Schutz für industrielle Anlagen gemäß KAS-44: Wie Gefahren erkannt und Systeme effektiv vor Cyber-Angriffen geschützt werden können.

bei

 / 9. September. 2019

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Der Schutz vor unbefugtem Zutritt endete für Unternehmen früher sprichwörtlich am Werktor. Im Zeitalter der Digitalisierung gibt es aber neben Gefahren physischer Form auch weitere Arten von Bedrohungen: Cyberattacken, die ortsunabhängig von jedem Ort der Welt erfolgen können. Insbesondere für Unternehmen, für die die Störfallverordnung gilt, ist der Schutz vor Hackern und Co. eine höchst wichtige Aufgabe. In dem Wissen um diese neue Gefahrendimension hat die Kommission für Anlagensicherheit (KAS) deshalb Leitsätze aufgestellt, um Cyber-Angriffen vorzubeugen. Jedoch kann die Umsetzung der daraus sich ergebenden Anforderungen eine große Herausforderung für Unternehmen darstellen. Sie können aber auf Hilfe bauen, um geeignete und effiziente Maßnahmen zu implementieren.

Der Leitfaden der KAS gegen Eingriffe Unbefugter fokussierte noch im Jahr 2002 physische Gefahren und Barrieren für technische Anlagen. Inzwischen hat die Kommission diesen Sicherheitsbegriff deutlich erweitert, da er überholt ist. Seit November 2017 konkretisiert das Merkblatt KAS-44 daher die Anforderungen an die IT-Security in jenen Betrieben, für die die Störfallverordnung gilt.

Ob Biogasanlagen, Chemiewerke mit mehreren Produktionsstätten, oder Lager von großen Mengen gefährlicher Stoffe: Sie alle sind von der KAS-44 direkt betroffen. Weil industrielle Produktionsanlagen einen besonderen Schutz erfordern,  stellen sie besondere Anforderungen an die IT-Sicherheit. Denn im Zuge der Digitalisierung wird ein solcher Betrieb stetig weiter vernetzt, so z. B. mit autonomen Produktionsanlagen, digitalisierten Prozessen oder Fernwartung. Dadurch ergeben sich potenzielle Angriffspunkte. Verschafft sich ein Hacker erfolgreich Zugang, kann er den gesamten Betrieb lahmlegen – was schwerwiegende Folgen nach sich ziehen kann.

IT-Sicherheit – neu gedacht

Die KAS-44 enthält Leitsätze anstelle von Vorschriften. Diese sind dazu gedacht, ein Bewusstsein für die Bedrohungen zu erzeugen und Unternehmen auf mögliche Sicherheitslücken hinzuweisen. So soll vor allem auf Managementebene eine Sensibilisierung erfolgen. Zwar sind sich Großkonzerne zumeist über die Gefahrenlage bereits  im Klaren;, es sind jedoch gerade die mittelständischen Unternehmen, in denen die Awareness fehlt. Insbesondere für diese Firmen kann das Eindringen eines Hackers nicht nur einen enormen Reputationsschaden bedeuten. Sondern ein erfolgreicher Angriff kann sich schnell zu einem geschäftskritischen Faktor entwickeln.

Und das Gefahrenpotenzial nimmt zu: Man muss nicht nur mit Attacken rechnen, die quasi aus jeder Richtung kommen können. Sondern die gesamte IT eines Unternehmens – äußere Parameter, normale Unternehmens-Firewalls oder andere IT-Schutzmechaniken – wird zur Angriffsfläche.. Oft nehmen Hacker auch Schnittstellen aufs Korn.

Unternehmen stehen daher vor der Aufgabe, ihre IT-Sicherheit von Grund auf neu zu überdenken. Dabei reicht es nicht, den Fokus allein auf autonome Anlagen und Prozesse der Industrie 4.0 zu legen. Es müssen vielmehr die optimalen Sicherheitsmaßnahmen bestimmt werden und im gesamten Unternehmen zur Anwendung kommen – anderenfalls droht, dass die Schnittstellenproblematik weiterhin besteht.

Hinsichtlich der Anforderungen für Firewalls und Perimetersicherheit, galten bisher wenige regulatorische Verfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl Unternehmen oder Organisationen, die zu den kritischen Infrastrukturen zählen, ein ISMS (Information Security Management System). Fallen Betriebe aber unter die Störfallverordnung, benötigen gerade sie heute sogar ein erweitertes ISMS.

Die Realität sieht indes anders aus: Viele Unternehmen beschäftigen sich mit der Basis-IT-Sicherheit. Maßnahmen, die der aktuellen Bedrohungslage angemessen sind, haben sie noch gar nicht ins Auge gefasst.

Wie geht ein KAS-44-konformes Risikomanagement vor und welche Tools setzt es ein?

Wird das  Risikomanagement KAS-44-konform aufgesetzt, besteht es aus den Bausteinen Identifizierung, Analyse und Bewertung.

In einem der ersten Schritte gilt es somit, den Status Quo festzustellen: Alle relevanten IT-Assets und die Netzwerkarchitektur des Unternehmens müssen erfasst werden. Die KAS-44 empfiehlt, in einem Asset Register alle für die Sicherheit relevanten Komponenten zu sammeln. Allerdings setzen viele Unternehmen die dafür benötigten Standardtools nicht ein oder die Tools  erfassen nicht segmentübergreifend alle Assets. Unterstützung bietet hierzu eine externe Beratung.

Sie analysiert die Basis-Dokumentation im Unternehmen und verschafft sich ein objektives Bild der Lage. Um im Netzwerk Angriffsflächen zu identifizieren, bieten Tools hierfür wertvolle Hilfe.

Anschließend folgen eine Gefährdungsanalyse, die Ermittlung des Schutzbedarfs und eine Gap-Analyse. Diese bilden die Basis, um schlussendlich den anzustrebenden Sicherheitsstandard festzulegen.

Als nächstes folgen eine Analyse des Risikomanagements, die Prüfung auf Vollständigkeit und eine Risikenbewertung. Das weitere Vorgehen umfasst Attacken auf die IT-Strukturen, wobei entsprechende Tools wie eine Angriffssimulation zum Einsatz kommen. Das Resultat bildet eine Liste an Maßnahmen, um die Sicherheit der Infrastruktur zu optimieren.

Für das Unternehmen können dies schmerzhafte Eingriffe sein, denn gewachsene Strukturen müssen verändert und Standards neu gedacht werden. Bequeme Abläufe, etwa der Fernzugriff von diversen Devices, sind ggf. nicht mehr ohne erweiterte Sicherheitsmaßnahmen möglich.

Wie man Cyber-Angriffen vorbeugen kann

Eines der größten Probleme im Zusammenhang mit der Prävention von Cyber-Attacken ist es zu erkennen, dass man unter Beschuss genommen wird oder die Infrastruktur eventuell schon korrumpiert wurde. Dafür wird als Teil des ISMS ein Incident Management benötigt, das Vorfälle konsistent aufzeichnet. Allerdings besteht eine Herausforderung darin, Sensoren an den richtigen Stellen anzubringen und die wichtigen von den unwichtigen Meldungen zu trennen. Ähnlich einem IPS/IDS-System (Intrusion Detection und Intrusion Prevention) entsteht ein Datenaufkommen, das in den meisten Fällen nicht mit gängigem Know-how gefiltert werden kann. Daher wird ein SIEM (Security Information and Event Management) nötig: In diesem können alle relevanten Daten aus Security-Instanzen geordnet, gesammelt und mit Zeitstempel versehen ausgewertet werden. Damit können aus Ereignissen, die für sich genommen nicht kritisch erscheinen, aber in Kombination mit anderen kumulierten Prozessen und Veränderungen, Angriffsmuster erfasst, ausgewertet und entschärft werden.

Außerdem ist es wichtig, von Beginn an Szenarien zu antizipieren und Prozesse vorbereitet zu haben, die im Worst Case zum Einsatz kommen können, also eine Art Cyber-Notfall-Kit. Ein Unternehmen sollte zudem dazu fähig sein, zu entscheiden, ob es im Falle eines Angriffs weiter online bleibt oder offline geht und eine Unterbrechung des Betriebs in Kauf nimmt. Hat ein Unternehmen zu wenig Erfahrung im Umgang mit Angriffen, wird es die Systeme lieber komplett abschalten und die damit verbundenen Verfügbarkeits-Ausfälle in Kauf nehmen.

Dann muss das Ziel sein, ohne Gefährdung der Infrastruktur schnell wieder auf einer sauberen Basis online zu gehen. Nötig dafür ist ein nicht korrumpierter Zugang nach außen. Um die Infrastruktur wieder online zu bringen, ist hierzu eine vorbereitete Konfiguration sinnvoll. Diese kann schlicht aus einem Router, einer SIM-Karte mit LTE-Volumen und einer Handvoll Tools auf einem USB-Stick bestehen.

Unternehmen benötigen eine gute Sourcing-Strategie

Diese Sicherheitsmaßnahmen stellen für Unternehmen hohe Hürden dar: Sie installieren teure und aufwändige Technologien, müssen Prozesse aufsetzen, die bis zur Automatisierung viel Manpower verschlingen und sind dann oft immer noch nicht in der Lage, Bedrohungen realistisch einzuschätzen. Um den Anforderungen gerecht werden zu können, benötigen Unternehmen deswegen eine gute Sourcing-Strategie und Klarheit darüber, was sie inhouse selbst übernehmen und welche Tasks sie outsourcen wollen. Der Aufwand zum Beispiel für das Incident Management ist oft so hoch, dass es sich wenigstens teilweise empfiehlt, es extern zu vergeben. Zudem sind Scheuklappendenken und Betriebsblindheit oft stark verbreitet, Das macht es wichtig, eng mit einem Dienstleister zusammenzuarbeiten, der eine breite Expertise und Erfahrung vorweisen kann. Gefragt ist hierbei die Kombination verschiedener Kenntnisse: Einerseits fundiertes Know-how zur Anlagensicherheit, andererseits tiefes Verständnis für aktuelle Cyber-Bedrohungen.

Darüber hinaus brauchen Dienstleister entsprechende Berechtigungen. Denn Störfälle betreffen nicht nur IoT-Anwendungen, sondern auch das OT-Umfeld. Die Sourcing-Strategie umfasst deshalb ein Service Level Agreement (SSA). Unternehmen brauchen die juristische wie technische Expertise für den Fall, dass der Dienstleister nicht leisten kann. Gerade im Cyber-Bereich treten häufig breitflächige Kumulschäden auf. Das ist dann der Fall, wenn ein und derselbe Cyber-Angriff eine Vielzahl von Infrastrukturen betrifft. So kann es passieren, dass der Dienstleister verschiedene Kunden hat, die aber alle von einem Schaden betroffen sind, was selbst ein großes Haus überlastet.

Ausblick

Zur Umsetzung der Empfehlungen der KAS-44 bietet sich eine externe Beratung für Unternehmen an – insbesondere für jene, die mit den Maßnahmen der IT-Sicherheit noch am Anfang stehen und zudem nicht über die personellen Ressourcen verfügen, um dieser Aufgabe gerecht zu werden. Externe Anbieter können Schwachstellen schnell identifizieren und bei den umfangreichen Aufgaben wie der Erstellung von Asset Register, dem Risiko- und Incident Management sowie der Erkennung von Security-Vorfällen zur Seite stehen, um die Sicherheit der IT-Anlagen systematisch zu verbessern. Unternehmen steigern damit ihre Produktionssicherheit und minimieren ihr Ausfallrisiko. So hilft externes Know-how aus Anlagen- und Cyber-Sicherheit dabei, gleichzeitig Kosten und Zeit zu sparen und die Wirtschaftlichkeit zu optimieren.

 

Jürgen Bruder ist Mitglied der Geschäftsleitung sowie Prokurist bei TÜV Hessen und verantwortet den Geschäftsbereich Cyber- und Informationssicherheit. Er ist bereits seit 1991 in verschiedenen Funktionen für TÜV Hessen tätig und hat in dieser Zeit Einblick in zahlreiche Geschäftsbereiche erhalten.

 

Nadja Müller hat Kunstgeschichte an der Universität Heidelberg studiert, bei der Rhein-Neckar-Zeitung volontiert und sechs Jahre als Redakteurin gearbeitet. Heute ist sie als Autorin, Content Managerin und freie Journalistin mit Schwerpunkt Digitalisierung, Wirtschaft und Social Media tätig.