von Redaktion IT-A…
Lesezeit
1 Minute
Seite 2 - Vernetzte Produktion richtig absichern
Endpunktsecurity für MES und SCADA
Auf den höhergelagerten Steuerungssystemen der Prozessleitebene und Betriebsleitebene, etwa SCADA (Supervisory Control and Data Acquisition) und MES (Manufacturing Execution System), ist es meist möglich, Endpunkt-Sicherheitssoftware zu installieren. Herkömmliche Produkte aus der IT-Security eignen sich dafür allerdings nicht, da sie zu ressourcenhungrig sind und einen neueren Betriebssystemstand erfordern. Pattern-basierter Malware-Schutz benötigt zudem einen Internetzugang, was in Air-gapped-Umgebungen schwierig ist. Stattdessen empfehlen sich spezialisierte industrietaugliche Endpoint-Securityplattformen, die ohne Pattern und ohne Internetverbindung arbeiten, wenig Speicher brauchen und auch auf alten Betriebssystemversionen laufen.
Technologien, die dabei zum Einsatz kommen, sind zum Beispiel Machine Learning und ICS Root of Trust. Letzteres sammelt im Vorfeld ICS-Softwarezertifikate und Lizenzen und verifiziert diese als vertrauenswürdig. Machine Learning überwacht dann die Interaktion zwischen Nutzern und ICS und entscheidet automatisiert, ob eine Applikation auf Dateien, System Library oder Registry Keys zugreifen darf. Bei Steuerungssystemen mit fester Funktion und minimalem freien Speicherplatz kann ein Unternehmen Endpunktschutz auch mit einem Application-Lockdown-Werkzeug etablieren. Dieses arbeitet mit einer Whitelist und erlaubt nur das Ausführen von freigegebenen Anwendungen.
Regelmäßige Sicherheitsscans für Air-gapped-Umgebungen
Zusätzlich zu den genannten Netzwerk- und Endpunkt-Schutzmaßnahmen empfiehlt es sich, regelmäßige Securityscans vorzunehmen, um Systeme auf Malware zu prüfen und ihren aktuellen Status transparent zu machen. Vor allem Fremdsysteme, die von außen in abgeschottete Umgebungen kommen, sollte die IT scannen, bevor sie angeschlossen werden – zum Beispiel das Laptop des Servicetechnikers.
Mithilfe eines spezialisierten Tools in Form eines USB-Sticks sind Malware-Scans möglich, ohne Software zu installieren. Er wird einfach angesteckt, prüft das System auf Schadsoftware und eliminiert diese. Gleichzeitig sammelt der Stick aktuelle Systeminformationen der Produktionsmaschinen. Die Ergebnisse lassen sich anschließend zentral auf einem Arbeitsrechner speichern und auswerten. So gewinnen Administratoren Transparenz über den Softwarestand der Systeme in der OT-Umgebung und können zum Beispiel auch Schatten-IT aufdecken.
Es muss nicht immer eine Industrielösung sein
Regelmäßige Securityscans und eine Kombination aus Endpunkt- und Netzwerk-Sicherheitsprodukten sind technische Möglichkeiten, um Produktionsanlagen vor Cyberangriffen zu schützen. Dazu kommen Maßnahmen wie Zugangskontrollen nach einem Least-Privilege-Access-Modell und Mitarbeiterschulungen zur Awareness. Bei der Wahl der Sicherheitsplattform gilt: Sie sollte immer auf die jeweilige Umgebung abgestimmt sein.
Für die OT auf Steuerungs- und Prozessleitebene sind spezialisierte, industrietaugliche Angebote erforderlich. Je weiter man aber in der Automatisierungspyramide nach oben rückt, desto mehr IT kommt zum Einsatz. Hier kann ein Unternehmen durchaus mit gängigen IT-Securitysystemen arbeiten und zum Beispiel eine Breach-Detection-Software im Leitstandsnetzwerk passiv mitlaufen lassen. Auch vor die Internetanbindung zum Shopfloor oder zwischen Produktionsumgebung und Office-IT lässt sich eine herkömmliche Firewall setzen.
Fazit
Entscheidend ist, auch in Produktionsumgebungen den jeweiligen Anwendungsfall genau zu prüfen und aus dem Spektrum an IT- und OT-Sicherheitsprodukten das passende Toolset zusammenzustellen. Produzierende Unternehmen sollten alles tun, um ihre Systeme bestmöglich zu schützen. Denn solange Cyberkriminelle mit Ransomware-Attacken auf die Industrie gutes Geld verdienen, werden sie ihr Geschäft weiter ausbauen.
Seite 1: Spezialisierte OT-Malware
Seite 2: Endpunktsecurity für MES und SCADA
ln/Udo Schneider, IoT Security Evangelist Europe bei Trend Micro
Auf den höhergelagerten Steuerungssystemen der Prozessleitebene und Betriebsleitebene, etwa SCADA (Supervisory Control and Data Acquisition) und MES (Manufacturing Execution System), ist es meist möglich, Endpunkt-Sicherheitssoftware zu installieren. Herkömmliche Produkte aus der IT-Security eignen sich dafür allerdings nicht, da sie zu ressourcenhungrig sind und einen neueren Betriebssystemstand erfordern. Pattern-basierter Malware-Schutz benötigt zudem einen Internetzugang, was in Air-gapped-Umgebungen schwierig ist. Stattdessen empfehlen sich spezialisierte industrietaugliche Endpoint-Securityplattformen, die ohne Pattern und ohne Internetverbindung arbeiten, wenig Speicher brauchen und auch auf alten Betriebssystemversionen laufen.
Technologien, die dabei zum Einsatz kommen, sind zum Beispiel Machine Learning und ICS Root of Trust. Letzteres sammelt im Vorfeld ICS-Softwarezertifikate und Lizenzen und verifiziert diese als vertrauenswürdig. Machine Learning überwacht dann die Interaktion zwischen Nutzern und ICS und entscheidet automatisiert, ob eine Applikation auf Dateien, System Library oder Registry Keys zugreifen darf. Bei Steuerungssystemen mit fester Funktion und minimalem freien Speicherplatz kann ein Unternehmen Endpunktschutz auch mit einem Application-Lockdown-Werkzeug etablieren. Dieses arbeitet mit einer Whitelist und erlaubt nur das Ausführen von freigegebenen Anwendungen.
Regelmäßige Sicherheitsscans für Air-gapped-Umgebungen
Zusätzlich zu den genannten Netzwerk- und Endpunkt-Schutzmaßnahmen empfiehlt es sich, regelmäßige Securityscans vorzunehmen, um Systeme auf Malware zu prüfen und ihren aktuellen Status transparent zu machen. Vor allem Fremdsysteme, die von außen in abgeschottete Umgebungen kommen, sollte die IT scannen, bevor sie angeschlossen werden – zum Beispiel das Laptop des Servicetechnikers.
Mithilfe eines spezialisierten Tools in Form eines USB-Sticks sind Malware-Scans möglich, ohne Software zu installieren. Er wird einfach angesteckt, prüft das System auf Schadsoftware und eliminiert diese. Gleichzeitig sammelt der Stick aktuelle Systeminformationen der Produktionsmaschinen. Die Ergebnisse lassen sich anschließend zentral auf einem Arbeitsrechner speichern und auswerten. So gewinnen Administratoren Transparenz über den Softwarestand der Systeme in der OT-Umgebung und können zum Beispiel auch Schatten-IT aufdecken.
Es muss nicht immer eine Industrielösung sein
Regelmäßige Securityscans und eine Kombination aus Endpunkt- und Netzwerk-Sicherheitsprodukten sind technische Möglichkeiten, um Produktionsanlagen vor Cyberangriffen zu schützen. Dazu kommen Maßnahmen wie Zugangskontrollen nach einem Least-Privilege-Access-Modell und Mitarbeiterschulungen zur Awareness. Bei der Wahl der Sicherheitsplattform gilt: Sie sollte immer auf die jeweilige Umgebung abgestimmt sein.
Für die OT auf Steuerungs- und Prozessleitebene sind spezialisierte, industrietaugliche Angebote erforderlich. Je weiter man aber in der Automatisierungspyramide nach oben rückt, desto mehr IT kommt zum Einsatz. Hier kann ein Unternehmen durchaus mit gängigen IT-Securitysystemen arbeiten und zum Beispiel eine Breach-Detection-Software im Leitstandsnetzwerk passiv mitlaufen lassen. Auch vor die Internetanbindung zum Shopfloor oder zwischen Produktionsumgebung und Office-IT lässt sich eine herkömmliche Firewall setzen.
Fazit
Entscheidend ist, auch in Produktionsumgebungen den jeweiligen Anwendungsfall genau zu prüfen und aus dem Spektrum an IT- und OT-Sicherheitsprodukten das passende Toolset zusammenzustellen. Produzierende Unternehmen sollten alles tun, um ihre Systeme bestmöglich zu schützen. Denn solange Cyberkriminelle mit Ransomware-Attacken auf die Industrie gutes Geld verdienen, werden sie ihr Geschäft weiter ausbauen.
Seite 2: Endpunktsecurity für MES und SCADA
| << Vorherige Seite | Seite 2 von 2 |
ln/Udo Schneider, IoT Security Evangelist Europe bei Trend Micro
