (OT) — bekannt als Air Gap — in ein virtuelles Konzept. Fortschrittliche Netzwerktechnologien wie Virtual Local Area Networks (VLANs), Virtual Routing and Forwarding (VRF) und Firewalls wurden implementiert, um einen segmentierten und kontrollierten Netzwerkzugriff zu ermöglichen. Darüber hinaus wurden Privilege Access Management-Tools, die Jumpbox-Technologie nutzen, zusammen mit APIs, Middleware und Message-Brokern wie MQ integriert, um die Sicherheitsprotokolle zu verbessern. Diese Maßnahmen gingen jedoch auch mit erhöhten Risiken einher, die von Insidern ausgingen, die mit tragbaren Geräten wie Smartphones, Tablets und Wearables ausgestattet waren, die über Verbindungsoptionen wie WLAN, Bluetooth und NFC verfügten — allesamt über USB-Anschlüsse zum Aufladen. Diese Mischung aus Komfort und Konnektivität führte zu neuen Sicherheitslücken, die die Sicherheitslandschaft erheblich verkomplizierten.

Kontrollprüfungen sind nicht nur eine Konformitätsmaßnahme

Die Quantifizierung von Cyberrisiken kann Ihnen helfen, fundierte Entscheidungen über die Priorisierung von Kontrollen zu treffen.

Learn more

Moderne Bedrohungen und Gegenmaßnahmen

Die Auswirkungen von Cyberbedrohungen auf industrielle Systeme waren sowohl dramatisch als auch verheerend. Aufsehenerregende Malware- und Ransomware-Angriffe wie Stuxnet, Eternal Blue, Petya, NotPetya und WannaCry veranschaulichen diese neue Realität.

Zwar schaffen es nicht alle diese Cyberbedrohungen, die Kluft zwischen Unternehmens-IT-Umgebungen und Betriebstechnologiesystemen (OT) zu durchbrechen, doch die Folgen sind einheitlich schwerwiegend — sie reichen von Denial-of-Service bis hin zu kompletten Betriebsausfällen, die zu erheblichen finanziellen Verlusten führen. Diese Vorfälle sind gut dokumentiert, und große Unternehmen sind mit schwindelerregenden finanziellen Auswirkungen konfrontiert: der Pharmariese Merck erlitt einen Verlust von 870 Millionen US-Dollar; FedEx meldete einen Rückschlag von 400 Millionen US-Dollar; die französische Baufirma Saint-Gobain verzeichnete einen Verlust von 384 Millionen US-Dollar; dänische Reederei Maersk erlitt einen Schlag von 300 Millionen Dollar; das Snackunternehmen Mondelēz musste einen Verlust von 188 Millionen US-Dollar hinnehmen; und der britische Hersteller Reckitt Benckiser meldete einen Verlust von 129 Millionen US-Dollar.

Diese Zahlen sind nicht nur abstrakte Zahlen, sondern erinnern deutlich an die greifbaren Auswirkungen von Cyberbedrohungen. Abgesehen von kommerziellen Verlusten wurden auch kritische Infrastrukturbereiche wie das Gesundheitswesen, die Stromerzeugung und die Gasverteilung weltweit erheblich beeinträchtigt, was das allgegenwärtige Risiko unterstreicht, das diese Bedrohungen sowohl für die wirtschaftliche Stabilität als auch für die öffentliche Sicherheit darstellen.

Die Herausforderungen, die Cyberbedrohungen für industrielle Steuerungssysteme mit sich bringen, sind nicht nur gut dokumentiert, sondern entwickeln sich auch ständig weiter und wirken sich sowohl auf weltweit anerkannte Marken als auch auf kritische Infrastrukturen aus. Als Reaktion darauf haben führende Cybersicherheitsbehörden verschiedene Kontrollrahmen entwickelt und verfeinert, um Unternehmen bei der Stärkung ihrer Abwehrmaßnahmen zu unterstützen. Hervorzuheben sind unter anderem NIST SP 800-82 für die Sicherheit industrieller Steuerungssysteme, die ENISA-Richtlinien zum Schutz industrieller Steuerungssysteme und die ISO-15745-Normenfamilie, die sich auf die Integration vernetzter Industriegeräte konzentriert.

 

Vor Kurzem trug das SANS-Institut mit der Veröffentlichung von“ zu diesem Wissensbestand beiDie fünf kritischen Cybersicherheitskontrollen von ICS„, eine Reihe grundlegender Sicherheitsmaßnahmen, die speziell auf die Bedürfnisse von ICS-Umgebungen zugeschnitten sind. Diese Kontrollen dienen dazu, Maßnahmen zu priorisieren, die das Risiko erheblich reduzieren und die Reaktionsfähigkeit verbessern:

 

Kontrolle Nr. 1: ICS-spezifischer Notfallplan

Eine maßgeschneiderte Strategie zur Reaktion auf Zwischenfälle, die sich mit den einzigartigen betrieblichen und sicherheitstechnischen Herausforderungen befasst, die ICS-Umgebungen mit sich bringen.

Kontrolle Nr. 2: Verteidigbare Architektur

Die Schaffung einer Netzwerkarchitektur, die von Natur aus die Ausbreitung von Sicherheitsverletzungen begrenzt und eine effektive Eindämmung von Bedrohungen ermöglicht.

Kontrolle Nr. 3: Sichtbarkeit und Überwachung des ICS-Netzwerks

Implementierung von Tools und Verfahren, die in Echtzeit Einblicke in Netzwerkaktivitäten bieten, um potenzielle Bedrohungen schnell zu erkennen und darauf zu reagieren.

Kontrolle Nr. 4: Sicherer Fernzugriff

Einrichtung sicherer und kontrollierter Fernzugriffslösungen, um die Sicherheit und Integrität des Systembetriebs zu gewährleisten, wenn von außerhalb des Netzwerks darauf zugegriffen wird.

Kontrolle Nr. 5: Risikobasiertes Schwachstellen-Management-Programm

Ein proaktiver Ansatz zur Verwaltung von Sicherheitslücken, bei dem Risiken auf der Grundlage ihrer potenziellen Auswirkungen auf die ICS-Umgebung priorisiert werden.

Diese Kontrollen stellen einen strategischen Rahmen dar, der Unternehmen dabei unterstützt, ihre Cybersicherheit vor einer Landschaft anhaltender und sich entwickelnder Bedrohungen zu stärken.

Quantifizierung und Risikomanagement im Cyberbereich

Zusätzlich zu den kritischen Kontrollen bietet die Cyber-Risikoquantifizierung eine Methode zur Ermittlung der finanziellen Kosten für Risikoszenarien und liefert Entscheidungsträgern bei Investitionen in Kontrollen aussagekräftigere Argumente als qualitative Methoden.

Ein quantitativer Ansatz ermöglicht es Unternehmen, fundierte, datengestützte Entscheidungen darüber zu treffen, welche Cybersicherheitskontrollen implementiert werden sollen, indem eine klare Finanzanalyse der Risikoszenarien bereitgestellt wird.

Experten für Cybersicherheit und Risikomanagement von C-Risk nutzen Open FAIRTM Risikoanalyse-Standard (O-RA) und Risikotaxonomie-Standard (O-RT). Mithilfe des FAIR-Frameworks ist es möglich, quantifizierte Risikoszenarien den Kontrollrahmen zuzuordnen, um aussagekräftige finanzielle Schwellenwerte für risikobasierte Entscheidungen in den SANS-ICS-Kontrollbereichen sowie in anderen Kontrollrahmen festzulegen.

Wenn Sie mehr erfahren möchten, vereinbaren Sie ein Gespräch mit einem C-Risk-Experten.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
cybersicherheit - C-Risk

Cybersecurity: Herausforderungen und Trends

Das Risikomanagement für Cybersicherheit und Informationssicherheit ermöglicht es Unternehmen, vertretbare Entscheidungen zu treffen und Cyber-Resilienz aufzubauen.

Melissa Parsons

7/12/2023
Herausforderungen der industriellen Cybersicherheit - C-Risk

Sicherung von Industrie 4.0: die Herausforderungen der industriellen Cybersicherheit

Entdecken Sie die Kerntechnologien, die Industrie 4.0 vorantreiben, und verstehen Sie die damit verbundenen betrieblichen Cybersicherheitsherausforderungen.

Melissa Parsons

20/3/2024

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz