Die Notwendigkeit, Netzwerke gegen Cyberangriffe abzusichern, ist aktueller denn je. Angriffe auf Netzwerksysteme erfolgen nicht nur mit der Absicht, kritische Infrastrukturen zu sabotieren oder auszuspionieren. Oft werden auch Daten verschlüsselt und Lösegeld gefordert. Der Fokus zur Absicherung der Netze liegt oftmals auf der Office-IT. Es wird beispielsweise versucht, mit regelmäßigen Systemupdates, Sicherheitslücken zu schließen oder mit Einsatz von Virenscannern, die Angriffe zu erschweren.
Andere Prioritäten
Im Bereich der Produktion und den OT(Operational Technology)-Netzen der Automatisierungstechnik gibt es aber andere Anforderungen und Prioritäten. Dort muss der Produktionsbetrieb aufrecht erhalten werden, zudem sind Wartungsfenster nur in sehr geringem Umfang vorhanden. Die Updatezyklen der eingesetzten Automatisierungssoftware sind zudem sehr viel länger als in der Office-IT. Das bedeutet auch, dass aufgrund von Abhängigkeiten Sicherheitsupdates für das darunterliegende Betriebssystem oft nicht eingespielt werden können. Auch besteht das Risiko, dass eine Anlage nach dem Einspielen eines Updates nicht mehr funktioniert. Der Einsatz von Virenscannern ist oft kein geeignetes Mittel. Zum einen bedarf es dafür einer Freigabe durch die Hersteller der eingesetzten Automatisierungslösung, zum anderen ist eine direkte Verbindung mit dem Internet erforderlich, um die Virenscanner aktuell zu halten. Doch eine direkte Internetverbindung sollte in der Regel vermieden werden.
Programmintegrität prüfen
Anstatt eines Virenscanners empfiehlt sich der Einsatz von so genanntem Whitelisting. Damit wird für jeden Rechner festgelegt, welche Programme in welcher Version ausgeführt werden dürfen. Dies wird einmal nach Abschluss der Inbetriebnahme festgelegt. Anschließend können nur noch die Programme ausgeführt werden, die in die Liste aufgenommen wurden. Die Integrität der Programme wird über Hashwerte geprüft, die über die Programmdateien gebildet werden. Dies verhindert, dass ein Programm ausgeführt werden kann, das nur minimal verändert wurde – etwa durch Malware. Mit dieser Methode können auch Systeme abgesichert werden, die aus dem Updatezyklus des Herstellers herausgefallen sind, aber für die Produktion wichtig sind und in absehbarer Zeit nicht durch aktuelle Systeme abgelöst werden können.
Angriffserkennung
Zu den neuen Anforderungen des IT-Sicherheitsgesetzes gehört u.a. der verpflichtende Einsatz von Systemen zur Angriffserkennung. So ein System überwacht kontinuierlich und passiv den Netzwerkverkehr. Dafür wird es an einen Mirror-Port eines Switches angeschlossen, der den gesamten Netzwerkverkehr ausleiten kann. In der Regel erfolgt erst eine ‚Lernphase‘, in der das System die Netzwerkteilnehmer und die Kommunikation untereinander erfasst. In der Automatisierungstechnik und Anlagensteuerung kann man davon ausgehen, dass die Kommunikation mehr oder weniger kontinuierlich ist. Dieser Zustand wird dann als valide hinterlegt. Nach der Lernphase nimmt das System die Arbeit auf. Tritt Netzwerkverkehr auf, der so nicht erwartet wurde (Anomalie), schlägt das System Alarm und die verantwortlichen Mitarbeiter können Maßnahmen ergreifen.