365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Die Wahl des richtigen IT-Produkts stellt Betreiber von OT-Anlagen vor große Herausforderungen. Die US-amerikanische Sicherheitsbehörde CISA hat einen Leitfaden mit Kriterien für die Auswahl veröffentlicht.
Die US-amerikanische Sicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat einen Leitfaden mit 12 wichtigen Sicherheitseigenschaften für Kontroll- und Steuerungssysteme im OT-Sektor veröffentlicht. Ihre Empfehlungen helfen, Cybersecurity bereits im Beschaffungsprozess zu berücksichtigen.
Beinahe wöchentlich warnt die US-amerikanische Cybersicherheitsbehörde CISA vor neuen Schwachstellen in industriellen Steuerungssystemen (ICS). Zuletzt traf es Geräte von BD Diagnostic Solutions, B&R, Rockwell und Schneider Electric, von denen viele auch in Deutschland eingesetzt werden. Gleichzeitig haben Ransomware-Angriffe auf kritische Infrastruktur (KRITIS) stark zugenommen. Allein im letzten Jahr seien es rund 300 gewesen, berichtet das Online-Magazin SC-Media.
In der Konsequenz mussten KRITIS-Einrichtungen im vergangenen Jahr deutlich mehr Security-Vorfälle bei OT-Systemen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden als in den Jahren zuvor. Im Verhältnis zum Vorjahr stieg die Anzahl um 43 Prozent, wie eine parlamentarische Anfrage hervorbrachte.
Der Markt für digitale Systeme im OT-Segment ist in den letzten Jahren stark gewachsen. Für viele OT-Betreiber wird die Wahl des richtigen Automatisierungs- oder Steuerungssystems dadurch eine noch größere Herausforderungen. Sicherheits-Features werden zwar beworben, jedoch unterschiedlich implementiert oder nur gegen Aufpreis angeboten. Darauf hätten sich Angreifer eingestellt, sie fokussierten sich daher fast immer auf bestimmte OT-Produkte, anstatt auf einzelne Organisationen, warnt die CISA.
Die US-Behörde sah sich deshalb veranlasst, Kriterien für die Auswahl sicherer Produkte zu veröffentlichen. Denn nach wie vor würden viele OT-Produkte nicht nach den Grundsätzen von „Security by Design“ konzipiert und entwickelt, also Sicherheit nicht von Anfang an mitgedacht.
In der Folge wiesen zahlreiche Produkte Security-Defizite auf, wie schwache Authentifizierung, fehlende Zugriffsprotokollierung, unsichere Standardeinstellungen oder Default-Kennwörter, bemängelt die Behörde. Dadurch könnten Angreifer diese Schwachstellen sehr leicht gleichzeitig bei mehreren potenziellen Opfern ausnutzen, um sich Zugang zu deren Kontrollsystemen zu verschaffen und Anlagen zu kapern, mahnt die CISA. Außerdem erhöht sich durch diese Sicherheitsmängel der Aufwand für Betreiber, kritische Anlagen zu schützen.
Die CISA empfiehlt, Cybersecurity bereits bei der Beschaffung von kritischen Komponenten zu berücksichtigen. Dazu hat sie einen Leitfaden für die Beschaffung sicherer Betriebstechnologie (OT) wie industrielle Automatisierungstechnik und Steuerungssysteme (ICS) herausgegeben, an dem unter anderem auch das FBI, die NSA sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgewirkt haben. „Der Leitfaden soll Industrieunternehmen und Betreibern kritischer Infrastrukturen (KRITIS) dabei helfen, das Prinzip 'Secure by Design' so früh wie möglich zu berücksichtigen - und zwar bereits in Einkaufs- und Beschaffungsprozessen“, erklärt das BSI dazu.
Der Leitfaden konzentriert sich auf zwölf Punkte, zu denen gut begründete Empfehlungen ergehen. Im folgenden eine kleine Auswahl. Die CISA betont jedoch, dass die Gewichtung der einzelnen Empfehlungen von den Rahmenbedingungen vor Ort abhängen. Dazu zählen beispielsweise eingesetzte Systeme, Anwendungsfelder oder auch Budgetfragen.
Eine der wesentlichen Empfehlungen adressiert die Abhängigkeit von Herstellern. Allzu häufig seien Betreiber kritischer Anlagen „bei Wartung und Betrieb der Systeme auf Supportverträge von Anbietern oder Herstellern angewiesen“. Das kann so weit gehen, dass Konfiguration oder Administration nicht ohne die Beteiligung Dritter möglich ist. Dadurch kann eine sichere Konfiguration oder auch die Behebung von Sicherheitsmängeln behindert werden. Manchmal werden Sicherheits-Features sogar nur kostenpflichtig als zusätzliche Leistung angeboten.
Eine ähnliche Rolle wie in der klassischen IT spielt der Umgang mit Updates. Sie sind besonders wichtig, um Sicherheitslücken schnell zu schließen, sobald sie entdeckt werden. Hier lautet die Empfehlung, Hersteller zu bevorzugen, die über einen langen Zeitraum kostenlose Updates zur Verfügung stellen. Dazu zähle auch die kostenlose Portierung auf neue Betriebssysteme, wenn das ursprüngliche Betriebssystem nicht mehr unterstützt wird. Damit ist ein Vorgang angesprochen, der in der Windows-Welt immer wieder zu Problemen führt, wenn etwa nach Erscheinen einer neuen Windows-Version vorhandene Software nicht mehr eingesetzt werden kann. Zusätzlich wird gefordert, dass Hersteller durch umfangreiche Tests die reibungslose Funktion von Updates gewährleisten sollen, denn immer wieder führen fehlerhafte Updates zu Ausfällen. Da diese Forderung von potenziellen Kunden im Vorfeld nicht leicht zu überprüfen ist, lautet die Empfehlung, darauf zu achten, dass eine automatische Wiederherstellungsfunktion vorhanden ist, für den Fall, dass ein Patch zu Problemen führt.
Natürlich stellt auch „Security by Default“ ein wichtiges Entscheidungskriterium dar. Das bedeutet unter anderem, dass OT-Geräte im Lieferzustand sicher eingesetzt werden können, ohne dass vorab komplexe Konfigurationen notwendig sind. Ein System solle ohne weitere Maßnahmen den gängigsten Angriffen widerstehen können, erklärt die CISA dazu. Das beinhaltet auch, dass keine universellen Default-Passwörter vergeben wurden und aktuelle Versionen von Kommunikationsprotokollen verwendet werden. Ebenso sollten alle Sicherheits-Features ab Werk aktiviert sein. Die Gerätesicherheit müsse als Basisanforderung des Kunden betrachtet werden und nicht nur als technisches Feature.
Die CISA betont die positiven Auswirkungen dieser Vorschläge: Durch die konsequente Durchsetzung von Kaufentscheidungen unter Berücksichtigung von Security-Eigenschaften können KRITIS-Organisationen dazu beitragen, aktuelle und neue Cyber-Bedrohungen abzuschwächen und einen Weg weg von veralteten Umgebungen finden. Außerdem senden diese Betreiber ein Signal an die Hersteller, die Bereitstellung von Secure-by-Design-Produkten zu fördern. Darüber hinaus sind sie für regulatorische Anforderungen, wie etwa die NIS2-Richtlinie besser aufgestellt.
Autor: Uwe Sievers
Wie sicher sind unsere Kritischen Infrastrukturen? Welchen Cyber-Bedrohungen stehen KRITIS-Betreiber gegenüber? Wie sehen die Sicherheitsstandards aus und für welche Organisation gelten die Regulierungsanforderungen, die sich beispielsweise aus dem IT-Sicherheitsgesetz ergeben?
Umfassende Informationen und zahlreiche Aufzeichnungen der Vorträge von it-sa Expo&Congress sowie it-sa 365 finden Sie auf der Themenseite KRITIS.
Quellen:
CISA: CISA Releases Seven Industrial Control Systems Advisories
Süddeutsche Zeitung: Mehr Cybersicherheitsvorfälle gegen kritische Infrastruktur
BSI: CISA veröffentlicht "Secure by Demand"-Leitfaden für Betreiber von Operational Technology
SC-Magazine: Ransomware attacks against critical infrastructure exceed 2K in a decade
