Okay zugegeben, dieser Beitrag ist eher technischer Natur. Dafür bietet er einen guten Einblick in den Status quo der Qualität der Produkte, die heute am Markt erhältlich sind. Für Entscheider aus der Produktions-IT und Fachleute aus dem Automatisierungsumfeld lohnt es sich also trotzden dranzubleiben. Anhand dieses Beispiels des Industrie Router-Hackings ist nämlich relativ kompakt zu sehen, dass man sich nicht blind auf Hersteller verlassen sollte. Wie pflegte Ronald Reagan zu sagen? „Trust, but verify“.

Zum eigentlichen Thema: In einem Vortrag auf dem letztjährigen 34c3, dem 34ten Chaos Communication Congress, führte Thomas Roth eindrucksvoll vor, wie es um die Sicherheit so mancher Industrie Router bestellt ist. Industrie Router finden Anwendung in nahezu jedem Automatisierungsnetz. Sie stellen die Verbindungsglieder im Automatisierungsnetz dar und spielen eine wichtige Rolle bei der funktionalen Aufrechterhaltung und Absicherung dieser Netze.

Industrie Router-Hacking im Video

Im ca. 45 minütigen Video wird aufgezeigt, wie anfällig aktuell auf dem Markt erhältliche Modelle verschiedener Hersteller gegen teils simple Attacken sind. Dabei ist nicht unbedingt jedes technische Detail von Bedeutung. Viel eher geht es um die Einfachheit der Angriffe und die gegen Ende aufgeführten Reaktionen der Hersteller auf die Hinweise zu den Schwachstellen.

Kleiner Tipp: Über das Zahnrad lässt sich die Wiedergabegeschwindigkeit bei Bedarf verändern.

Hier gehts zum Video auf YouTube:

 

 

Unsere Empfehlung

Augen auf beim Einkauf

Sie sollten beim Einkauf der Geräte auf mehr achten, als lediglich die reine Funktionalität. Es gibt diverse Zertifizierungen, die für einen sicheren Entwicklungsprozess hinter dem Gerät stehen. Hier ist der vor allem der vierte Abschnitt der IEC 62443 hervorzuheben, sowie die teils speziell auf den Deutschen Markt fokussierten Siegel der TeleTrust und Empfehlungen des BSI. Auch die verschiedenen TüV Organisationen stellen Herstellern Zertifikate über deren Produktsicherheit aus.

Mit hoher Wahrscheinlichkeit sind die Kosten dieser Geräte etwas höher, als das schnell entwickelte Modell aus gerade aufstrebenden Industrienationen, aber Qualität hat nunmal ihren Preis. Diese Mehrkosten für Sicherheit lassen sich allerdings durchaus als Investition in die langfristige Stabilität Ihrer Automatisierung und somit als Steigerung der Verfügbarkeit betrachten.

Einsatz vielschichtiger Schutzmaßnahmen nach „Defense in depth“

Wenn wir ehrlich sind, haben Sie im Moment teils keine andere Wahl, als Geräte zu betreiben, die seit Jahren keine Updates mehr bekommen oder keine ausreichenden Sicherheitsfunktionen bieten. Doch zum Glück existiert auch hier Abhilfe. Durch den versierten Einsatz vieler unterschiedlicher Maßnahmen nach dem „Defense in depth“-Ansatz lässt sich der Wirkungsradius von Störfällen und Hacker-Angriffen massiv einschränken. Damit schaffen Sie es auch, Ihre historisch gewachsene Infrastruktur und deren Altlasten zu schützen. Lesen Sie dazu mehr in unserem Beitrag „IEC 62443 – Diese Grundlagen sollten Sie als Betreiber einer Automatisierungslösung kennen„.

Fazit

Nach aktueller Gesetzeslage (IT-Sicherheitsgesetz) werden Betreiber durchaus in die Verantwortung für die Sicherheit ihrer Anlagen gezogen. Doch als Betreiber sind Sie zu einem gewissen Teil abhängig von der Sicherheit und Qualität der eingesetzten Geräte. Belassen Sie es nicht dabei! Machen Sie sich die Marktmacht des Kunden zunutze und formulieren Sie Ihr Bedürfnis nach sicheren Geräten gegenüber den Herstellern.

Was halten Sie davon? Wir freuen uns über Ihr Kommentar zur Gesetzeslage, sicherer Geräteentwicklung und Feedback zum Beitrag selbst.

Praxistipp: Diskutieren Sie mit Ihren Kollegen, auf welche Sicherheitsaspekte im Beschaffungsprozess geachtet werden sollte. Regen Sie auch an, einen Penetrationstest in Ihrem Unternehmen durchzuführen, um Schwachstellen zu entdecken.