![\"Die](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1194038272-1-e1618485410564.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Kommunizieren, informieren, bestellen usw. In der industriellen Welt haben Automaten ihre eigene Sprache, um die gesamte betriebliche Infrastruktur zu kommunizieren und zu betreiben. In diesem Fall spricht man von industriellen Kommunikationsprotokollen. Ein lexikalisches Feld, das seine semantischen Grundlagen auf die Begriffe Sicherheit, Effizienz, Produktivit\u00e4t und seit dem Cyberangriff von Stuxnet auf Cybersicherheit gelegt hat. Ein Vorfall, der die industrielle Welt dazu zwang, sich der Schwachstellen industrieller Kontrollsysteme bewusst zu werden. Und schnell noch auf den bereits fahrenden Cyberzug aufzuspringen.<\/strong><\/p>\n <\/p>\n Kehren wir zur\u00fcck in den Iran des Jahres 2010: Dieser Computerwurm<\/a> zielte direkt auf die speicherprogrammierbaren Steuerungen (SPS) ab, die die Urananreicherungszentrifugen kontrollierten. Anschlie\u00dfend untergrub er die nukleare Infrastruktur, indem er den Betrieb von Zentrifugen st\u00f6rte, und er erm\u00f6glichte es vor allem dem Industriesektor, sich der Schwachstellen von Steuerungssystemen und der Notwendigkeit bewusst zu werden, Sicherheitsl\u00f6sungen zu industriellen Kommunikationsprotokollen hinzuzuf\u00fcgen.<\/p>\n Der Sektor war sich der L\u00fccke bewusst, die zwischen diesen vor Jahrzehnten entwickelten Formaten f\u00fcr den Datenaustausch zwischen Automaten und der Realit\u00e4t einer zunehmend vernetzten Welt<\/strong> bestand. Da Cybersicherheit bisher kein Problem darstellte, boten nur wenige Industrieprotokolle von Haus aus Sicherheitsmechanismen an. Und das ist immer noch der Fall.<\/p>\n Die Angriffe von BlackEnergy und Industroyer<\/a>, die speziell darauf ausgelegt sind, das Funktionieren der Stromnetze in der Ukraine zu st\u00f6ren, spielen bei dieser Art von Cyber-Methode eine herausragende Rolle. Wasserverschmutzung, Bruch von Rohrleitungen, Explosionen oder sogar physische Sch\u00e4den, die katastrophalen Szenarien sind vielf\u00e4ltig. \u201eIndustrielle Automaten sind miteinander verbunden und kommunizieren miteinander \u2013 ebenso wie mit der \u00dcberwachungsstation \u2013 \u00fcber f\u00fcr diese Umgebungen spezifische Industrieprotokolle<\/em>\u201c, erkl\u00e4rt Vincent Nicaise<\/strong>, Industrial Partnership and Ecosystem Manager bei Stormshield. \u201eDiese Form der Sprache hat gro\u00dfe Auswirkungen auf die reale Welt, da sie die Steuerung physischer Systeme erm\u00f6glicht. Zum Beispiel das Betreiben eines Tankablassventils, das Umschalten einer roten Verkehrsampel auf Gr\u00fcn oder sogar die Steuerung des Heizraums eines Geb\u00e4udes. Da der Grad der Kritikalit\u00e4t dieser Kommunikation sehr hoch ist, ist es unabdingbar, eine Ebene der Cybersicherheit hinzuzuf\u00fcgen, um die Legitimit\u00e4t des Austauschs sicherzustellen<\/em>\u201c. Aber ist das so einfach?<\/p>\n <\/p>\n Selbst nach dem Stuxnet-Vorfall integrieren die meisten Industrieprotokolle keine Dimension f\u00fcr Cybersicherheit in ihren Betrieb<\/strong>. Sie stellen auch keine Authentifizierungs- oder Verschl\u00fcsselungsmechanismen bereit. Eine Situation, die umso prek\u00e4rer ist, als die OT-Ger\u00e4te, die dies erfordern, einen viel l\u00e4ngeren Lebenszyklus haben als die IT-Ger\u00e4te. Das Cyber-Risiko vervielfacht sich daher \u00fcber den Zeitraum ... Dies gilt insbesondere f\u00fcr die bekanntesten Protokolle wie Modbus, Profinet, BACnet (spezifisch f\u00fcr Technische Geb\u00e4udeverwaltung-Zentralisierte technische Verwaltung), IEC 60870-5-104 oder sogar DNP3 (spezifisch f\u00fcr elektrische Verteilernetze). In den letzten Jahren wurden einige Vorschl\u00e4ge gemacht, um die Sicherheit einiger dieser Industrieprotokolle zu verbessern.<\/p>\n \u201eIn den meisten F\u00e4llen garantierte jedoch keine dieser L\u00f6sungen ein akzeptables Sicherheitsniveau<\/em>\u201c, erkl\u00e4rt Vincent Nicaise. \u201eHaupts\u00e4chlich, weil die Anbieter von Automatisierungsger\u00e4ten diese ohne Kenntnis oder Erfahrung von Cyber-Risiken entwickelt hatten. Noch heute k\u00f6nnen sichere Protokolle an den Fingern einer Hand gez\u00e4hlt werden.<\/em>\u201c<\/p>\n Es besteht ein mangelndes Bewusstsein f\u00fcr die Risiken, das mit hartn\u00e4ckigen Missverst\u00e4ndnissen einhergeht<\/strong>. Der Hauptgrund ist, dass die Industrie sich als immun gegen b\u00f6swillige Handlungen ansieht, wenn sie propriet\u00e4re Protokolle und Datenbanken verwenden. Auch wenn propriet\u00e4re L\u00f6sungen einige von ihnen beruhigen k\u00f6nnen, so waren sie doch m\u00f6glicherweise auch kein Gegenstand einer Sicherheitsanalyse. Alles hier h\u00e4ngt in Wirklichkeit von der Aufmerksamkeit ab, die der Entwickler der Sicherheit dieser L\u00f6sung rund um Codepr\u00fcfung, Sicherheitsanalyse usw. widmet. In einem Sektor, der historisch gesehen wenig empfindlich gegen\u00fcber der Cyber-Bedrohung ist, ist der Zweifel im Gegenteil berechtigt. Dar\u00fcber hinaus sollte ber\u00fccksichtigt werden, dass, wenn ein Protokoll nicht anf\u00e4llig ist, die gesamte zugrunde liegende Kette des Protokolls das hingegen sehr wohl sein kann. Nehmen wir zum Beispiel das OPC UA-Protokoll, das die Dimensionen des Schutzes durch Signatur und Verschl\u00fcsselung einf\u00fchrt. Da es selbst auf dem TCP-Transportprotokoll basiert, ist es anf\u00e4llig f\u00fcr TCP-, IP- und Ethernet-Angriffe. Zwischen dem Schutz isolierter industrieller Netzwerke oder den mit Sicherheitsmechanismen unvereinbaren Reaktionszeitbeschr\u00e4nkungen existieren viele weitere Mythen in Bezug auf industrielle Systeme.<\/p>\n <\/p>\n \u201eDie meisten Industriellen k\u00f6nnen die Protokolle sehen, die ihre Ger\u00e4te verwenden, aber sie haben keine detaillierten Kenntnisse \u00fcber alle Austausche, die um sie herum existieren k\u00f6nnen: Welche Automaten kommunizieren miteinander und mit welchem Aktuator, welchem Sensor usw. Es ist wichtig, dass Sie die physische und logische Zuordnung Ihres Netzwerks kennen. Schlie\u00dflich m\u00fcssen wir in der Lage sein, diese Informationen regelm\u00e4\u00dfig zu \u00fcberwachen und zu aktualisieren, da sich die Infrastrukturen im Laufe der Zeit \u00e4ndern<\/em>\u201c, erkl\u00e4rt Simon Dansette<\/strong>, Product Manager bei Stormshield. Die Netzwerksonde<\/a> kann auf diese Anforderung reagieren: Sie \u00fcberwacht das Netzwerk, analysiert die Protokolle und Kommunikationsfl\u00fcsse und erm\u00f6glicht die Zuordnung dieser Flussmatrix der Installation. Ihre Wirkung ist jedoch begrenzt, da es keinen Mechanismus gibt, der die Fl\u00fcsse blockieren oder als infiziert identifizierte Ger\u00e4te isolieren k\u00f6nnte. \u201eDiese L\u00f6sung ist nur n\u00fctzlich, um die Sichtbarkeit zus\u00e4tzlich zur industriellen Firewall zu erh\u00f6hen, da sie unter keinen Umst\u00e4nden den Datenfluss durch Blockieren b\u00f6swilliger Aktionen sichert<\/em>\u201c, erkl\u00e4rt Simon Dansette.<\/p>\n Dar\u00fcber hinaus ist es unabdingbar zu verstehen, wie industrielle Prozesse funktionieren. Die meisten OT-Schulungen f\u00fcr IT-Experten beschr\u00e4nken sich leider auf HMI-Kenntnisse (Human-Machine Interface) und SPS-Konfiguration. Es ist jedoch unabdingbar zu wissen, welche Industrieprotokolle zum Transportieren einer Bestellung oder zum Aktivieren eines Dienstes verwendet werden und welche Art von Anomalien im Netzwerk auftreten kann. Weil die Cyber-Experten, die f\u00fcr die Sicherung von OT-Netzwerken verantwortlich sind, benachteiligt sind \u2013 da sie die industrielle Umgebung, ihren Betrieb oder sogar ihre betrieblichen Einschr\u00e4nkungen nicht kennen. Diese M\u00e4ngel im Zusammenhang mit der Konvergenz von IT- und OT-Welt<\/a> scheinen uns auf die Kluft zwischen VOIP (Voice over IP) und traditioneller Telefonie vor 20 Jahren zur\u00fcckzubringen. Damals gab es zwei Welten: die der Netzwerkexperten und die der Telefonieexperten. Jeder ignorierte die Probleme der anderen. Gegen\u00fcber der Telefonkonvergenz vor zwanzig Jahren haben wir k\u00fcnftig einen Vorteil: die Virtualisierung. Im Zeitalter digitaler Zwillinge<\/a> ist es jetzt m\u00f6glich, virtuelle Repliken der Fabrik zu erstellen, um Angriffe und ihre L\u00f6sungen zu testen.<\/p>\n <\/p>\n Gl\u00fccklicherweise bieten einige Industrieprotokolle standardm\u00e4\u00dfig Sicherheitsmechanismen an. Dies ist beispielsweise bei DNPSec (sichere Version von DNP3), OPC UA (signiert\/verschl\u00fcsselt), IEC 62351 oder auch CIP Security (eine Erweiterung des CIP-Protokolls) der Fall. Das \u00c4ndern der Ausr\u00fcstung zur Unterst\u00fctzung dieser Protokolle ist f\u00fcr Hersteller jedoch zu langwierig oder zu kostspielig. Die kurzfristige L\u00f6sung besteht daher darin, ihren ungesicherten Protokollen eine Schicht industrieller Cybersicherheit hinzuzuf\u00fcgen.<\/p>\n Daf\u00fcr verwendet der Sektor derzeit zwei Hauptans\u00e4tze. Einerseits k\u00f6nnen die Detektionssonden einen illegitimen Fluss oder einen Prozessdrift erkennen. Wie oben erw\u00e4hnt, k\u00f6nnen sie jedoch keine illegitimen Fl\u00fcsse blockieren oder das System st\u00f6ren. Andererseits ist der andere Ansatz die Verwendung von industriellen Firewalls<\/strong>. In der Regel basieren sie auf der Signaturerkennungstechnologie und erm\u00f6glichen es, aus einer Datenbank bekannter Malware-Signaturen, Eindringversuche in Echtzeit zu erkennen und zu blockieren. Eine Protokollanalysemethode, die auch ihre Grenzen hat: Wenn ein neuer, unbekannter Angriff auftritt, ist er daher nicht an eine Signatur gebunden und hat keine Schwierigkeiten damit, als legitimer Kommunikationsfluss durchzugehen. \u201eDar\u00fcber hinaus kann die Tatsache, dass eine Protokollanalyse durch Signatur angebracht wird, die Kommunikation zwischen SPS verlangsamen und den Prozess destabilisieren<\/em>\u201c, bekr\u00e4ftigt Vincent Nicaise. \u201eDies ist in einem industriellen System problematisch, in dem erwartet wird, dass jede gesendete Information zu einem bestimmten Zeitpunkt verarbeitet wird.<\/em>\u201c Zur Erinnerung: Ein industrielles Steuerungssystem, das rund f\u00fcnfzig SPS integriert, generiert fast 20.000 Anfragen pro Sekunde. Und ebenso viele Antworten: Das gesamte System generiert daher insgesamt 40.000 Pakete pro Sekunde \u2013 das entspricht 40 Paketen pro Millisekunde. Daher ist es wichtig, eine geeignete industrielle Firewall-L\u00f6sung auszuw\u00e4hlen, um eine bestimmte Latenzzeit zu vermeiden. Eine Alternative ist dann die Verwendung eines IPS-Plugins (Intrusion Prevention System<\/em>), das die analysierten Daten kontextualisiert und es erm\u00f6glicht, das Industrieprotokoll und seine Spezifit\u00e4ten zu identifizieren. So kann die industrielle Firewall die verwendeten Codes oder Funktionen identifizieren und passieren lassen (abh\u00e4ngig von der definierten Sicherheitsrichtlinie). Auf diese Weise werden die legitimen und f\u00fcr die Durchf\u00fchrung des Prozesses unbedingt erforderlichen Fl\u00fcsse erkannt \u2013 und sind dann die einzigen, die wie bei einer wei\u00dfen Liste<\/em> (oder Allow-list<\/em>) passieren k\u00f6nnen. Und um noch weiter zu gehen, kann diese Protokollanalyse mit Firewall-Regeln kombiniert werden. Ein besonders interessanter Anwendungsfall im Zusammenhang mit der Fernwartung, wo es m\u00f6glich ist, die Verwendung eines bestimmten Protokolls nur einer authentifizierten Person und\/oder ausschlie\u00dflich w\u00e4hrend eines Zeitfensters f\u00fcr die Intervention zu genehmigen.<\/p>\n Angesichts dieses Problems \u201eist es vorzuziehen, ein Intrusion Prevention-System zu w\u00e4hlen, das die Kommunikation gem\u00e4\u00df dem erkannten Protokoll kontextualisiert und auf die Protokoll-Compliance-Analyse abzielt<\/em>\u201c, verdeutlicht Vincent Nicaise. In der Tat begrenzen diese Systeme Fehlalarme, erleichtern die Verwaltung personalisierter Funktionscodes \u2013 die h\u00e4ufig mit Industrieprotokollen einhergehen \u2013 und gew\u00e4hrleisten einen globalen kontextuellen Schutz des Austauschs zwischen SPS und Kontrollstationen.<\/p>\n <\/p>\n Um noch weiter zu gehen, muss eine industrielle Firewall in der Lage sein, personalisierte Signaturen (Custom patterns) zu integrieren, indem bestimmte Funktionen personalisiert und spezifiziert werden. \u201eAuf diese Weise kann ich bestimmen, dass die Temperatur meines Ofens niemals 500 Grad \u00fcberschreiten darf, unabh\u00e4ngig von den Informationen, die durchgelassen werden. Das Custom pattern analysiert \u00fcber die Firewall die Frames und erm\u00f6glicht die pr\u00e4zise Steuerung bestimmter Variablen. Wenn also die Information 'den Ofen auf 1000 Grad zu bringen' zirkuliert, wird sie blockiert und nicht verarbeitet<\/em>\u201c, erkl\u00e4rt Khobeib Ben Boubaker<\/strong>, Head of Industrial Security Business Line bei Stormshield. Diese personalisierten Regeln, die der Industrie angeboten werden, erm\u00f6glichen es dann, sich vollst\u00e4ndig an den Gesch\u00e4ftskontext anzupassen und die Kommunikationsfl\u00fcsse im Falle einer \u00dcberschreitung eines Schwellenwerts oder nicht zuvor festgelegter Regeln noch genauer zu steuern. Ein weiterer Schritt in Richtung Cybersicherheit industrieller Systeme.<\/p>\n","protected":false},"excerpt":{"rendered":" Kommunizieren, informieren, bestellen usw. In der industriellen Welt haben Automaten ihre eigene Sprache, um die gesamte betriebliche Infrastruktur zu kommunizieren und zu betreiben. In diesem Fall spricht man von industriellen Kommunikationsprotokollen. Ein lexikalisches Feld, das seine semantischen Grundlagen auf die Begriffe Sicherheit, Effizienz, Produktivit\u00e4t und…<\/p>\n","protected":false},"author":26,"featured_media":202060,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1615],"tags":[13331,6566],"business_size":[687,685,686],"industry":[698,700,692],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[6569,1553,1531],"class_list":["post-202059","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-meinungen","tag-cybersecurity-von-stormshield","tag-industrielle-cyber-sicherheit","business_size-grossunternehmen","business_size-kleinunternehmen","business_size-mittelstandsunternehmen","industry-gesundheitswesen","industry-industrie-de","industry-verteidigung-und-militaer","listing_product-sni20-de","listing_product-sni40-de","listing_product-sns-de"],"acf":[],"yoast_head":"\nStuxnet schlug vor zehn Jahren zu<\/h2>\n
Industrielle Cybersicherheit, die sich an der Zeitlichkeit der OT-Ger\u00e4te st\u00f6\u00dft<\/h2>\n
Es ist wichtig, dass Sie Ihren Maschinenbestand gut kennen<\/h2>\n
Durchf\u00fchrbare Sicherheitsl\u00f6sungen<\/h2>\n