Wie sicher ist Ihr Industrie-Router vor einem Hacker-Angriff?

Inhaltsverzeichnis

    Okay zugegeben, dieser Beitrag ist eher technischer Natur. Dafür bietet er einen guten Einblick in den Status quo der Qualität der Produkte, die heute am Markt erhältlich sind. Für Entscheider aus der Produktions-IT und Fachleute aus dem Automationsumfeld lohnt es sich also trotzdem dranzubleiben. Anhand dieses Beispiels des Industrie-Router-Hackings ist nämlich relativ kompakt zu sehen, dass man sich nicht blind auf Hersteller verlassen sollte. Wie pflegte Ronald Reagan zu sagen? „Trust, but verify“.

    Zum eigentlichen Thema: In einem Vortrag auf einem 34c3, dem 34ten Chaos Communication Congress, führte Thomas Roth eindrucksvoll vor, wie es um die Sicherheit so mancher Industrie-Router bestellt ist. Industrie-Router finden Anwendung in nahezu jedem Automationsnetz. Sie stellen die Verbindungsglieder im Automationsnetz dar und spielen eine wichtige Rolle bei der funktionalen Aufrechterhaltung und Absicherung dieser Netze.

    Industrie-Router-Hacking im Video

    Im ca. 45 minütigen Video wird aufgezeigt, wie anfällig auf dem Markt erhältliche Modelle verschiedener Hersteller gegen teils simple Attacken sind. Dabei ist nicht unbedingt jedes technische Detail von Bedeutung. Viel eher geht es um die Einfachheit der Angriffe und die gegen Ende aufgeführten Reaktionen der Hersteller auf die Hinweise zu den Schwachstellen.

    YouTube

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
    Mehr erfahren

    Video laden

    Unsere Empfehlung

    Augen auf beim Einkauf

    Sie sollten beim Einkauf der Geräte auf mehr achten, als nur auf reine Funktionalität. Es gibt diverse Zertifizierungen, die für einen sicheren Entwicklungsprozess hinter dem Gerät stehen. Hier ist der vor allem der vierte Abschnitt der IEC 62443 hervorzuheben, sowie die teils speziell auf den Deutschen Markt fokussierten Siegel der TeleTrust und Empfehlungen des BSI. Auch die verschiedenen TüV-Organisationen stellen Herstellern Zertifikate über deren Produktsicherheit aus.

    Mit hoher Wahrscheinlichkeit sind die Kosten dieser Geräte etwas höher, als das schnell entwickelte Modell aus gerade aufstrebenden Industrienationen, aber Qualität hat nunmal ihren Preis. Diese Mehrkosten für Sicherheit lassen sich allerdings durchaus als Investition in die langfristige Stabilität Ihrer Automation und somit als Steigerung der Verfügbarkeit betrachten.

    Einsatz vielschichtiger Schutzmaßnahmen nach Defense in Depth

    Wenn wir ehrlich sind, haben Sie im Moment teils keine andere Wahl, als Geräte zu betreiben, die seit Jahren keine Updates mehr bekommen oder keine ausreichenden Sicherheitsfunktionen bieten. Doch zum Glück existiert auch hier Abhilfe. Durch den versierten Einsatz vieler unterschiedlicher Maßnahmen nach dem Defense-in-Depth-Ansatz lässt sich der Wirkungsradius von Störfällen und Hackerangriffen massiv einschränken. Damit schaffen Sie es auch, Ihre historisch gewachsene Infrastruktur und deren Altlasten zu schützen. Lesen Sie dazu mehr in unserem Beitrag „IEC 62443 – Diese Grundlagen sollten Sie als Betreiber einer Automatisierungslösung kennen„.

    Fazit

    Nach aktueller Gesetzeslage (IT-Sicherheitsgesetz) werden Betreiber durchaus in die Verantwortung genommen, wenn es um die Sicherheit ihrer Anlagen geht. Doch als Betreiber sind Sie zu einem gewissen Teil abhängig von der Sicherheit und Qualität der eingesetzten Geräte. Belassen Sie es nicht dabei! Machen Sie sich die Marktmacht des Kunden zunutze und formulieren Sie Ihr Bedürfnis nach sicheren Geräten gegenüber den Herstellern.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung