Das ICS-(Industrial Control Systems-)Security-Kompendium des BSI wird durch eine Version 2.0 abgelöst und Ende April 2024 zum Download bereitgestellt. Gleicher Titel, aber formal wird der Sprung auf eine neue Vollversion vollzogen – wie weit geht die Überarbeitung?
Mehr als nur eine Überarbeitung des alten ICS-Geltungsbereichs
Das BSI veröffentlicht die Version 2.0.0 unter dem alten Titel und spricht in der Bekanntmachung nur von einer erfolgten Überarbeitung (siehe https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Aktualisierung_ICS-Kompendium_240423.html ). Bei genauem Hinsehen ist das tiefgestapelt.
Bereits ein Blick auf das Inhaltsverzeichnis verrät: Der in der ersten Fassung klare Fokus auf industrielle Steuerungssysteme (ICS) wurde ausgeweitet.
Seit Erscheinen der ersten Fassung in 2013 ist der Einsatz von Automatisierung nicht auf den industriellen Sektor mit Fabrikautomation oder Prozesssteuerung beschränkt geblieben. Die in der Einleitung zur neuen Version genannten Stichworte wie Gebäudeautomation, Verkehrsleitsysteme sowie Energieerzeugung und -verteilung sind korrekterweise nur als Beispiele aufgeführt. Weitere Begriffe wie IoT oder Smart Technologies führen als nicht weiter detaillierte Suchbegriffe in Suchmaschinen zu einer Vielzahl an Treffern, die ein breites Einsatzspektrum abdecken.
Auf diese Entwicklung reagiert das ICS-Security-Kompendium 2.0.0 mit der Verallgemeinerung auf „Operational Technology“ (OT). Damit soll im Wesentlichen von klassischer IT mit Büro-IT und Rechenzentren abgegrenzt werden. Auch wenn der Übergang auf die Abkürzung OT im Dokument nicht konsequent durchgehalten wird, soll es offenbar auf dieses erweiterte Verständnis anwendbar sein.
Rahmenbedingung: OT und speziell ICS nicht mehr typisch als Insellösungen
Bereits bei Konzentration auf den ursprünglichen Fokus Industrielle Steuerung / Produktion erkennt man bei der Durchsicht der Kompendiums-Version 2.0.0: Ein Inseldasein mit Abschottung von sonstiger (vernetzter) IT als typische Rahmenbedingung wird als Eigenschaft älterer Anlagen eingeordnet. Der Ansatz einer physikalischen Trennung der ICS-Anlagen von anderen Netzen ist nicht mehr in allen Fällen gegen Angreifer einsetzbar und wirksam. Der Datenaustausch der Anlage mit anderen, in der klassischen IT-Umgebung zu findenden Systemen und Datenbeständen wird im Dokument als mindestens gewünscht, teils sogar notwendig eingeordnet.
Das lässt sich aus der ComConsult-Beratungspraxis bestätigen. Es muss eine sehr hohe Einstufung der möglichen Risiken vorliegen, um maximale Abschottung als Sicherheitsmaßnahme noch vertreten und durchsetzen zu können.
Eine digitale Insel, die sich von allem anderen konsequent fernhält und komplett in Eigenregie selbst versorgt, ist wenig zeitgemäß und schwer zu erklären:
- Die Zeiten, in denen man als selbstverständlichen „state of the art“ die Eingabedaten aus der Produktionsvorbereitung per Datenträger manuell in einen zentralen Steuerungsrechner zur ICS-Anlage einspielte, sind vorbei.
Daran ändern auch die robusteren, eleganter handhabbaren und mit großer Speicherkapazität versehenen USB-Datenträger nichts. Automatisierung und ein solcher, manueller Bruch im Informationsfluss passen schwer zusammen. Mit dem Anspruch, zeitnah Rückmeldungen bzgl. erzielter Produktionsergebnisse an zentrale Verwaltungssysteme zu liefern, fallen die Schranken in Planer-Köpfen und Architekturen endgültig. Außerdem: - Der Betrieb von Insellösungen ist unkomfortabel, bietet jedoch keinen vollständigen Schutz vor den typischen Angriffsformen, die in der klassischen IT bekannt sind.
Schadcode kommt in ICS-Inseln zwar nicht direkt „über’s Netz“ auf betroffene Systeme. Der Eindringling findet jedoch seinen Weg z.B. über Wartungs-Notebooks oder direkt bei der Installation von Firm- und Software vor Auslieferung und Inbetriebnahme. Ist eine Anlage erst „verseucht“, erfordert das „local only“-Supportprinzip zur Behebung wiederum den Einsatz von kundigem Technikerpersonal vor Ort.
Ein konsequenter Inselansatz verbietet jeglichen Support via Fremdnetz. Ein Zoo von gut abgesicherten Fernwartungsanbindungen zu verschiedenen Lieferanten und Support-Dienstleistern ist ebenfalls wenig attraktiv. Folgerichtig ist als Tendenz eher zu beobachten: - Produktionsbereiche drängen zunehmend darauf, in die für klassische IT etablierte Betriebsautomatismen und -Lösungen integriert zu werden.
Dies gilt für den Einsatz von Techniken wie Virtualisierung auf derselben physischen Basis. Es gilt für zentrale Management-Lösungen mit Software-Verteilung und Monitoring. Es gilt auch für Sicherheitsthemen wie Antivirus, zentralisierte Verwaltung sicherheitsrelevanter Konfigurationsdetails und SIEM-Intelligenz. Hierfür ist es wirtschaftlich wenig attraktiv, Kopien der bereits für die klassische IT vorhandenen Lösungen separat für ICS-Umgebungen zu realisieren. Je mehr die in klassischen IT-Umgebungen eingesetzten Betriebssysteme in ICS-Lösungen zum Einsatz kommen, umso weniger lässt sich eine solche Dopplung mit technischen Argumenten oder Bindung an Herstellersupport-Auflagen für proprietäre Lösungen begründen.
Bei OT-Lösungen, die von vornherein mit „IoT“-artigen Technologieansätzen arbeiten, ist ein Architekturdenken à la „eine Insel pro Anlage“ noch weniger angebracht. Neuere Entwicklungen wie Mesh-Netze mit der Möglichkeit der vernetzten Kombination der OT-Produkte verschiedener Hersteller (siehe z.B. Zigbee IP, Matter, usw.) verstärken dies.
Version 2.0.0 des ICS-Kompendiums reagiert sinnvoll auf diese Entwicklungen der letzten zehn Jahre seit Erscheinen der Erstausgabe.
- Aktuelle Konstellationen wie die gerade aus der Praxis erläuterten werden berücksichtigt, inklusive der damit verbundenen „IT-/ OT-Konvergenz“.
- Entsprechend der Motivation, mit dem Kompendium das notwendige Security-Verständnis zu vermitteln, wird folgerichtig auf damit verbundene Sicherheitsrisiken und notwendige Maßnahmen eingegangen.
Denkt man IT-/ OT-Konvergenz unter diesem Blickwinkel konsequent weiter, wird das per ICS-Security-Kompendium jetzt vermittelte Grundverständnis in beide Richtungen wichtig. Blickwinkel aus Sicht der Sicherheit klassischer IT-Lösungen: Wen lasse ich da per Netzwerkübergang aus dem OT-Bereich in meine Umgebung? Wie abgesichert sind solche Netzteilnehmer gegen Missbrauch als Ausgangspunkt von Cyber-Sicherheitsangriffen? Blickwinkel aus Sicht des Schutzes der OT-Lösungen: Inwieweit erhöht sich das Sicherheitsrisiko im Sinne möglicher Angriffe, die aus der klassischen IT-Umgebung bzw. bei entsprechender Öffnung für externe Kommunikationsbeziehungen aus dem Internet kommen?
Sicherheit in ICS/OT-Lieferketten – Ausweitung von Blickwinkel und Adressatenkreis
Bereits oben wurde infrage gestellt, ob mit dem Ansatz der Vor-Ort-Wartung allein auf den akuten Bedarf bezüglich Änderungen an OT-Lösungen oder der Störungsbehebung zeitgemäß reagiert werden kann. Die Praxis aktueller Angebote von Herstellern und Integratoren, Managed-Service-Dienstleistern usw. spricht da ein deutliches „Nein“ aus.
Angebote inklusive Fernwartung und anteiligem Remote-Service sind da, ebenso Möglichkeiten zur angemessenen Absicherung entsprechender Zugänge, Kommunikation und Zugriffe. Gerade neuere OT-Produktlösungen werden tendenziell häufig mindestens mit einer aaS-Option für Management, Monitoring usw. angeboten. Angebote an Monitoring und Management als Cloud-Lösung für verschiedene Produkte und Hersteller sind ebenso zu beobachten. Dazu werden On-Premises-Ableger oft zumindest als „nicht empfohlen“ betrachtet, wenn überhaupt angeboten. Typische Begründung: „Dann greift nicht die volle, auf Community-Erfahrung und/oder KI-Elementen basierende Intelligenz der Werkzeug-Lösung.“
Will man sich bei der Architektur seiner OT-Ausstattung solchen Angeboten nicht von vornherein verschließen, muss man endgültig weg davon, sich auf die Absicherung von Lösungen in der eigenen Umgebung zu konzentrieren. Auch wenn in der Überschrift „ICS-Lieferkette“ noch die Verallgemeinerung auf OT „vergessen“ wurde, wird in Version 2.0.0 des Kompendiums richtigerweise diese Lieferkette mit ihren verschiedenen Akteuren stärker in den Fokus gerückt. Konsequenterweise erhebt das Dokument mit seinen überarbeiteten Inhalten zudem den Anspruch, sich nicht mehr nur an (Do-it-yourself-)Betreiber / Käufer von OT-Anlagen zu richten.
Als Adressatenkreis wird explizit die Gesamtheit aus den Rollen Hersteller, Integrator und Betreiber benannt. Es bleibt nicht bei einer solchen einleitenden Ansage, wer das Dokument zur Hilfe nehmen kann und sollte. An verschiedenen Stellen enthält das Dokument gezielt differenzierte Hinweise für die unterschiedenen Rollen:
- Differenzierte „Literaturhinweise“ für Hersteller, Integratoren, Betreiber (H, I, B)
Dies betrifft insbesondere Angaben zu den in einem Hauptkapitel aufgeführten und eingeordneten relevanten Standards: Beispielsweise wird bei der Erläuterung zur Normenreihe IEC 62443 per Tabelle eine Zuordnung gegeben, welche Teilnormen mit ihren jeweiligen Themen sich an welche der Rollen H, I, B richten.
- Handlungshinweise/ Aufgabenzuordnung differenziert nach H, I, B
Hier ist die entsprechende Gestaltung der Kapitel 5 Funktionale Sicherheit und 6 Good Practices zum Schutz der OT hervorzuheben.
Fazit
Für eine auf Nutzungserfahrung basierende Bewertung, wie nützlich die neue Version 2.0.0 des ICS-Security-Kompendiums in der Praxis für wen sein kann, ist es natürlich noch zu früh. Erster Eindruck aber: Die Überarbeitung geht erfreulich mit der Zeit. Sichtweisen und differenzierter Adressatenkreis helfen dabei deutlich mehr, als dies mit der abgelösten Fassung, basierend auf dem damaligen Stand der Technik, möglich war.