Okay zugegeben, dieser Beitrag ist eher technischer Natur. Dafür bietet er einen guten Einblick in den Status quo der Qualität der Produkte, die heute am Markt erhältlich sind. Für Entscheider aus der Produktions-IT und Fachleute aus dem Automationsumfeld lohnt es sich also trotzdem dranzubleiben. Anhand dieses Beispiels des Industrie-Router-Hackings ist nämlich relativ kompakt zu sehen, dass man sich nicht blind auf Hersteller verlassen sollte. Wie pflegte Ronald Reagan zu sagen? „Trust, but verify“.
Zum eigentlichen Thema: In einem Vortrag auf einem 34c3, dem 34ten Chaos Communication Congress, führte Thomas Roth eindrucksvoll vor, wie es um die Sicherheit so mancher Industrie-Router bestellt ist. Industrie-Router finden Anwendung in nahezu jedem Automationsnetz. Sie stellen die Verbindungsglieder im Automationsnetz dar und spielen eine wichtige Rolle bei der funktionalen Aufrechterhaltung und Absicherung dieser Netze.
Industrie-Router-Hacking im Video
Im ca. 45 minütigen Video wird aufgezeigt, wie anfällig auf dem Markt erhältliche Modelle verschiedener Hersteller gegen teils simple Attacken sind. Dabei ist nicht unbedingt jedes technische Detail von Bedeutung. Viel eher geht es um die Einfachheit der Angriffe und die gegen Ende aufgeführten Reaktionen der Hersteller auf die Hinweise zu den Schwachstellen.
Unsere Empfehlung
Augen auf beim Einkauf
Sie sollten beim Einkauf der Geräte auf mehr achten, als nur auf reine Funktionalität. Es gibt diverse Zertifizierungen, die für einen sicheren Entwicklungsprozess hinter dem Gerät stehen. Hier ist der vor allem der vierte Abschnitt der IEC 62443 hervorzuheben, sowie die teils speziell auf den Deutschen Markt fokussierten Siegel der TeleTrust und Empfehlungen des BSI. Auch die verschiedenen TüV-Organisationen stellen Herstellern Zertifikate über deren Produktsicherheit aus.
Mit hoher Wahrscheinlichkeit sind die Kosten dieser Geräte etwas höher, als das schnell entwickelte Modell aus gerade aufstrebenden Industrienationen, aber Qualität hat nunmal ihren Preis. Diese Mehrkosten für Sicherheit lassen sich allerdings durchaus als Investition in die langfristige Stabilität Ihrer Automation und somit als Steigerung der Verfügbarkeit betrachten.
Einsatz vielschichtiger Schutzmaßnahmen nach Defense in Depth
Wenn wir ehrlich sind, haben Sie im Moment teils keine andere Wahl, als Geräte zu betreiben, die seit Jahren keine Updates mehr bekommen oder keine ausreichenden Sicherheitsfunktionen bieten. Doch zum Glück existiert auch hier Abhilfe. Durch den versierten Einsatz vieler unterschiedlicher Maßnahmen nach dem Defense-in-Depth-Ansatz lässt sich der Wirkungsradius von Störfällen und Hackerangriffen massiv einschränken. Damit schaffen Sie es auch, Ihre historisch gewachsene Infrastruktur und deren Altlasten zu schützen. Lesen Sie dazu mehr in unserem Beitrag „IEC 62443 – Diese Grundlagen sollten Sie als Betreiber einer Automatisierungslösung kennen„.
Fazit
Nach aktueller Gesetzeslage (IT-Sicherheitsgesetz) werden Betreiber durchaus in die Verantwortung genommen, wenn es um die Sicherheit ihrer Anlagen geht. Doch als Betreiber sind Sie zu einem gewissen Teil abhängig von der Sicherheit und Qualität der eingesetzten Geräte. Belassen Sie es nicht dabei! Machen Sie sich die Marktmacht des Kunden zunutze und formulieren Sie Ihr Bedürfnis nach sicheren Geräten gegenüber den Herstellern.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!