Schwachstellen. Es sind häufig die gleichen SPEZIAL. Industrial Security. Wie gut ist Ihr Krisenmanagement?

Transkript

1 SPEZIAL Internationalisierung Chancen und Risiken für den Mittelstand Sicherheitsmanagement Anmeldungen bis Wie gut ist Ihr Krisenmanagement? Industrial Security Es sind häufig die gleichen» er ell bu üb ustri mge u ind IT-SICHERHEITSCLUSTER: IT SICHERHEIT AM DONAUSTRAND Schwachstellen hl, u tk r ö t i s S ÜD en be sa om TÜV S nalys erung h u a.t ko Ste en i Dr s Ri en ng

2 COVERSTORY Industrial Security Es sind häufig die gleichen Schwachstellen Anlagen für die Industrielle Automation und Leittechnik sind zunehmend Ziel von Cyber-Attacken. Roland Fiat und Dr. Kai Wollenweber vom TÜV SÜD sprechen mit it management darüber, wie sich Unternehmen gegen solche Angriffe schützen können. g Ulrich Parthier: Die Cyber-Attacken auf industrielle Umgebungen haben in letzter Zeit zugenommen. Wo sehen Sie die Gründe dafür? f Dr. Kai Wollenweber: Viele der Cyber-Attacken sind erfolgreich, weil die Software Schwachstellen aufweist, die zum Teil sehr leicht ausgenutzt werden können, und weil notwendige IT-Security-Prozesse im Rahmen der Entwicklung und Nutzung der Software fehlen. Schon im Entwicklungsprozess der Software muss die Qualität bezüglich der Security also dem Schutz gegen Angriffe deutlich verbessert werden. g Ulrich Parthier: Wie kann Security in den Entwicklungsprozess von Software integriert werden? f Roland Fiat: Ganz wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert sein müssen. Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sind entsprechend zu planen. Die Maßnahmen umfassen unter anderem eine Bedrohungs- und Risikoanalyse, die Ableitung zu implementierender Security-Anforderungen, die Berücksichtigung von Programmierrichtlinien sowie die Verifikation und Validierung insbesondere das Testen der realisierten Security-Funktionen. g Ulrich Parthier: Gibt es Standards, die entsprechende Vorgaben für den Entwicklungsprozess machen? Gerade auch für die Entwicklung von Produkten, die in der Industriellen Automation und der Leittechnik eingesetzt werden? f Dr. Kai Wollenweber: Ja, zum Beispiel den IEC Der IEC ist ein internationaler Standard, der speziell die Security für Industrial Control Systems (ICS) abdeckt. Er ist zwar noch lange nicht ausgereift, bietet aber schon eine gute Basis für die Entwicklung von Produkten. Bei TÜV SÜD haben wir uns für die Standardfamilie IEC als Grundlage unserer international ausgerichteten Arbeit entschieden und damit gute Erfahrungen gesammelt. Die Standardfamilie zieht eine ganzheitliche Betrachtungsweise heran ausgehend von einem IT Security Management System beim Betreiber eines ICS, über die Entwicklung, Integration und Wartung eines ICS bis zu den einzelnen Produkten/Komponenten, aus denen ein ICS aufgebaut ist. Speziell der erwähnte IEC stellt Security-Anforderungen an die Entwicklungsumgebung und den Entwicklungsprozess. g Ulrich Parthier: Wie werden die Anforderungen des IEC in der Praxis umgesetzt? f Roland Fiat: Wir unterstützen unsere Kunden durch Trainings, Audits und Beratung bei der Verbesserung ihrer Entwicklungsprozesse. Dabei ist es nicht wichtig, welches Vorgehensmodell wie etwa das V-Modell oder SCRUM verwendet wird. Im Mittelpunkt steht die Frage, ob Security-Aspekte in den unterschiedlichen Entwicklungsphasen berücksichtigt werden. So müssen beispielsweise am Anfang eines Projektes die Security-Anforderungen auf Basis einer Bedrohungs- und Risikoanalyse definiert werden. Aus den Anforderungen werden umzusetzende Security-Funktionen abgeleitet, die in die Ar- 4 JULI-AUGUST

3 IT-SECURITY SPEZIAL Wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert und Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sollten entsprechend chitektur und das Design der Software aufzunehmen und zu beschreiben sind. Natürlich müssen auch Security-Tests definiert, durchgeführt und ausreichend dokumentiert werden. Der IEC beschreibt gerade diese Security-Aspekte, die in den Entwicklungsprozess integriert sein müssen, um die Qualität bzw. die Güte des Entwicklungsgegenstandes hinsichtlich der Security gewährleisten zu können. Damit ist der IEC auch eine mögliche Grundlage für eine Zertifizierung. Dabei ist allerdings zu berücksichtigen, dass dieses Dokument derzeit noch nicht als internationaler Standard veröffentlicht ist. Wir bereiten aktuell die Zertifizierung von Produkten auf Basis der IEC vor, um den Herstellern die Erfüllung der Maßnahmen von unabhängiger Seite bescheinigen zu können. g Ulrich Parthier: Kann man die Secu- rity nur durch Prüfung eines Prozesses W W W. I T - D A I L Y. N E T nachweisen oder werden die Produkte selbst getestet? f Dr. Kai Wollenweber: Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Beim CRT (Communication Robustness Test) geht es darum, die Qualität der Implementierung von Kommunikationsprotokollen zu prüfen. Hierfür werden kaputte Pakete an das Testgerät geschickt und Lasttests durchgeführt. Beim Penetrationstest geht es darum, die Vorgehensweise eines potentiellen Angreifers nachzuahmen, um Schwachstellen aufzudecken. g Ulrich Parthier: Wenn man beim Auf- bau eines Steuerungssystems ausschließlich bezüglich Security zertifizierte Produkte einsetzt, erhält man dann automatisch ein IT-sicheres System? geplant werden. Roland Fiat, TÜV SÜD f Roland Fiat: Nein, dem ist nicht so. Die Security eines Systems hängt nicht nur von vorhandenen Security-Eigenschaften der einzelnen Komponenten, sondern ganz wesentlich von der Gesamtstruktur, den Kommunikationsverbindungen zwischen den Komponenten und den Konfigurationen der einzelnen Komponenten ab. Ein System muss daher in einem ganzheitlichen Ansatz analysiert werden. Aus den Ergebnissen der Analyse sind entsprechende Security-Anforderungen und -Maßnahmen für das System abzuleiten, um inakzeptable Gefahren und Risiken zu vermeiden und eine übergeordnete Risikominimierung zu erreichen. g Ulrich Parthier: Wie kann man ganze Systeme bezüglich der IT-Security analysieren? JULI-AUGUST

4 IT-MANAGEMENT Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte Beim Penetrationstest wird die Vorgehensweise eines potentiellen Angreifers nachgeahmt, um Schwachstellen aufzudecken. f Dr. Kai Wollenweber: Dafür gibt es WEB-TIPP: erprobte Vorgehen und Methoden der Bedrohungs- und Risikoanalyse. Allerdings müssen diese auf die Umgebungen der industriellen Steuerungsanlagen angepasst werden. Hierzu macht der IEC bestimmte Vorschläge und beschreibt zum Beispiel ein Vorgehen für die Analyse. Klassisch wird auch hier das Risiko als Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit definiert. Wichtig ist, dass man ein Team zusammenstellt, das bezüglich Analysemethodik, Safety und Security und der im Unternehmen etablierten Prozesse über ausreichendes Wissen verfügt, um belastbare Analysen durchführen zu können. Hier ist zusammenhängendes Wissen gefragt. Ein solches Team kann Analysen zunächst an kleineren Systemen vornehmen, daraus lernen, die Methodik verbessern und sukzessive komplexere Systeme untersuchen. g Ulrich Parthier: Kann man Wahr- scheinlichkeiten bei dieser abstrakten Thematik der Security sinnvoll abschätzen? f Roland Fiat: Die Abschätzung von Eintrittswahrscheinlichkeiten stellt im6 JULI-AUGUST 2014 mer ein Problem dar. Es liegen keine brauchbaren statistischen Daten vor, die man nutzen könnte. Und erschwerend kommt hinzu, dass statistische Daten wenig sinnhaft sind, da sich die Bedrohungslage ständig ändert und die erhobenen Daten keine oder nur eine unzureichende Aussagekraft besitzen. Zudem muss für die Erhebung der Daten ein Security Monitoring etabliert sein, um überhaupt Kenntnisse über Angriffsversuche gewinnen zu können. Ein Security Monitoring ist aber in industriellen Steuerungsanlagen meist gar nicht oder nur sehr rudimentär implementiert und wird oftmals erst dann implementiert, wenn diese Maßnahme im Rahmen der unabhängigen Security-Bewertung des Unternehmens bzw. der Systeme als notwendig erkannt wird. g Ulrich Parthier: Was sind die üblichen Schwachstellen, die Sie bei Ihren Security-Analysen in den Unternehmen vor Ort entdecken/identifizieren? f Dr. Kai Wollenweber: Es sind häufig die gleichen Schwachstellen, die in industriellen IT-Infrastrukturen vorfinden: Verwendung von zu schwachen bzw. voreingestellten Passwörtern, ungeschützte Fernwartung und Remo- jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Dr. Kai Wollenweber, TÜV SÜD te-access-zugänge, unkontrollierter Gebrauch von USB-Sticks, Einsatz von Engineering Workstations in unterschiedlichen IT-Infrastrukturen bei verschiedenen Unternehmen, ein zu flach strukturiertes IT-Netzwerk, in dem keine Defense-in-Depth -Strategie umgesetzt ist. Und ganz wichtig: Um Security nachhaltig umzusetzen, muss ein Management von IT-Security für industrielle Umgebungen definiert und gelebt werden. Aber genau das fehlt bei sehr vielen Unternehmen. Für uns ist das auch ein Hinweis, dass das Bewusstsein für Security im Management der Unternehmen noch nicht ausreichend vorhanden ist. Ulrich Parthier: Herr Wollenweber, Herr Fiat, wir danken für das Gespräch. W W W. I T - D A I L Y. N E T

5 Standard IEC Risikoanalyse industrieller Steuerungsumgebungen Anlagen für die industrielle Automatisierung und Leittechnik (im Folgenden Industrial Control System (ICS) genannt) sind zunehmend Cyber-Angriffen ausgesetzt. Diese Angriffsversuche bergen ein erhöhtes Risiko, da Anlagen für ein ICS vermehrt aus standardisierten Hardware- und Softwarekomponenten zusammengesetzt und vernetzt werden ie dadurch realisierte und gewünschte Offenheit des ICS erleichtert Angriffe und die Manipulationen der IT-Infrastruktur. Internationale Organisationen und Gremien haben auf diese gesteigerte Bedrohungslage reagiert. Standards zur IT-Sicherheit in ICS Umgebungen sind veröffentlicht oder aktuell in Erstellung. Ziel dieses Beitrags ist es, Ansätze einer Risikoanalyse für industrielle Umgebungen auf Basis des IEC darzustellen. Mit diesen Ansätzen sollen Schwachstellen systematisch identifiziert werden, um insbesondere auch Bedrohungen für Mensch und Umwelt vermeiden oder reduzieren zu können. D W W W. I T - D A I L Y. N E T Konzepte des Standards IEC Der Standard IEC umfasst vier Säulen, von denen die erste Säule (IEC x) die verwendeten Begriffe und Konzepte erläutert. In der zweiten Säule (IEC x) werden Vorgaben für ein IT Security-Managementsystem von ICS-Umgebungen beschrieben. Die dritte Säule (IEC x) definiert IT-Sicherheitsanforderungen an die IT-Infrastruktur der ICS-Umgebung sowie einen Workflow für die Risikoanalyse. In der vierten Säule (IEC x) werden Anforderungen an den Entwicklungsprozess der verwendeten ICS Komponenten erklärt. Die entwickelte Methodik zur Risikoanalyse verwendet die folgenden Konzepte bzw. Vorgehensweisen der IEC 62443: für eine Risikoanalyse nach Vorgehen IEC , Security for industrial automation and control systems: Part 3-2: Security risk assessment and system design, Draft 4 Edit 6, April 2013; Level nach IEC , Security Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, Edition 1, August 2013; nach IEC , Se Zonierung curity for industrial automation and control systems: Part 3-2: Security risk assessment and system design, Draft 4 Edit 6, April 2013; JULI-AUGUST

6 COVERSTORY Weiterführende Informationen: ICS Security Handbook Security Check Training Die Buttons führen Sie in der epaper-version direkt zum Ziel. In der Printversion nutzen Sie bitte den QR Code. Risikomatrix für den Bereich Safety und Business: Eine wesentliche Vereinfachung ist das Ersetzen der Eintrittswahrscheinlichkeiten durch Security Levels, die als Maß für die Härtung des Systems vor Angriffen in der Analyse bestimmt werden müssen. Katalog von Security Requirements für ICS nach IEC , Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, Edition 1, August Risikoanalyse auf Basis der IEC In IEC wird ein klassisches Vorgehen zur Risikoanalyse beschrieben. Weiter werden Hilfsmittel wie Klassen für Schaden, Eintrittswahrscheinlichkeit und Risiko. Ein für die Durchführung der Risikoanalyse notwendiger Bedrohungskatalog wird in der IEC nicht beschrieben. Entsprechende Bedrohungsszenarien benennt beispielsweise die VDMA-Studie Status Quo der Security In Produktion und Automation. Für die in der IEC beschriebene Risikoanalyse werden folgende Verbesserungen bzw. Ergänzungen vorgeschlagen: Eintrittswahrscheinlichkeit Eine Abschätzung von Eintrittswahrscheinlichkeiten ist in der Praxis nicht oder nur mit großen Unsicherheiten durchführbar, insbesondere für ICS- Umgebungen. Deshalb wird die Verwendung der sogenannten Security Levels (SL) anstatt der Eintrittswahrscheinlichkeiten vorgeschlagen (siehe IEC/TS , IEC ). Der vierstufige SL definiert die Stärke eines etwaigen Angreifers, wobei SL=4 die höchste Stufe darstellt. Soll das ICS gegen einen Angreifer mit einem bestimmten SL geschützt werden, so muss das System einen ausreichenden Widerstand gegenüber Angriffen dieser Stärke bieten. Umgekehrt bedeutet dies, dass die Wahrscheinlichkeit geringer ist, dass ein Angriff dieser Stärke zum Erfolg führt. Daher können SLs die Eintrittswahrscheinlichkeiten bei der Risikobetrachtung ersetzen. Safety und Bedrohungskatalog Die Bedrohungsszenarien müssen bzgl. der relevanten Anwendungsfälle des ICS identifiziert werden. Jedoch können durch Bedrohungen nicht nur die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit verletzt werden, sondern potentiell auch zu einer Kompromittierung von funktionalen Sicherheitsfunktionen (Safety Funktionen) führen. Entsprechend sind Bedrohungsszenarien für die operationelle- und Safety-Kontrollschleife zu betrachten. Zonierung Mit der Risikoanalyse für industrielle Umgebungen auf Basis des IEC sollen Schwachstellen systematisch identifiziert werden, um insbesondere auch Bedrohungen für Mensch und Umwelt vermeiden oder reduzieren zu können. Dr. Thomas Störtkuhl, TÜV SÜD Das Prinzip der Zonierung ist ein weiterer Ansatz, der im Standard IEC eingeführt wird und hier auch für die Risikoanalyse genutzt werden kann. Netzwerkzonierung stellt einen Defense-in-Depth-Ansatz auf Netzwerkebene dar, der zur Härtung des Gesamtsystems gegenüber Angriffen dient. Eine Anforderung ist zum Beispiel, dass das Safety Implemented System (SIS) in einer eigenen Zone implementiert sein muss, die von anderen Zonen geschützt ist. Die SIS-Zone kann in einer Risikoanalyse speziell hinsichtlich Schäden für Mensch und Umwelt (Health, Safety, Environment (HSE)) betrachtet werden. Hierzu kann ein Functional Safey Level (FSL) eingeführt werden, der ein Schadensmaß bzgl. der Safety darstellt und sich auf die ganze SIS-Zone bezieht. Beispielsweise kann der FSL als das Maximum über alle Safety Integrity Level (SIL) der in der Zone befindlichen Steuerungskomponenten definiert werden. Der IEC liefert Methoden und Ansätze eine Risikoanalyse von industrieller Automations- und Leittechnik. Die vorgestellten Anpassungen und Ergänzungen führen zu einer Analyse, die Schwachstellen bzgl. Security und Safety aufdecken. Die Ergebnisse dieser Analyse können wie in der Abbildung gezeigt, in zwei Risikomatrizen für Schäden hinsichtlich Business und Safety dargestellt werden. DR. THOMAS STÖRTKUHL, DR. KAI WOLLENWEBER 8 JULI-AUGUST