Angriffspunkt Endpoint
In den BSI-Veröffentlichungen zur Cyber-Sicherheit gehören im Jahr 2019 zu den zehn häufigsten Bedrohungen und Gegenmaßnahmen von Industrial-Control-Systemen:
- • das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
- • Infektionen mit Schadsoftware über Internet und Intranet,
- • die Kompromittierung von Extranet und Cloudkomponenten und
- • der Einbruch über Wartungszugänge.
In allen vier Punkten nutzen Angreifer ihre externe Hard- und Software, um über unzureichend gesicherte Netzwerkzugänge, interne Systeme und Software Schaden zu stiften. Das Prinzip ‚Minimal need to know‘ gilt als wesentlicher Baustein einer Problemlösung. Demnach stehen einer Person nur die Informationen zur Verfügung, die unmittelbar ene konkreten Aufgabe erforderlich sind. Organisationsmängel, Social Engineering, menschliche Schwächen und unklare Definition der Aufgaben führen leicht zur Kompromittierung dieses Wissens. Deswegen ergänzt das Prinzip ‚Minimal to have‘ den IT-Schutz. Einer Person stehen dabei nur die Ressourcen und Systeme zur Verfügung, die unmittelbar für die Erfüllung einer konkreten Aufgabe notwendig sind. Eine Vielzahl von technischen Maßnahmen, wie verschlüsselte Übertragung von Daten per VPN, Firewall-Regelwerke, Zugriffsberechtigungen, Network Access Control, Härtung der Zielsysteme dienen der Umsetzung des Prinzips. Die Ausnutzung von Software-Schwachstellen, Denial of Service – Angriffe, Pishing, Brute Force Attacken und vor allem die unsichere Konfiguration von Systemen bieten jedoch auch hier zahlreiche Angriffsvektoren.
(Fast) alles verboten
‚Security by Default‘ fasst die beiden Minimal-Prinzipien dahingehend zusammen, dass per Default alles verboten ist, was nicht explizit erlaubt wurde. Konsequenterweise heißt das, dass zum Zeitpunkt der Erfüllung einer konkreten Aufgabe ausschließlich die dafür notwendigen Hardware-, Software- und Netzwerk-Ressourcen einem berechtigten Anwender zur Verfügung stehen dürfen. Rechner und Software bei Externen, die z.B. per Fernwartung auf eine Anlage zugreifen, sind vom Anlageneigner allerdings kaum zu kontrollieren. Die Installation von Endpoint-Security-Software auf fremden Rechnern wird fast nie erlaubt. Die digitale Hoheit des Anlagen-Eigners endet zumeist vor den Fernwartungsrechnern seiner externen Dienstleister.
Endpoint Security integriert
Aus den jahrelangen Erfahrungen der Integration eigener Software-Lösungen in Industrieumgebungen entstand bei der Zedas GmbH eine Lösung für Anlagen, die erprobte Sicherheitsverfahren mit gestaffelter Tiefe kombiniert. Die Standardlösung ermöglicht es , den Zugriff aller externen Service-Dienstleister zu verwalten. Die Anwendung namens ZedasSecure kann das Prinzip ‚Security by Default‘ durchgängig sicherstellen, auch auf den Endpoints, die von Externen für den Zugriff auf Produktionsanlagen benutzt werden. Endgeräte, denen Zugriff auf Produktionsanlagen gewährt wird, sind im System als virtuelle Fernwartungsrechner geführt, die vom Anlagenbetreiber kontolliert werden. Für jeden Dienstleister werden sie in dessen zugeordneter Demilitarisierter Zone (DMZ) aufgesetzt. Ihre Desktop-Oberfläche wird ausschließlich über Remote Desktop Protokoll und verschlüsseltes HTML5-VPN bereitgestellt. Dafür benötigt der Dienstleister einen HTML5-fähigen Browser. Die Installation eines VPN-Clients ist nicht erforderlich.
