SCADA / ICS Sicherheit - Umsetzung nach IEC 62443 und DIN SPEC 27009

SCADA Sicherheit / ICS Betriebssicherheit

SCADA / ICS Betriebssicherheit

Zum Messen, Steuern und Regeln von Industrieprozessen, beispielsweise zur Automation und zur Überwachung von grossen Systemen und Anlagen, kommen in vielen Industriebereichen sogenannte Industrial Control Systems (ICS; deutsch: industrielle Steuerungssysteme, Automatisierungssysteme) zum Einsatz. Diese finden häufig Verwendung in der produzierenden Industrie und in Branchen, die zu den kritischen Infrastruktursystemen (KRITIS) gezählt werden, z. B. Energie, Wasser, Ernährung oder Transport und Verkehr. ICS waren in der Vergangenheit physisch von anderen ICT-Systemen und Netzwerken getrennt und damit vor äusseren Einflüssen geschützt. Daher war die ICT-Security bei der Auswahl und Entwicklung zumeist proprietärer Software und Protokolle von untergeordneter Bedeutung. Mit der zunehmenden Digitalisierung, dem Einzug von ICT-Systemen aus dem Büroumfeld und der zunehmenden Vernetzung der ICS auch über Netzgrenzen hinweg (z. B. in ein Unternehmensnetz) sind diese ICS-Systeme heute ähnlichen Gefährdungen wie derjenigen der Bürokommunikation, d.h. wie Systeme aus der klassischen Unternehmens-Indormationstechnologie ausgesetzt. Dass diese Gefährdungen real sind, beweisen verschiedene Vorfälle der jüngeren Vergangenheit.

Im Gegensatz zur klassischen ICT haben ICS abweichende Anforderungen an die Schutzziele hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit. Dies äussert sich beispielsweise in längeren Betriebszeiten und seltenen Wartungsfenstern. Zudem sind insbesondere die Echtzeitanforderungen zu nennen, die für die Steuerung häufig unerlässlich sind. Hinzu kommen Gewährleistungsansprüche. Sich in der Praxis bewährte Schutzmassnahmen aus dem Büroumfeld sind dabei nur bedingt auf ICS übertragbar.

iec 62443, scada sicherheit, ics sicherheit, scada, icsIEC 62443 – Industrial communication networks – Network and system security

Die Normenreihe IEC 62443 Industrial communication networks – Network and system security setzt auf ein prozessorientiertes Vorgehensmodell zur Herstellung von ICT Sicherheit für die industrielle Automatisierung und Kontrollsysteme (IACS: Industrial automation and control systems). Sie spezifiziert die Inhalte eines Cybersicherheits-Managementsystems (CSMS) und gibt Hinweise für die Vorgehensweise zur Entwicklung eines CSMS. Die Norm richtet sich an Hersteller, Integratoren und Betreiber.

Bei der Vorgehensweise im Rahmen eines Projekts sollte immer darauf geachtet werden, dass als erstes ein definierter Prozess für das Thema Security etabliert wird. Danach sollte ein geeigneter Perimeterschutz erfolgen, sowie mehrschichtige Sicherheitsmassnahmen auf Netzwerkebene. Im Anschluss sollte der Schutz auf den Komponenten selbst verbessert werden. Bei neuen Anlagen sollte dies bereits in der Planung berücksichtigt werden.

 

DIN SPEC 27009 - Leitfaden für das Informationssicherheits- Management von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/ IEC 27002

Die DIN SPEC 27009 beschreibt einen Umsetzungsleitfaden für ein sektorspezifisches Informationssicherheits-Managementsystem analog zur ISO/IEC 27001 zur Anwendung in der Netzleittechnik in der Energieversorgung. Die Massnahmen aus der ISO/IEC 27002 wurden um sektorspezifische Anforderungen ergänzt. Die Norm richtet sich primär an die Betreiber von Prozesssteuerungssystemen der Energieversorgung sowie an die zuständigen Informationssicherheitsverantwortlichen. Darüber hinaus ist die Norm für Hersteller, Integratoren und Auditoren von Interesse. Im Fokus der Norm sind Systeme und Netze zur Steuerung und Überwachung von Erzeugung, Übertragung und Verteilung von Strom, Gas und Wärme in Kombination mit der Steuerung von unterstützenden Prozessen.

 

 

SCADA / ICS Sicherheitsprojekte sind anspruchsvoll. 73 Aspekte sind abzudecken bzw. zu bearbeiten

 

Best Practice Einstieg in einen geordneten IT-Sicherheitsprozess innerhalb eines ICS

Im Folgenden finden Sie eine Auflistung der Aspekte der Best Practices von den Normen und Standards (IEC 62443), welche abgedeckt bzw. durch verschiedene Spezialisten im Rahmen eines Projektteams bearbeitet werden müssen:

  1. Aufbau einer Security Organisation
  2. Erstellen und Pflegen der Dokumentation
  3. Etablieren eines Security Managements
  4. Netzplan
  5. Liste der IT-Systeme und installierten Anwendungen
  6. Administrations- und Benutzerhandbücher
  7. Entwicklung und Integration von Individualsoftware
  8. Entsorgung von Hardware
  9. Auditberichte
  10. Festlegung der betrieblichen Aufgaben von Betreiber, Integrator und Hersteller
  11. Changemanagement
  12. Security-Monitoring
  13. Wiederherstellungsplan (Business Continuity Plan) für die schützenswerten Assets
  14. Training des Personals
  15. Sicherheit des Personals
  16. Prozesse für Einstellung, Wechsel und Ausscheiden von Personal
  17. Auditierung
  18. Komponentenprüfung
  19. Vertraulichkeitsvereinbarung mit den Herstellern, Lieferanten und externen Betreibern
  20. Mitteilung der IT-Security-Anforderungen an den Systemintegrator
  21. Berücksichtigung der IT-Security-Spezifikation des Systemintegrators
  22. Robustheit der Produkte
  23. Kompatibilität
  24. Verzicht auf überflüssige Produktfunktionen
  25. Individuelle Zugangsdaten
  26. Aktivierte Sicherheitsmechanismen und aktueller Patchstand
  27. Langfristige Gewährleistung der IT-Security
  28. Unterstützung von Virenschutz-Lösungen
  29. Sichere Fernwartung
  30. Anforderungen an Feldgeräte
  31. Physische Absicherung
  32. Netzsegmentierung
  33. Absichern der elektronischen, externen Schnittstellen
  34. Statische Netz-Konfiguration
  35. Gleiche Sicherheitsmassnahmen für ICS in einem Netzsegment
  36. Unabhängiger Betrieb der Netzsegmente
  37. Absichern der Funktechnologien
  38. Einsatz von Firewalls
  39. Host-based Firewalls
  40. Datendiode (One-Way-Gateway)
  41. Geeignete logische Trennung und VLAN
  42. Implementierung von Intrusion-Detection- bzw. Intrusion-Prevention-Systemen
  43. Nutzung von sicheren Protokollen
  44. Namensauflösung (DNS)
  45. Zeitsynchronisierung
  46. Standard-Benutzerkonten und -Passwörter
  47. Individuelle Benutzerkonten
  48. Entfernen von unnötiger Software und Diensten
  49. Anpassen der Standard-Einstellungen
  50. Anpassen der Hardware-Konfiguration
  51. Zugriff auf das Internet innerhalb des ICS-Netzwerk
  52. Umgang mit Patches
  53. Umgang mit End Of Support (EOS)
  54. Technische Authentisierungsmassnahmen
  55. Passwortverteilung und -management, Passwort-Richtlinie
  56. Vermeidung von Missbrauch
  57. Autorisierung
  58. Einsatz geeigneter kryptographischer Algorithmen
  59. Installation und Betrieb von Virenschutzprogrammen
  60. Geeignete Alternativen für den Fall, dass keine Virenschutzprogramme möglich sind
  61. Sichere Konfiguration von Virenschutzprogrammen
  62. Zentraler Viren-Signaturen-Verteildienst
  63. Zeitnahe Aktualisierung der Viren-Signaturen
  64. Virenschutzprogramm auf der Firewall (Virus Wall)
  65. Application Whitelisting
  66.  Umgang mit Wechseldatenträgern
  67. Wechseldatenträgerschleuse (Quarantäne-PC)
  68. Einsatz von Notebooks zu Wartungszwecken
  69. Aktiviertes BIOS-Passwort und eingeschränkte Boot-Optionen
  70. Deaktivierung der Autorun-Funktion
  71. Datensicherungen der Systeme
  72. Aufbewahrung der Datensicherungen
  73. Logging / Monitoring
 

Die hier beschriebenen Best Practices beschreiben nur den Einstieg in einen geordneten IT-Sicherheitsprozess innerhalb eines ICS bzw. eines ganzen Unternehmens. Ziel sollte es sein, ein funktionierendes Informationssicherheitsmanagement auf Basis von ISO 27000, IT-Grundschutz oder IEC62443 aufzubauen. Bei den Umsetzungsmassnahmen ist zu beachten, dass insbesondere anschliessende Sicherheitsmassnahmen als erstes umgesetzt werden sollten. Diese dienen dazu, einen Überblick über die eigenen Systeme und die Infrastruktur zu erhalten, Verantwortlichkeiten zu definieren und sich der bestehenden Risiken bewusst zu werden. Die Risiken und die sich daraus ableitenden Schutzmassnahmen sind für jede ICS-Installation individuell. Dennoch gibt es aufgrund der bisherigen Erfahrungen mit ICS Best Practices, deren Umsetzung geeignet ist, um das IT-Sicherheitsniveau des ICS zu erhöhen und der aktuellen Bedrohungslage gerecht zu werden. Für eine angemessene Auswahl und Umsetzung der Massnahmen ist eine individuelle Risikoanalyse jedoch zwingend notwendig.

Umzusetzende Sicherheitsmassnahmen

  • Aufbau einer Security Organisation,
  • Erstellen und Pflegen der Dokumentation
  • Etablieren eines Security Managements
  • Netzplan
  • Liste der IT-Systeme und installierten Anwendungen
  • Administrations- und Benutzerhandbücher

SCADA / ICS Sicherheitsprojekte umsetzen/ BCM Beratung oder Coaching?

Sie starten ein SCADA / ICS Projekt und brauchen ressourcen-mässig oder fachlich Unterstützung oder Entlastung? Sie suchen einen Projektleiter, Experten, Berater oder Coach? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie im Thema SCADA / ICS Umsetzung bzw. Business Continuity zu unterstützen.
 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.

Umfassende Referenzenübersicht und -liste (PDF)

 

Hinweis zur Cookie-Verwendung: Um unsere Webseite für Sie optimal gestalten und laufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.