BeyondTrust
Skip to content
  • Skip to content
Kontakt Sales

What can we help you with?

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
Absenden Sales kontaktieren Support Erhalten

IT-Sicherheit für die Fabrik der Zukunft (Teil 2)

Januar 31, 2017

power_plant_substation_man_and_laptop_(Mobile).jpg

Ein aktuelles Strategiepapier des Bundesamtes für Sicherheit in der Informationstechnik (BSI) thematisiert die Cyber-Sicherheitslage von Betreibern industrieller Steuerungsanlagen. In einer dreiteiligen Serie aus Blogbeitragen stellen wir die BSI-Analyse vor, benennen mögliche Bedrohungsszenarien und empfohlene Gegenmaßnahmen (Teil 1 hier nachlesen).

Sicherheit und Vernetzung

In der Fabrik der Zukunft setzen maschinelle Produktionsanlagen auf eine sehr hohe Vernetzung integrierter Systeme. Vielfältige Kommunikationsverbindungen zwischen Steuerungsrechnern und Cloud-Systemen bis hin zur Anbindung webbasierter Fernwartung stellen auch die Sicherheit auf eine neue Grundlage. Gerade in ICS-Installationen (ICS, Industrial Control Systems) sind externe Zugänge für Wartungszwecke häufig genutzte Zugriffspunkte für Administratoren und Service-Techniker.

Beim Remote Access Management steht die unmittelbare Produktivität häufig über datenschutzrechtlichen Erwägungen. Wurden in der Vergangenheit noch dedizierte Punkt-zu-Punkt-Verbindungen genutzt, ist jetzt der Zugriff auf Maschinen über das Internet gängiger Standard. Im Rahmen einer eng verzahnten Wertschöpfungskette sind so mittlerweile ganze Fertigungsstraßen in externe Unternehmensnetze von Zulieferern integriert. Für Wartungszwecke bieten sie über das Internet Fernzugriffsmöglichkeiten auf Roboter, Maschinen und Diagnosesysteme.

Externer Zugriff — aber sicher

Vernetzte Systeme lassen sich indes über das Internet hacken, wenn die IT-Abteilung nicht die Standardpasswörter für den Default-Zugang aktualisiert und starke Kennwörter eingerichtet hat. Problematisch ist auch, dass die externen Zugänge oft mittels Virtual Private Networks (VPN) angebunden sind, die in punkto Erreichbarkeit weiterer Systeme wenige Beschränkungen kennen. Über einen Wartungszugang für ein bestimmtes System sind dann womöglich zusätzliche IT-Systeme einsehbar, erreichbar und konfigurierbar. In flachen Netzwerkhierarchien können mangelnde Authentisierung und Autorisierung schwerwiegende Sicherheitsfolgen nach sich ziehen.

Auf zu Wartungszwecken genutzte Zugänge drohen Web-spezifische Angriffe, falls Administrationsarbeiten nicht kontrolliert und autorisiert werden. Durch Ausnutzen von Sicherheitslücken lässt sich beispielsweise Schadsoftware einschleusen, oder aber Computersysteme werden per Cross-Site-Request-Forgery attackiert. Ebenfalls denkbar ist, dass Tokens heimlich aufgezeichnet und für weiterführende Folgeattacken wiederverwendet werden. Und nicht zuletzt birgt jede Verbindung nach außen die Gefahr in sich, dass rein mit Passwort geschützte Wartungszugänge durch Direktangriff mittels Brute Force kompromittiert werden.

Bedrohung für kritische Infrastrukturen

Auch indirekte Angriffe über die IT-Systeme eines Dienstleisters hält das BSI in seiner Sicherheitsanalyse für realistisch. Ohne zusätzliche Sicherungsmaßnahmen ist demnach ein externer Zugang, der im Rahmen von Service-Verträgen geschaffen wurde, anfällig für unterschiedliche Angriffsversuche. Hacker könnten den Direktzugang auf dem externen Wartungsrechner ausnutzen und Trojaner installieren. Der Diebstahl von Passwörtern, Zertifikaten oder sonstigen Tokens ist natürlich auch auf Seiten der beauftragten Dienstleister brandgefährlich. Das muss nicht zwangsläufig durch technische Manipulationen und Tricks erfolgen, sondern die begehrten Zugangsdaten lassen sich auch ganz „klassisch“ durch Bestechung oder Erpressung eines Mitarbeiters beschaffen. Die Verwendung gestohlener Notebooks, auf denen eine Software für den externen Zugriff konfiguriert ist, stellt ein weiteres Sicherheitsrisiko dar.

Angesichts der vielfältigen Bedrohungsszenarien verbindet das BSI die Sicherheit industrieller Kontrollsysteme direkt mit der Großgefahrenlage für kritische Infrastrukturen (KRITIS). Schließlich wirken sich erfolgreiche Angriffe gegen Umgebungen für Fabrikautomation und Prozesssteuerung unmittelbar auf alle angrenzenden Netzwerke aus. Noch sind in Deutschland „nur“ Fälle bekannt, bei denen Produktionsausfälle durch IT-Angriffe den ICS-Betreiber selber mit allen wirtschaftlichen Negativfolgen getroffen haben. Andere Länder hatten weniger Fortune: Ende 2015 waren in der Ukraine mehr als 700.000 Haushalte für mehrere Stunden ohne Elektrizität, weil Hacker offenbar die Infrastruktur sabotieren konnten.

Experten befürchten, dass die Sabotage industrieller Steuerungssysteme auch hierzulande den Ausfall einer wichtigen, nachgelagerten KRITIS-Umgebung – wie dem Stromnetz oder einem Transportsystem – verursachen wird. Im dritten Blogbeitrag geht es daher um die Gegenmaßnahmen, die das BSI zur Absicherung von Fernwartungszugängen empfiehlt.

Auf dem Laufenden bleiben

Melden Sie sich für den BeyondTrust Newsletter an.. Sie können sich jederzeit abmelden.

Ich bin damit einverstanden, Mitteilungen über die Produkte von BeyondTrust zu erhalten, wie es in der Datenschutzrichtlinie von BeyondTrust beschrieben ist und ich kann jederzeit meine Präferenzen verwalten oder meine Zustimmung widerrufen.


Up next

From 19 Januar, 2017:
IT-Sicherheit für die Fabrik der Zukunft (Teil 1)
From 21 Februar, 2017:
IT-Sicherheit für die Fabrik der Zukunft (Teil 3)

You May Also Be Interested In:

IMI Meet Up: Least Privilege für OT-Systeme – Mehr Sicherheit und Produktivität durch Einschränkung der Nutzerrechte

Webinars

IMI Meet Up: Least Privilege für OT-Systeme – Mehr Sicherheit und Produktivität durch Einschränkung der Nutzerrechte

Microsoft Vulnerabilities Report 2022

Whitepapers

Microsoft Vulnerabilities Report 2022

Mehr Sicherheit mit Least Privilege - Warum jeder nur so viel dürfen sollte, wie er muss!

Webinars

Mehr Sicherheit mit Least Privilege - Warum jeder nur so viel dürfen sollte, wie er muss!

Auf dem Laufenden bleiben

Ich bin damit einverstanden, Mitteilungen über die Produkte von BeyondTrust zu erhalten, wie es in der Datenschutzrichtlinie von BeyondTrust beschrieben ist und ich kann jederzeit meine Präferenzen verwalten oder meine Zustimmung widerrufen.


  • LinkedIn
  • Twitter
  • Facebook
  • Instagram
Kunden-Support Kontakt Sales
  • Datenschutz
  • Security
  • Cookie-Einstellungen verwalten
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.