ics sicherheit, scada sicherheit, ics security, scada security, ics / scada betriebssicherheit

ICS / SCADA Betriebssicherheit

SCADA / ICS Sicherheit - Umsetzung nach IEC 62443 und DIN SPEC 27009

SCADA / ICS Betriebssicherheit

Zum Messen, Steuern und Regeln von Industrieprozessen, beispielsweise zur Automation und zur Überwachung von grossen Systemen und Anlagen, kommen in vielen Industriebereichen sogenannte Industrial Control Systems (ICS; deutsch: industrielle Steuerungssysteme, Automatisierungs-Systeme) zum Einsatz. Diese finden häufig Verwendung in der produzierenden Industrie und in Branchen, die zu den kritischen Infrastruktursystemen (KRITIS) gezählt werden, z. B. Energie, Wasser, Ernährung oder Transport und Verkehr. ICS waren in der Vergangenheit physisch von anderen ICT-Systemen und Netzwerken getrennt und damit vor äusseren Einflüssen geschützt. Daher war die ICT-Security bei der Auswahl und Entwicklung zumeist proprietärer Software und Protokolle von untergeordneter Bedeutung. Mit der zunehmenden Digitalisierung, dem Einzug von ICT-Systemen aus dem Büroumfeld und der zunehmenden Vernetzung der ICS auch über Netzgrenzen hinweg (z. B. in ein Unternehmensnetz) sind diese ICS-Systeme heute ähnlichen Gefährdungen wie derjenigen der Bürokommunikation, d.h. wie Systeme aus der klassischen Informationstechnologie ausgesetzt. Dass diese Gefährdungen real sind, beweisen verschiedene Vorfälle der jüngeren Vergangenheit.

Im Gegensatz zur klassischen ICT haben ICS abweichende Anforderungen an die Schutzziele hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit. Dies äussert sich beispielsweise in längeren Betriebszeiten und seltenen Wartungsfenstern. Zudem sind insbesondere die Echtzeitanforderungen zu nennen, die für die Steuerung häufig unerlässlich sind. Hinzu kommen Gewährleistungsansprüche. Sich in der Praxis bewährte Schutzmassnahmen aus dem Büroumfeld sind dabei nur bedingt auf ICS übertragbar.

IEC 62443 – Industrial communication networks – Network and system security

Die Normenreihe IEC 62443 Industrial communication networks – Network and system security setzt auf ein prozessuales Vorgehensmodell zur Herstellung von ICT Sicherheit für die industrielle Automatisierung und Kontrollsysteme (IACS: Industrial automation and control systems). Sie spezifiziert die Inhalte eines Cybersicherheits-Managementsystems (CSMS) und gibt Hinweise für die Vorgehensweise zur Entwicklung eines CSMS. Die Norm richtet sich an Hersteller, Integratoren und Betreiber.

Bei der Vorgehensweise im Rahmen eines Projekts sollte immer darauf geachtet werden, dass als erstes ein definierter Prozess für das Thema Security etabliert wird. Danach sollte ein geeigneter Perimeterschutz erfolgen, sowie mehrschichtige Sicherheitsmassnahmen auf Netzwerkebene. Im Anschluss sollte der Schutz auf den Komponenten selbst verbessert werden. Bei neuen Anlagen sollte dies bereits in der Planung berücksichtigt werden.

DIN SPEC 27009 - Leitfaden für Informations-Sicherheitsmanagement von Steuerungssystemen der Energieversorgung

Die DIN SPEC 27009 beschreibt einen Umsetzungsleitfaden für ein sektorspezifisches Informationssicherheits-Managementsystem analog zur ISO/IEC 27001 zur Anwendung in der Netzleittechnik in der Energieversorgung. Die Massnahmen aus der ISO/IEC 27002 wurden um sektorspezifische Anforderungen ergänzt. Die Norm richtet sich primär an die Betreiber von Prozesssteuerungssystemen der Energieversorgung sowie an die zuständigen Informationssicherheitsverantwortlichen. Darüber hinaus ist die Norm für Hersteller, Integratoren und Auditoren von Interesse. Im Fokus der Norm sind Systeme und Netze zur Steuerung und Überwachung von Erzeugung, Übertragung und Verteilung von Strom, Gas und Wärme in Kombination mit der Steuerung von unterstützenden Prozessen.

ICS / SCADA Security Fachbroschüren

Fragen

Ihre Fragen werden durch unsere Experten gerne beantwortet

Sie haben ein Anliegen oder suchen fachliche Unterstützung bei der Sicherung des ICS und SCADA Systeme und Anlagen? Gerne helfen wir weiter.

Newsletter

Neuigkeiten nicht verpassen

Verpassen Sie weder News noch fachliche Neuheiten, die wir unseren treuen Abonnenten vorbehalten.

 
Ihre E-Mail-Adresse wird nur dazu genutzt, Ihnen unseren Newsletter und Informationen über unsere Tätigkeiten zu senden. Ihnen steht jederzeit der Abmeldelink zur Verfügung, den wir in jede gesendete E-Mail einfügen.

SCADA / ICS Sicherheit - Umsetzung nach IEC 62443 und DIN SPEC 27009

IEC 62443 – Industrial communication networks – Network and system security

SCADA / ICS Sicherheitsprojekte sind anspruchsvoll. 73 Aspekte sind abzudecken bzw. zu bearbeiten

Im Folgenden finden Sie eine Auflistung der Aspekte der Best Practices von den Normen und Standards (IEC 62443), welche abgedeckt bzw. durch verschiedene Spezialisten im Rahmen eines Projektteams bearbeitet werden müssen:

  1. Aufbau einer Security Organisation
  2. Erstellen und Pflegen der Dokumentation
  3. Etablieren eines Security Managements
  4. Netzplan
  5. Liste der IT-Systeme und installierten Anwendungen
  6. Administrations- und Benutzerhandbücher
  7. Entwicklung und Integration von Individualsoftware
  8. Entsorgung von Hardware
  9. Auditberichte
  10. Festlegung der betrieblichen Aufgaben von Betreiber, Integrator und Hersteller
  11. Changemanagement
  12. Security-Monitoring
  13. Wiederherstellungsplan (Business Continuity Plan) für die schützenswerten Assets
  14. Training des Personals
  15. Sicherheit des Personals
  16. Prozesse für Einstellung, Wechsel und Ausscheiden von Personal
  17. Auditierung
  18. Komponentenprüfung
  19. Vertraulichkeitsvereinbarung mit den Herstellern, Lieferanten und externen Betreibern
  20. Mitteilung der IT-Security-Anforderungen an den Systemintegrator
  21. Berücksichtigung der IT-Security-Spezifikation des Systemintegrators
  22. Robustheit der Produkte
  23. Kompatibilität
  24. Verzicht auf überflüssige Produktfunktionen
  25. Individuelle Zugangsdaten
  26. Aktivierte Sicherheitsmechanismen und aktueller Patchstand
  27. Langfristige Gewährleistung der IT-Security
  28. Unterstützung von Virenschutz-Lösungen
  29. Sichere Fernwartung
  30. Anforderungen an Feldgeräte
  31. Physische Absicherung
  32. Netzsegmentierung
  33. Absichern der elektronischen, externen Schnittstellen
  34. Statische Netz-Konfiguration
  35. Gleiche Sicherheitsmassnahmen für ICS in einem Netzsegment
  36. Unabhängiger Betrieb der Netzsegmente
  37. Absichern der Funktechnologien
  38. Einsatz von Firewalls
  39. Host-based Firewalls
  40. Datendiode (One-Way-Gateway)
  41. Geeignete logische Trennung und VLAN
  42. Implementierung von Intrusion-Detection- bzw. Intrusion-Prevention-Systemen
  43. Nutzung von sicheren Protokollen
  44. Namensauflösung (DNS)
  45. Zeitsynchronisierung
  46. Standard-Benutzerkonten und -Passwörter
  47. Individuelle Benutzerkonten
  48. Entfernen von unnötiger Software und Diensten
  49. Anpassen der Standard-Einstellungen
  50. Anpassen der Hardware-Konfiguration
  51. Zugriff auf das Internet innerhalb des ICS-Netzwerk
  52. Umgang mit Patches
  53. Umgang mit End Of Support (EOS)
  54. Technische Authentisierungsmassnahmen
  55. Passwortverteilung und -management, Passwort-Richtlinie
  56. Vermeidung von Missbrauch
  57. Autorisierung
  58. Einsatz geeigneter kryptographischer Algorithmen
  59. Installation und Betrieb von Virenschutzprogrammen
  60. Geeignete Alternativen für den Fall, dass keine Virenschutzprogramme möglich sind
  61. Sichere Konfiguration von Virenschutzprogrammen
  62. Zentraler Viren-Signaturen-Verteildienst
  63. Zeitnahe Aktualisierung der Viren-Signaturen
  64. Virenschutzprogramm auf der Firewall (Virus Wall)
  65. Application Whitelisting
  66.  Umgang mit Wechseldatenträgern
  67. Wechseldatenträgerschleuse (Quarantäne-PC)
  68. Einsatz von Notebooks zu Wartungszwecken
  69. Aktiviertes BIOS-Passwort und eingeschränkte Boot-Optionen
  70. Deaktivierung der Autorun-Funktion
  71. Datensicherungen der Systeme
  72. Aufbewahrung der Datensicherungen
  73. Logging / Monitoring

Best Practice Einstieg in einen geordneten IT-Sicherheitsprozess in einem ICS

Die hier beschriebenen Best Practices beschreiben nur den Einstieg in einen geordneten IT-Sicherheitsprozess innerhalb eines ICS bzw. eines ganzen Unternehmens. Ziel sollte es sein, ein funktionierendes Informationssicherheitsmanagement auf Basis von ISO 27000, IT-Grundschutz oder IEC62443 aufzubauen. Bei den Umsetzungsmassnahmen ist zu beachten, dass insbesondere anschliessende Sicherheitsmassnahmen als erstes umgesetzt werden sollten. Diese dienen dazu, einen Überblick über die eigenen Systeme und die Infrastruktur zu erhalten, Verantwortlichkeiten zu definieren und sich der bestehenden Risiken bewusst zu werden. Die Risiken und die sich daraus ableitenden Schutzmassnahmen sind für jede ICS-Installation individuell. Dennoch gibt es aufgrund der bisherigen Erfahrungen mit ICS Best Practices, deren Umsetzung geeignet ist, um das IT-Sicherheitsniveau des ICS zu erhöhen und der aktuellen Bedrohungslage gerecht zu werden. Für eine angemessene Auswahl und Umsetzung der Massnahmen ist eine individuelle Risikoanalyse jedoch zwingend notwendig.

Umzusetzende Sicherheitsmassnahmen

  • Aufbau einer Security Organisation,
  • Erstellen und Pflegen der Dokumentation
  • Etablieren eines Security Managements
  • Netzplan
  • Liste der IT-Systeme und installierten Anwendungen
  • Administrations- und Benutzerhandbücher
RM Risk Management AG
Hertistrasse 25
8304 Wallisellen / Zürich
Schweiz
Tel. +41 44 360 40 40

Expertise

Risikomanagement seit über 35 Jahren
Risikomanagement seit über 35 Jahren

Produktunabhängige und neutrale Security & Risk Management Beratung

Folgen Sie uns:

Speichern
Benutzereinstellungen für Cookies
Wir verwenden Cookies, um sicherzustellen, dass Sie die beste Erfahrung auf unserer Website machen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Weiter lesen
Unbedingt erforderliche Cookies
Diese Cookies sind unerlässlich, um sicherzustellen, dass der Besucher in bestimmten Funktionen der Website navigieren und sie nutzen kann. Ohne sie können wesentliche Teile der Webseite nicht verwendet werden. Entsprechend sind diese Cookies immer aktiviert. Sie werden nur dann eingesetzt, wenn Sie unsere Website besuchen und werden in der Regel nach dem Schliessen Ihres Browsers gelöscht. Ausserdem werden sie verwendet, um bei Zugriff mit einem mobilen Gerät die optimierte Website-Darstellung abzurufen, damit z. B. Ihr Datenvolumen nicht unnötig verbraucht wird. Auch erleichtern die Cookies den Seitenwechsel von http zu https, sodass die Sicherheit der übertragenen Daten gewährleistet bleibt.
Marketing-Cookies
Marketing-Cookies werden genutzt, um gezielter für den Nutzer relevante und an seine Interessen angepasste Inhalte anzubieten. Sie werden ausserdem dazu verwendet, die Effektivität von Kampagnen zu messen und zu steuern. Sie registrieren z. B., ob man eine Webseite besucht hat oder nicht, sowie welche Inhalte genutzt worden sind. Mithilfe dieser Informationen wird ein Interessensprofil erstellt, sodass nur für Sie interessante Inhalte angezeigt werden. Wenn Sie Ihre Zustimmung zu Marketing-Cookies widerrufen, bedeutet dies nicht, dass Sie in der Folge weniger Inhalte sehen oder erhalten. Es bedeutet vielmehr, dass die Inhalte, die Sie sehen und erhalten, nicht individuell auf Ihre Bedürfnisse zugeschnitten sind.
linkedin.com
Annehmen
Decline
Leistungs-Cookies
Diese Cookies sammeln Daten über das Benutzerverhalten. Auf dieser Basis wird die Webseite bezüglich Inhalt und Funktionalität auf das allgemeine Nutzungsverhalten abgestimmt. Die gesammelten Informationen werden grundsätzlich in aggregierter Form weiterverarbeitet, es sei denn, ein Besucher hat einer personenbezogenen Auswertung gesondert ausdrücklich zugestimmt. Leistungs-Cookies werden ausschliesslich verwendet, um die Leistung der Website zu verbessern und das Online-Erlebnis auf die Bedürfnisse der Nutzer abzustimmen.
Google Analytics
Annehmen
Decline
Funktionale Cookies
Funktionale Cookies ermöglichen der Webseite, getätigte Angaben, wie z. B. den Benutzernamen oder die Sprachauswahl, zu speichern und dem Nutzer darauf basierend verbesserte und personalisierte Funktionen anzubieten. Die gesammelten Informationen werden ausschliesslich in aggregierter Form ausgewertet. Da wir Ihnen eine Website bieten möchten, die auf optimale Benutzerfreundlichkeit ausgelegt ist, empfehlen wir die Aktivierung dieser Cookies. Funktionale Cookies werden z. B. auch genutzt, um von Ihnen gewünschte Funktionen wie die Wiedergabe von Videos zu aktivieren.