Mit zunehmender Vernetzung ehedem autarker Systeme, Anlagen und Geräte entwickeln sich neue Perspektiven für eine intelligente Steuerung von Prozessen. Das spart nicht nur Zeit und Geld, sondern schafft auch Raum für völlig neue Business-Konzepte zum Vorteil von Herstellern, Betreibern und Nutzern durch Digitalisierung und Automation. Die Kehrseite: Mit dem Einsatz standardisierter Hard- und Softwarekomponenten stehen derartige Systeme mehr und mehr im Fokus unliebsamer Eindringlinge. Gefordert sind umfassende Sicherheitskonzepte, die auf anerkannten Normen und entsprechenden Zertifizierungen basieren.
Mit der zunehmenden Durchdringung durch die Informationstechnologie befinden sich Betreiber kritischer Infrastrukturen mehr und mehr in der Pflicht, geeignete Schutzmaßnahmen zu treffen. Dies ist umso bedeutender, als die Störung von Einrichtungen der Versorgungsunternehmen, der Energieerzeuger, staatlicher Stellen, des Transportwesens oder der Telekommunikation zu erheblichen, nicht nur wirtschaftlichen Schäden führen können. Das Bundesamt für Sicherheit in der Informationstechnik weist in seinem Lagebericht für 2017 darauf hin, dass auch die Motivationen für Angriffe häufig nicht mehr rein finanziell gelagert sind. Politisch motivierte Aktivisten finden hier eine Plattform mit großer Wirkung.
Entsprechend häufen sich die Meldungen über Angriffe auf Systeme wie beispielsweise das
Stromnetz in der Ukraine, die Reederei Maersk, die Router der Deutschen Telekom oder die
Deutsche Bahn. Und dabei handelt es sich nur um die Spitze des Eisbergs, weil viele
Angriffe schlicht unbemerkt bleiben oder nicht an die Öffentlichkeit gelangen. Mit der
zunehmenden Nutzung von Standard-Hardware und Open-Source-Software auch in
Bereichen wie der Produktion oder der Verkehrssteuerung geht auch eine größere
Transparenz in Bezug auf die Schwachstellen einher. Dies gefährdet insbesondere Geräte
und Anwendungen, die keine Sicherheitsupdates erhalten und weltweit verteilt millionenfach
im Einsatz sind. Handelte es sich in der Vergangenheit vor allem um autarke Steuerungs-
und Automatisierungsanlagen, so werden diese heute mehr und mehr im Rahmen des
Internet of Things (IoT) vernetzt.
Zunehmende Vernetzung im IoT
Es ist eine Herausforderung für alle Beteiligten aus der Forschung, der Wirtschaft und der
Normierung, hier die geeigneten Sicherheitsanforderungen zu definieren. Das gilt
insbesondere auch für die Nutzung von Software von Drittanbietern wie Open-Source-
Software, Softwarekomponenten von Geräteherstellern oder Programmcode aus Online-
Quellen, weil diese heutzutage einen erheblichen Anteil an der gesamten Codebasis bilden.
Einschlägige Untersuchungen und Befragungen – etwa vom Bundesverband
Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) e. V. – zeichnen
demnach auch ein eher düsteres Bild. Fast 60 Prozent der befragten Unternehmen äußern
Bedenken hinsichtlich der Datensicherheit. Dass die Betreiber von Infrastrukturen gefordert
sind, entsprechende Vorkehrungen zu treffen, steht außer Frage. Sie benötigen jedoch dazu
entsprechende Leitlinien, die es ihnen ermöglichen, die Konformität ihrer Maßnahmen mit
gültigen Richtlinien sicherzustellen.
Aufgrund der Bedeutung für die Bevölkerung hat etwa die Europäische Union ein Programm
zum Schutz kritischer Infrastrukturen aufgesetzt. Es beinhaltet Anforderungen wie die
Entwicklung eines Sicherheitsplanes, der gefährdete Einrichtungen identifiziert, eine
detaillierte Gefahrenabschätzung umfasst und Gegenmaßnahmen zur Abwehr von
Cyberbedrohungen definiert. In Deutschland gelten noch zusätzliche Anforderungen an die
Cybersicherheit etwa aus dem IT-Sicherheitsgesetz, das unter anderem zu regelmäßigen
Audits verpflichtet.
Einhaltung und Zertifizierung von Normen
Betreiber kritischer Infrastrukturen sind gut beraten, ihre Maßnahmen zur Gegenabwehr auf
Basis anerkannter Normen zu definieren und zertifizieren zu lassen. Diese Vorgehensweise
garantiert nicht nur den Rückgriff auf die Kompetenz des Zertifizierungsinstitutes, sondern
demonstriert auch die aktive Vorgehensweise bei der Entwicklung entsprechender
Sicherheitspläne. Die existierenden Normen und Richtlinien, die sich mit den wichtigsten
Aspekten des Schutzes und der Sicherheit von netzwerkfähigen Produkten und Systemen
beschäftigen, helfen bei der Erkennung und Beseitigung allgemeiner Schwachstellen. Um
aber diese Vorgaben in die Praxis umzusetzen und auch den Nachweis darüber zu führen,
ist die Zusammenarbeit mit einem erfahrenen Partner im Umfeld der Normierung und
Zertifizierung nicht nur ratsam, sondern vielmehr zielführend.
In der derzeitigen Situation kommt in diesem Zusammenhang der Software von
Drittanbietern eine bedeutende Rolle zu, weil sie zur Verwendung in internen Systemen und
betrieblichen Abläufen oder zur Integration in Endprodukte vermehrt eingesetzt wird und
eine erhebliche Gefahr für die Verletzung der Cyber-Sicherheit bedeutet. Während in der
Vergangenheit bei Systemen zur Steuerung kritischer Infrastrukturen vor allem proprietäre
Geräte mit spezifischer Software zum Einsatz kamen, hat sich die Lage mit der vermehrten
Verwendung von Standardkomponenten und Softwaremodulen inzwischen verändert. Zwar
ist es ein Trugschluss davon auszugehen, dass der Einsatz proprietärer Systeme das
Sicherheitsrisiko senkt – Legacy-Komponenten können gern auch einmal in Bezug auf die
Security hinterherhinken – aber Open-Source-Lösungen verlangen nach einem
disziplinierten Patch-Management, um dem schnelleren Turnaround Rechnung zu tragen.
Die einmalige Prüfung und Zertifizierung der Sicherheit kann der Entwicklung in Richtung auf
diskontinuierliche Updates aus unterschiedlichsten Quellen kaum mehr Rechnung tragen.
Die Normenreihe UL 2900 etwa bietet einen umfassenden Rahmen für die Beurteilung des
Gesamtkonzeptes eines Unternehmens für die Cyber-Sicherheit und beschreibt, wie sich
Schwachstellen einzelner Software-Komponenten effizient erkennen lassen.
Die Einhaltung anerkannter Normen sowie deren Zertifizierung ist mittlerweile eine
Grundanforderung an Betreiber kritischer Infrastrukturen. Für die Umsetzung bedarf es eines
tiefgehenden Know-hows der Prozesse, der rechtlichen und branchenspezifischen
Anforderungen sowie deren Implementierung in der Praxis. Initiativen wie das Cyber
Security Assurance Program von UL ermöglichen es, Risiken zu verringern und ungeplante
Ausfallzeiten oder den Verlust von geschützten Daten oder Schäden an anderen Assets zu
verhindern.
Autor Dr. Johannes Bauer, Principal Security Advisor, UL
