Komplexe industrielle Produktionsanlagen sind aus Rentabilitätsgründen für lange Laufzeiten ausgelegt. Sie bestehen aus einem über Jahrzehnte gewachsenen Konglomerat integrierter Systeme, deren Betrieb auf unterschiedlichen Technologien basiert. Je mehr der Vernetzungsgrad einer Anlage steigt, umso dringender wird die Absicherung der einzelnen Komponenten, was bei ehemals in sich geschlossenen Produktionsanlagen eine große Herausforderung darstellt. 

Unterschiedliche Paradigmen in IT und OT 

Während es in der klassischen IT selbstverständlich ist, dass Absicherung mit Kosten verbunden ist, so ist in der OT (Operation Technology) die Akzeptanz von Investitionen anders und der Kostendruck stärker. Der Fokus liegt in der OT meist auf Optimierung und Steigerung von Gewinnen im Zusammenhang mit der Effizienz/Verfügbarkeit. Ein Hardwaretausch nach drei Jahren und automatisches Patchen, wie es in der klassischen IT gang und gäbe ist, ist in der Produktion aus wirtschaftlichen und praktischen Gründen undenkbar. 

Was man unter Brownfield versteht 

In Brownfield-Anlagen findet sich der klassische Altbestand an Systemen mit unterschiedlichen Betriebssystemen verschiedener Generationen, für die es keine Updates und Patches mehr gibt, wie z.B. DOS, Windows NT, Windows XP oder mittlerweile auch Windows 7. Es sind gewachsene Umgebungen, die auch bei sich wandelnden Rahmenbedingungen sicher und zuverlässig funktionieren müssen. 

Software-Lebenszyklus versus Anlagenlaufzeit 

Softwareprodukte werden üblicherweise über einen Zeitraum von ca. zehn Jahren von den Herstellern mit Updates versorgt. Updates stellen die Funktionalität der Software sicher, optimieren den Betrieb und eliminieren Schwachstellen, die die Verfügbarkeit gefährden können. Nach dieser Phase werden etwa drei Jahre lang nur mehr Security-Patches zur Verfügung gestellt, bevor der Support eines Software-Produktes ganz eingestellt wird. Während dieser Zeitspanne steht normalerweise die Migration auf ein neues Softwareprodukt des Herstellers an 

Die Lebenszyklen der Systeme in industriellen Produktionsanalgen übertreffen den Software-Updatezeitraum bei weitem. Sie werden für Laufzeiten von 20 oder 30 Jahren konzipiert, was bedeutet, dass sie in ihrer gesamten Betriebszeit mehrere Softwarelebensspannen durchlaufen.  

Greenfield 

Für die Absicherung von Produktionssystemen stellen dagegen Greenfield-Anlagen eine viel einfachere Ausgangslage dar. Hierbei handelt es sich um neue Anlagen, für die ein security by design Konzept während der Integration und auch für Anpassungen in den Folgejahren entsprechend geplant und vergleichsweise einfach umgesetzt werden kann. 

Wie es zu einem Brownfield-Zustand kommt 

Regelmäßige Updates der einzelnen Softwareversionen der integrierten Komponenten sind in der OT-Praxis oftmals nicht üblich oder möglich. Dafür gibt es naheliegende Gründe. 

Kosten-Nutzen Betrachtung 

Automatisches Patchen ist für die meisten Systeme auf Anwendungsebene nicht verfügbar oder im laufenden 7×24 Betrieb nicht realisierbar 

Wenn eine Komponente eine ausreichende Funktionalität auch mit veraltetem Softwarestand gewährleistet und nach dem Update keine Effizienzsteigerung erzielt, dann lohnt sich der Aufwand von Patchvorgängen nicht. Oft kann Hardware älteren Baujahrs nicht mit aktueller Software betrieben werden und ein Software-Update wäre mit einer teuren Anschaffung von neuer Hardware verbunden. 

In sich geschlossene Systeme sind sicher 

Für abgekündigte Betriebssystemversionen wie Windows 7 oder 10 ist die Kompatibilität für SAP-Anwendungen gegeben, das System kann weiterhin als geschlossene Einheit relativ sicher betrieben werden, solange es keine Kommunikation nach außen durch Surfen und eMail Funktionalität gibt. Eine unbedingte Notwendigkeit von Updates ist über lange Zeit nicht gegeben. 

Bedienpersonal geht in Rente – Anwendungen nicht 

Nicht selten sind Anwendungen mit Museumscharakter immer noch täglich im Einsatz, wie z.B. DOS 6 Applikationen, die einst z.B. im Rahmen einer Doktorarbeit für die individuellen Anforderungen im Unternehmen entwickelt wurden. So lange das System, auf dem die Anwendung läuft, nicht vernetzt wird, läuft die Anwendung zuverlässig und sicher. Um sicherheitsrelevante Änderungen wie Patches vorzunehmen, gibt es jedoch inzwischen kein kundiges Bedienpersonal mehr. Das System wird also eingefroren und nicht mehr angefasst. 

Aufwändige Validierungen und Zertifizierungen nach Veränderungen 

In der regulierten Industrie erfordert jede Änderung innerhalb einer abgenommenen Produktionsanlage einen neuen Validierungs- oder Zertifizierungsprozess. Vor allem wenn ein Update keine spürbaren Benefits mit sich bringt, wie eine Effizienzsteigerung oder einen größeren Funktionsumfang, dann werden solche Aufwände nicht in Angriff genommen. 

Aus Grün wird Braun – vorausschauende Planung lohnt! 

Grundsätzlich ist es eine logische Entwicklung von Greenfield zu Brownfield – die neuen Anlagen von heute werden früher oder später zu alten Bestandsanlagen.  

Planen Sie die Sicherheitsmaßnahmen für die IT-Infrastruktur Ihrer Anlage vorausschauend und nachhaltig, so dass wirksame Maßnahmen für den aktuellen Zustand Ihrer Greenfield-Anlage bestehen und die Anforderungen künftiger Phasen erfüllt werden können. Es ist fraglos günstiger, Securitymaßnahmen von Beginn an für die künftigen Jahre mit einzuplanen, als später in der Brownfield-Phase aufwändig nachholen zu müssen.  

Risiken für den Betrieb von Brownfield-Anlagen 

Für ein in sich geschlossenes eingefrorenes System (z.B. via Whitelisting-Lösung) sind die Risiken beim Betrieb von Maschinen mit veralteten Softwareständen meist überschaubar, dennoch sollten Sie auch solche Anlagen in ein umfassendes Sicherheitskonzept integrieren.  

Schwachstelle Mensch 

Mit der Schwachstelle Mensch muss trotz Awareness Schulungen immer gerechnet werden. Immer wieder werden USB-Sticks unerlaubt an produktive Systeme angesteckt oder infiltrierte Laptops von Technikern an die Produktionseinheiten angeschlossen, so dass Schadcode von außen in die Anlagen gelangen kann. Sicherheit durch AirGap, also durch die physikalische Trennung der Anlage vom Netz funktioniert nie zu 100%, so lange Menschen in die Bedienung von Maschinen eingebunden sind und an internetfähigen Tastaturen sitzen. 

Ach ja, ein Klassiker ist auch, sein Smartphone via USB direkt an einem HMI oder Programmiergerät zu laden. Nicht wirklich zu empfehlen! 

Kommunikation nach außen über veraltete Systeme 

Höchst riskant ist es, wenn Altsysteme mit völlig veralteten Browsern, die es in Produktionsumgebungen zuhauf gibt, via Internet kommunizieren. Das Einschleppen eines Virus ist damit beinahe garantiert. Browser wie z.B. Internet Explorer verfügen nicht über wirkungsvolle Schutzmechanismen für industrielle Kommunikation, weil sie dafür gar nicht entwickelt wurden.  

Im Falle einer geplanten oder bereits erfolgten Vernetzung von Brownfield-Anlagen ist Ihr Handlungsbedarf umso dringlicher. Um diese Systeme adäquat abzusichern, empfehlen wir vier praxistaugliche Vorgehensweisen, die Ihr Sicherheitsniveau deutlich verbessern und den fortlaufenden Betrieb Ihrer BrownfieldInfrastruktur gewährleisten. 

Virenscanner reichen nicht aus 

Während die gängigen Virenscanner in der klassischen IT durchaus Malware effektiv erkennen können, sind sie in tieferen Produktionsschichten meist ungeeignet, weil sie nicht für die spezifischen Applikationen in OT-Bereichen konzipiert sind 

Die Kritikalität von Infiltrierung ist im Produktionsnetz erhöht und eine nachgelagerte Problemlösung des Detection-Ansatzes kann fatale Folgen haben. Wir empfehlen daher einen Vorsorge-Ansatz, damit es erst gar nicht zu einer Infiltrierung der Anlage mit Schadcode kommen kann.  

Im Brownfield ist Vorsorge besser als Nachsorge!

Praxisnahe Lösungsansätze 

Eine individuelle Bestandsaufnahme und Gefährdungslage Ihrer Infrastruktur relativiert so manche Schreckensmeldung über Schadcode-Varianten, die industrielle Produktionsumgebungen gefährden. Eine Analyse bringt Ihnen Klarheit darüber wo die konkreten Schwachstellen in Ihrem OT Brownfield sind und an welcher Stelle tatsächlich ein unakzeptables Risiko für den Verlust der vollständigen Integrität ihrer Anlage besteht. Wo ist die Gefahr für einen Ausfall der gesamten Anlage am größten? Dort fangen Sie an! 

Ein Common Vulnerability Scoring System CVSS hilft Ihnen bei der Bewertung von Schwachstellen nach definierten Kriterien. Wie komplex sind vorhandene Schwachstellen? Wie sind sie ausnutzbar? Ist die Interaktion eines Benutzers oder Admins nötig, um die Schwachstelle zu einem Einfallstor für Schadcode zu machen? Führt die Ausnutzung der identifizierten Schwachstelle zur Bedrohung der funktionalen Sicherheit?  

Der sich aus dem Scoring System ergebende Index zeigt Ihnen an, wie dringend Sie Maßnahmen umsetzen müssen, um die einzelnen Schwachstellen zu korrigieren. Folgende Vorgehensweisen eignen sich für Brownfield-Anlagen, um mit überschaubarem zeitlichen und finanziellen Aufwand eine deutliche Verbesserung der Absicherung zu erreichen: 

Den Malware-freien Zustand auf einem System zu dokumentieren, festzulegen und in eine positive Liste einzutragen ist der Start für eine sichere, kostengünstige Lösung zur Erhöhung Ihres Sicherheitsniveaus. Anders als Virenscanner, die vergleichsweise langsam nach bereits eingedrungenem Schadcode suchen, verhindert Application Whitelisting überhaupt erst das Eindringen unerwünschter Daten oder Codes durch einen einfachen Abgleich mit dem, was auf dem System als bekannt und erwünscht dokumentiert ist. Ein Passwort schützt die Whitelist vor unerwünschten Zugriffen.  

Die Segmentierung von Bereichen und im Fall von kritischen Verfügbarkeitsanforderungen oder sensiblen Systemen eine Mikrosegmentierung verhindert das Verbreiten von eingedrungenem Schadcode auf die gesamte Produktionseinheit oder Anlage. Die Hersteller von Firewall-Systemen bieten in ihren Produkten Funktionalitäten, die Ihnen dabei helfen, Kommunikationsbeziehungen zwischen den einzelnen Systemen zu identifizieren, so dass Sie eine Auswahl von nötigen und erwünschten Kommunikationsbeziehungen zulassen und andere unterbinden können. 

State of the art Firewalls sind in der Lage virtuelle Patches zu erzeugen, die Ihre Produktionsinfrastrukturen vor Schadcode schützen. Auf dem Intrusion Detection System von Firewall Systemen werden Pattern eingespielt, die den Netzwerkverkehr beobachten und kritische Vorfälle erkennen. Im Falle einer Bedrohung wird ein Patch erzeugt, der das Betriebssystem entsprechend vor dem Schadcode schützt. 

Setzen Sie auf einen mehrschichtigen Ansatz, um Ihre Anlagen gegen eindringenden Schadcode abzusichern. 

Zentrale Firewall Systeme und Sicherheitsgateways kontrollieren den Zugang in Ihr Netzwerk und den dort stattfindenden Datenverkehr und führen Antivirusmaßnahmen durch. Weitere Schutzstufen bestehen aus der Segmentierung Ihres Produktionsnetzes und der Sicherheitsmaßnahmen auf den einzelnen Systemen, wie z.B. Whitelisting. Im Zusammenspiel dieser Schutzmaßnahmen sind ggf. nicht schützbare Altsysteme im Produktionsbetrieb einer relativ kleinen Gefahr ausgesetzt. 

„Kümmern Sie sich zuerst um das Schloss am Scheunentor und danach um die einzelnen Mäuselöcher“
Klaus Jochem, Unternehmensberater IT/OT-Sicherheit

Der Unternehmensberater für IT/OT-Sicherheit, Klaus Jochem spricht mit Max Weidele über die besonderen Rahmenbedingungen für die Absicherung von Brownfield-Anlagen:

Fazit

Investieren Sie Zeit in ein wirkungsvolles Riskmanagement und verschaffen Sie sich Klarheit über den Schutzbedarf und die Schwachstellen in Ihren ungepatchten Bestandsanlagen 

Auch bei der Absicherung von Brownfield-Anlagen lohnt es sich, mit Ihrer IT-Abteilung zu sprechen, um bereits vorhandene Möglichkeiten zur Absicherung, wie z.B. die Aktivierung von Tools in der vorhandenen Firewall-Lösung zu nutzen. Darüber hinaus sollten Sie die Verfügbarkeit Ihrer Anlage durch Maßnahmen sicherstellen, die in der Praxis gut umzusetzen sind und die einer Kosten-/Nutzen-Betrachtung für Ihre individuelle Situation standhalten. 

Investitionen für Securitymaßnahmen lassen sich gut mit einer Kosten-Nutzen-Rechnung verargumentieren. Ausgaben lohnen sich, wenn damit Aufwände für Datenverlust oder Downtimes vermieden werden.