Nigel Stanley erläutert Cyber Security in Bezug auf die Funktionale Sicherheit sowie Geräte im Internet der Dinge (IoT)
Wir waren sehr dankbar für die Gelegenheit, mit Nigel Stanley, dem Practice Director für Cyber Security von TÜV Rheinland und OpenSky, über Bedrohungen der Cyber Security für industrielle Steuersysteme und IoT-Geräte sprechen zu dürfen. Die Zahl der Machine to machine-Verbindungen nimmt stetig zu und unsere moderne und zunehmend benutzerfreundlichere Kommunikation trägt dazu bei, dass auch Bedrohungen, welche die Cyber Security betreffen, ein stetiges Wachstum verzeichnen. Gleichzeitig möchten Hersteller von medizinischen Geräten immer mehr Funktionen in ihren Produkte integrieren, die eine Internetverbindung ermöglichen. Außerdem nehmen die Verknüpfungen zwischen der industriellen beziehungsweise betrieblichen und traditionellen IT-Technologie immer mehr zu und sorgen dafür, dass die Cyber Security an dieser Schnittstelle ein immer wichtigerer Bestandteil der Funktionalen Sicherheit wird. Nigel Stanley nahm sich freundlicherweise die Zeit, um uns einen Einblick in diesen Sachverhalt zu gewähren.
Was ist das Interessante an der Sicherheit computerbasierter elektromechanischer Systeme, die dazu auch noch über Internetworking-Komponenten verfügen?
Die Tatsache, dass die Beeinträchtigung eines elektromechanischen Systems, wie z. B. eines verfahrenstechnischen Systems oder einer Verarbeitungsanlage, Auswirkungen physischer oder kinetischer Natur haben kann. Für Hacker und bei der Informationssicherheit ging es schon immer in erster Linie um die Sicherung von Daten. Daten sind unsichtbar, weshalb sie keinerlei greifbare oder physikalische Auswirkungen haben. Im Gegensatz dazu kann die Beeinträchtigung industrieller Steuersysteme einen physikalischen kinetischen Effekt zeitigen. Man nehme dazu nur einmal eine der wichtigen nationalen Infrastrukturen wie das öffentliche Stromnetz. Die Untergrabung der Sicherheit dieses Systems kann physische Auswirkungen haben wie z. B. die Abschaltung der Versorgung. Der Schutz dieser Systeme ist mittlerweile unerlässlich, weil sie zunehmend mit dem Internet verknüpft sind. Zusätzlich dazu widmen ihnen Hacker mittlerweile große Aufmerksamkeit, ein Grund, warum wir als Experten für Cyber Security unsere Anstrengungen zu ihrem Schutz stetig intensivieren müssen.
Welche Formen der Sicherung sind denkbar?
Wir haben es hier mit einer Vielzahl an Aspekten zu tun. Einer davon ist, dass wir zunächst die Risiken für das System verstehen müssen. Bei unserer Arbeit mit Kunden untersuchen wir zunächst deren elektromechanisches System auf mögliche Cyber-Risiken. Wir prüfen dabei Systemarchitektur, Geschäftsziel, Aufbau des Systems sowie Verwendung und Verbindungen. Sobald wir uns einen genauen Eindruck über das System verschafft haben, können wir es auf mögliche Bedrohungen hin bewerten. Ist es mit dem Internet verbunden, besteht die Möglichkeit einer Beeinträchtigung durch Cyber-Bedrohungen. Wenn nicht, haben wir es mit einem so genannten „Luftloch“ zu tun, dann ist es möglich, dass Malware z. B. über einen ungesicherten USB-Stick ins System eindringt. Kein System ist wie das andere und so muss jede Organisation einen individuellen Risikobewertungsprozess durchlaufen, um die notwendigen Sicherheitskontrollen definieren zu können, egal ob diese nun technischer Natur oder richtlinienbasiert sind.
Welche sind die Risiken solcher Machine to machine-Verbindungen, die von aktuell 500 Millionen auf 3,2 Milliarden im Jahre 2020 ansteigen sollen?
Die Kommunikationsmechanismen von Maschinen werden nicht selten in anderen Systemen wiederverwendet oder repliziert, wodurch Schwachstellen aus einer Verbindung an alle anderen nachfolgenden Systeme der Kette verbreitet werden können. Wir stellen sehr oft fest, dass aufgrund des Typs der verbundenen Maschinen die Software oder der Prozess über vergleichsweise wenig Speicherkapazität oder Rechenleistung für zusätzliche Sicherheitskontrollen verfügt. Wenn die Betreiber also vor der Wahl stehen, eine neue Funktion oder mehr Sicherheit zu installieren, dann entscheiden sie sich in den meisten Fällen für das Erstere. Dies erklärt die Existenz vieler Machine to machine-Verbindungen ohne entsprechende Sicherung oder Authentifizierung sowie die Wiederverwendung von fehlerhaftem Softwarecode, der mehrere Systeme „infizieren“ kann. Da wir heute immer mehr IoT-Geräte verwenden, nimmt unsere Abhängigkeit von eben diesen Machine to machine-Verbindungen stetig zu. Aufgrund der ständig steigenden Zahl an verbundenen Systemen und dadurch immer komplexeren Netzwerken verzeichnen wir dazu einen sprunghaften Anstieg bei den Sicherheitsproblemen und den damit verbundenen Risiken.
Der Schutz dieser Systeme ist mittlerweile unerlässlich, weil sie zunehmend mit dem Internet verknüpft sind. Dazu widmen ihnen Hacker aktuell große Aufmerksamkeit, ein Grund, warum wir als Experten für Cyber Security unsere Anstrengungen zu ihrem Schutz stetig intensivieren müssen.
Nigel StanleySie sprechen von einem „direkten Datenaustausch zwischen SCADA (Supervisory Control and Data Acquisition) -Netzwerk und Büro-IT“ – welche Cyber-Risiken müssen wir hier beachten?
Mit SCADA-Systemen werden z. B. Verarbeitungsanlagen, Stromnetze oder vielleicht auch Wasseraufbereitungsanlagen gesteuert. Aktuell sehen wir bereits einen Anstieg der Verbindungen zwischen diesen Systemen und der traditionellen Büroinformationstechnologie. So möchte vielleicht ein Buchhalter einer Verarbeitungsfirma aktuelle Daten einsehen, z. B. wie viele Einheiten einer Chemikalie in Echtzeit produziert werden. Zu diesem Zweck richten manche Unternehmen eine Verbindung zwischen dem SCADA-, oder Industriesteuerungssystem, und dem IT-Bürosystem ein. Dabei werden nun Daten vom SCADA-System zum Buchhaltungs- oder Enterprise Resource Planning (ERP)-System übermittelt, das für die Herstellungskontrolle zuständig ist. Der Datenfluss erfolgt hier lediglich in eine Richtung. Natürlich müssen diese Daten immer noch gesichert und verwaltet werden, aber unter normalen Umständen birgt dieser unidirektionale Prozess keine großen Risiken. Das ändert sich, wenn Daten zwischen SCADA- und Buchhaltungssystem in beide Richtungen fließen. So kann es sein, dass ein Buchhalter Informationen an das industrielle Steuersystem senden möchte, um z. B. den Produktionswert zu steigern. Diese Praktik wäre äußerst gefährlich und so können wir nur hoffen, dass kein Produktions-Manager zulässt, dass sich nicht qualifizierte Mitarbeiter an einem Produktions- oder Steuersystem zu schaffen machen. Aber, wie wir wissen, möglich ist alles. Dazu kommt, dass die neueren Steuerungssystemnetzwerke die gleiche Ethernet- und Wireless IP-Technologie wie die Bürosysteme verwenden, was das Potenzial für zusätzliche Sicherheitsrisiken vergrößert. Man muss verstehen, dass die Hauptüberlegung beim Einsatz eines einheitlichen Steuersystems für Industrie- und Bürosysteme primär in Richtung Kosteneinsparung geht. Trotzdem dürfen die Sicherheitsrisiken nicht außer Acht gelassen werden. Zum Glück ist es möglich solche Risiken mithilfe technischer Kontrollen und einer guten Netzwerkplanung zu mindern.
Bedeutet dies, dass man im Grunde ein weiteres Gateway oder einen Access Point einrichtet?
Korrekt. Man könnte auch sagen, eine weitere Gefahrenquelle für Systeme. Normalerweise ist die industrielle Steuerung bzw. das SCADA-System isoliert, aber sobald es mit anderen Systemen verbunden wird, steigt die Gefahr durch Cyber-Bedrohungen.
Inwieweit unterscheiden sich Unternehmens- und Industriesysteme?
Bei IT-Systemen in Unternehmen reden wir von E-Mails, gemeinsamer Dateinutzung, Office-Tools, Online-Besprechungen und -Konferenzen, mit denen alle Mitarbeiter umgehen können und für die, in Bezug auf relevante Risiken, geeignete Sicherheitsmaßnahmen installiert sind. Bei der Betriebs- (OT - Operational Technology) oder Industrietechnologie verhält sich das völlig anders, weil die verwendeten Netzwerke nicht selten völlig veraltet sind. Manche von ihnen wurden vor über 30 Jahren installiert und verwenden keine TCP/IP (Transmission Control Protocol und Internet Protocol)-Protokolle, sondern zumeist ein sehr einfaches und nicht gesichertes serielles Protokoll. Sicherheitsmaßnahmen sind bei der Betriebstechnologie quasi nicht existent. Wenn überhaupt einmal Passwörter verwendet werden, dann sind diese eher rudimentär und auf einen Notizzettel gekritzelt, der an der verfahrenstechnischen Workstation haftet. Für OT-Systeme gibt es in den meisten Fällen kein Patching und keine Updates. Bei Bürosystemen werden diese Vorgänge dagegen täglich durchgeführt. Der Grund, warum die Systeme von Verarbeitungsanlagen über Jahre hinweg weder gepatcht noch aktualisiert werden, hängt mit dem Risiko einer Beeinträchtigung ihrer Verfügbarkeit zusammen. Diese beiden Typen von IT-Systemen sind also sehr unterschiedlich.
Warum gehört die Verfügbarkeit zu den größten Risiken für die industrielle IT?
Betriebsunterbrechungen in einer Verarbeitungsanlage können pro Stunde Millionen Euro oder US-Dollar kosten. Man kann also sagen, dass die Verfügbarkeit bei diesen Systemen mit an höchster Stelle steht. Fast alle Entscheidungen in einer Prozessanlage werden vor dem Hintergrund dieses Aspekts getroffen.
Wie jeder Hersteller, der Geräte mit Internetverbindungen produziert, müssen sie eine Risiko- und Sicherheitsbewertung durchführen, um herauszufinden, welche speziellen Risiken für ihre Produkte bestehen.
Nigel StanleyWelche Sicherheitsmaßnahmen sind für industrielle IT-Systeme denkbar?
Die Funktionale Sicherheit, also die korrekte Funktion des sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen, ist extrem wichtig. Wir bei TÜV Rheinland führen Sicherheitsprüfungen mit verschiedenen Standards wie z. B. IEC 61508 durch. Mit diesen Sicherheitsnormen stellen wir die Frage: Wie kann eine Anlage vor Gefahren geschützt sein, wenn keine entsprechenden Schutzmaßnahmen implementiert werden? Wie kann man die Sicherheit von Verarbeitungsanlagen gewährleisten, wenn man keine Vorkehrungen gegen Malware und Viren trifft? Aus diesem Grund integrieren jetzt auch immer mehr Sicherheitsstandards für die industrielle Betriebstechnologie den Aspekt der Cyber Security. Wir bei TÜV Rheinland und OpenSky ebnen unseren Kunden den Weg, indem wir die Funktionale Sicherheit und die relevanten international anerkannten Standards wie IEC 61508 mit Normen für die Cyber Security wie IEC 62443 kombinieren.
Die nächste Frage betrifft ein etwas anderes Thema: Warum zeigen Hacker vermehrt Interesse an medizinischen Geräten im Internet der Dinge?
Die Zahl der medizinischen Geräte mit Wireless-Konnektivität nimmt ständig zu. So arbeite ich zurzeit z. B. an einem Projekt mit einem Gerät für die kontinuierliche Glukosemessung. Es dient der Feststellung des Blutzuckergehalts bei Diabetikern. Man kann dieses Gerät mit einem Smartphone und folglich auch mit dem Internet verbinden. Weitere Beispiele für solche Geräte sind Röntgenapparate, Infusionspumpen usw. Hersteller von medizinischen Geräten wollen natürlich in gleicher Weise vom Internet profitieren wie die industrieller Steuersysteme. Allerdings verfolgen auch Hacker diese Entwicklung mit großem Interesse. Warum langweilige Daten hacken, wenn man physikalische kinetische Geräte kompromittieren kann? Für Hacker stellt dieses Gebiet eine neue coole, aufregende und anspruchsvolle Herausforderung dar. Dazu sind sie generell extrem innovativ und suchen ständig nach neuen Beschäftigungen oder „Spielplätzen“. Manche interessieren sich dabei auch für die in diesen medizinischen Geräten enthaltenen Daten wie Patientenakten, Ergebnisse medizinischer Tests usw. Man stelle sich nun vor, ein Hacker kommt in den Besitz der Patientenakte eines wichtigen Politikers und nutzt diese zwecks Erpressung oder ändert bzw. manipuliert gar deren Inhalt. Kein Wunder, dass medizinische Geräte immer mehr in den Fokus von Hackern rücken.
Wie können Hersteller medizinischer IoT-Geräte ihre Produkte sicherer machen?
Wie jeder Hersteller, der Geräte mit Internetverbindungen produziert, müssen sie eine Risiko- und Sicherheitsbewertung durchführen, um herauszufinden, welche speziellen Risiken für ihre Produkte bestehen. Lässt sich das Gerät mit einem Wireless-Netzwerk verbinden? Welche Passwörter werden verwendet? Welche Art von Code wird auf Hardware und Software ausgeführt und ist dieser entsprechend gut geschrieben und sicher? Für jedes Risiko und jegliche Sicherheitsbelange müssen proportionale Kontrollen implementiert werden. So sollte es zum Beispiel in keinem System hartkodierte Passwörter geben. Hier würde man mithilfe einer proportionalen Kontrolle den Software-Code prüfen und solche Passwörter entfernen. Verwendet das Gerät ein Wireless-Netzwerk, müssen Sie zunächst verstehen, warum das so ist und dann eine entsprechende Kontrolle implementieren wie z. B. die Verschlüsselung von Daten im gesamten Netzwerk.
Was soll mit der Datenschutz-Grundverordnung (DSGVO) reguliert werden? Welchen Einfluss hat das auf die industrielle IT?
Die Datenschutz-Grundverordnung der Europäischen Union tritt im Mai 2018 in Kraft. Es geht hier in erster Linie um den Schutz persönlicher Daten und vertraulicher Informationen und ihrer Verarbeitung. Typische Industrie- oder OT-Systeme aber verwenden keine persönlichen Daten. Will heißen, in Verarbeitungsanlagen werden Sie nur wenige bis gar keine solcher Informationen antreffen. Bei medizinischen Geräten allerdings wird eine Fülle an persönlichen und vertraulichen Daten verwendet. Aber wie kann ich solche Geräte vor Datenverletzungen schützen bzw. eine sichere Datenübertragung garantieren? Wir arbeiten vermehrt mit US-basierten Herstellern medizinischer Geräte zusammen, die Daten von der EU in die USA übertragen möchten. Eine solche Übertragung muss gemäß verschiedenen Richtlinien erfolgen, damit gewährleistet werden kann, dass die Informationen in den USA genauso effizient geschützt sind wie in Europa. Die DSGVO ist im gesamten EU-Raum gültig und ersetzt die Datenschutzrichtlinien der Mitgliedsländer. Da der Datenschutz heute über allem steht, sind Datenverletzungen oder die Nichterfüllung der DSGVO-Anforderungen mit empfindlichen Strafen bedroht. Und genau das ist all denjenigen ein Dorn im Auge, denen die Einhaltung der DSGVO nicht so wichtig zu sein scheint. Das soll nicht heißen, dass das keine große Bedeutung für die Welt der IT-Sicherheit hat.
Was ist mit den fundamentalen/technischen Sicherheitsanforderungen der IEC 6244342?
Die IEC 62443 bietet einen guten Sicherheitsstandard für die Betriebstechnologie und wir haben diese Norm dementsprechend auch als bevorzugten Standard für diesen Bereich übernommen. Er bietet allen Organisationen einen sehr guten Einstieg in die Bedeutung von Sicherheitsrisiken und mögliche Schutzmaßnahmen. Die Norm besitzt vier Sicherheitsstufen, die je nach den implementierten Kontrollen erreicht werden können. Diese reichen von Stufe 1 und der Implementierung grundlegender Sicherheitskontrollmaßnahmen bis zu Stufe 4 und der Gewährleistung eines rundum sicheren Systems. Wir verwenden die IEC 62443 für unsere Sicherheitsrisikobewertungen und Bewertungsstandards.
Weil es ständig mehr Geräte mit Internetverbindungen gibt und immer mehr Netzwerke gemeinsam verwendet werden, z. B. zwischen Unternehmens-IT und Betriebstechnologie, lässt sich die Cyber-Sicherheit nur mithilfe eines professionellen und strukturierten Ansatzes gewährleisten. Für Hersteller von medizinischen IoT-Geräten sowie Prozessanlagen-Manager und Systemintegratoren ist die Cyber Security für den Unternehmenserfolg und die Sicherheit ihrer Vermögenswerte unerlässlich. Die Implementierung internationaler Standards und die strikte Umsetzung von EU-Richtlinien sind wichtige Schritte hin zu einer verbesserten Cyber Security für die Funktionale Sicherheit sowie medizinische IoT-Geräte. Noch einmal vielen Dank an Nigel Stanley, dass er sich die Zeit für dieses Interview genommen hat.