Wer überwachungsbedürftigen Anlagen wie Aufzüge, Druck- oder Ex-Anlagen betreibt, muss diese zukünftig auch im Hinblick auf Cyberangriffe aktiv schützen und geeignete Maßnahmen ergreifen. Bei Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen. Darauf weisen die Experten der Dekra gerade hin.
Anzeige
Die Betriebssicherheitsverordnung (BetrSichV) regelt in Deutschland die Bereitstellung von Arbeitsmitteln durch den Arbeitgeber, die Benutzung von Arbeitsmitteln durch die Beschäftigten bei der Arbeit sowie die Errichtung und den Betrieb von überwachungsbedürftigen Anlagen im Sinne des Arbeitsschutzes. In Gefährdungsbeurteilung und Schutzmaßnahmen – § 3 Gefährdungsbeurteilung ist festgelegt, dass der Arbeitgeber vor der Verwendung von Arbeitsmitteln die auftretenden Gefährdungen zu beurteilen (Gefährdungsbeurteilung) und daraus notwendige und geeignete Schutzmaßnahmen abzuleiten hat.
Bisher war das zum Beispiel auf mechanische und elektrische Sicherheit fokussiert. Im Gesetzt heißt es beispielsweise: Das Vorhandensein einer CE-Kennzeichnung am Arbeitsmittel entbindet nicht von der Pflicht zur Durchführung einer Gefährdungsbeurteilung. Nun kommt eine Überprüfung im Hinblick auf die Cybersicherheit zwingend hinzu.
Denn durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen und damit anfällig für Cyberangriffe werden. Bei Aufzügen könnten Manipulationen diese anhalten oder die Geschwindigkeiten verändern. Wer solche Anlagen betreibt, muss im Rahmen der aktuellen Betriebssicherheitsverordnung verpflichtend eine Gefährdungsbeurteilung potenzielle Cyberbedrohungen durchführen. Ich bin über nachfolgenden Tweet von Dennis Kipker (Rechtswissenschaftler und Professor für IT-Sicherheitsrecht) auf den Sachverhalt aufmerksam geworden.
Anzeige
Der Tweet verlinkt auf den Beitrag Cybersicherheit ist für Anlagen jetzt Pflicht auf industrie.de. Die Experten der Zugelassenen Überwachungsstellen (ZÜS) bei Dekra erinnern in diesem Beitrag an die aktualisierten Vorschriften der Betriebssicherheitsverordnung. Dort heißt es, dass Betreiber solcher Anlagen, basierend auf seiner Gefährdungsbeurteilung, Maßnahmen zum Schutz gegen potenzielle Cyberattacken oder Software-Defizite ergreifen muss, die Personen gefährden können.
Im Rahmen der Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) bzw. deren Prüfer dies künftig berücksichtigen. Dies gilt bei allen Arten von Prüfungen (vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung) bei allen überwachungsbedürftigen Anlagen. Die ZÜS-Sachverständigen prüfen dabei wohl aber nur, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyberbedrohungen ermittelt und bewertet hat. Fehlt die Gefährdungsbeurteilung des Betreibers, liegt ein Mangel vor.
Interessant ist der Hinweis, dass bei Aufzügen, Druck- und Ex-Anlagen mittlerweile auch zu prüfen sei, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt. Der Prüfsachverständige muss nun bei jeder Prüfung die aktuellen Softwarestände festhalten. Der Betreiber der betreffenden Anlage ist dafür verantwortlich, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden. Das dürfte in einigen Bereichen der Industrie bzw. bei Sicherheitsverantwortlichen noch einiges an Hausaufgaben bedeuten. Spannend wird dann möglicherweise auch, wenn in solchen Anlagen auf "Software as a service" basierende Systeme zur Überwachung und übergeordneten Steuerung angewiesen oder mit so etwas vernetzt sind.
Anzeige
Diese Rotze hab ich schon im November in einem Formular der DEKRA gesehen.
Bei einer alten Absauganlage aus dem Jahr 1995 für Treibstoffe aus Schrottfahrzeugen wollten die eine Bestätigung, dass die Anlage nicht mit der IT verbunden ist.
Die Cybersecurity in die Prüfung aufzunehmen macht durchaus Sinn, da viele Unternehmen nicht mal über Netzwerksegmentierung oder eine sauber parametrierte Firewall verfügen.
In unserem Fall ist dies jedoch absoluter Schwachsinn, da die Anlage selbst nach einer Modernisierung nur über ein SIMATIC Bedienpanel verfügt und ein geschlossenes System in sich ist. Hier hätte ich mir vom Gesetzgeber noch den Punkt gewünscht, dass die Anlage nicht ziel von Cyberattacken werden kann, weil sie schlichtweg nicht ins Netz integriert werden kann.
Kläre mich auf: Wenn ich als Sicherheitsverantwortlicher eine kurze Analyse erstelle und da rein schreibe "die Anlage enthält ein Simatic-Bedien-Panel, ist nicht mit IT-technischen Anlagen verbunden und wird gegen unbefugte Bedienung durch xxx geschützt – Cyberrisiken existieren gemäß der Analyse keine", sollte das doch ausreichen.
tut es nennt sich Gefährdungsanalyse und wird auch bei allen anderen Gefahren so gehandhabt! Kann ich das schlüssig darlegen ist das somit erledigt!
So "schlimm" das jetzt auch alles klingt und das es auch viel Aufwand generiert, aber "endlich" denken die Leute mal ernsthaft darüber nach, nicht jeder Steuerung mit dem "nackten Hintern" ins Internet zu stellen damit der "Fancy-Groupie-Manager" auf seinem neuen Smartphone irgendwelche Werte ablesen kann.
Auch der Update-Zwang ist super, so wird wenigstens sichergestellt, dass die Geräte auch mal Sicherheitsrelevante Updates mitbekommen und nicht mit einem "Sicherheitsrouter" ausgestattet ist der nur noch SSLv3 kann und TLS noch nicht einmal gehört hat :).
Nö, das die Geräte sicherheitsrelevante Updates bekommen, ist damit keineswegs gesagt.
Wenn der Hersteller der Anlage schlicht keine Sicherheitsupdates veröffentlicht, dann gibt es auch keine.
Und das es keine Sicherheitsupdates gibt, ist eher die Regel als die Ausnahme.
Steuerungen von Industrieanlagen bekommen i.d.R. sehr selten bis nie Updates.
Das ist leider die Realität und da besteht sehr dringend Nachholbedarf.
Solche Anlagen kann man nur schützen, indem man die in einem physisch isolierten Netz oder isoliert betreibt.
Ich meinte damit auch nicht die Steuerung selbst, dass die meistens keine Updates erhalten ist schon "normal", warum auch? Wenn die Geräte von extern erreichbar sein sollen, dann gefälligst über einen vorgeschalteten Router, am besten ausschließlich via VPN zu erreichen und nicht über irgendeine Fancy-SchwachsinnsApp vom Smartphone direkt auf die SPS.
Wir machen das bei uns auch, VPN + Zertifikat + MFA – ansonsten kommt man nicht auf die Anlage und das auch nur über einen Jumphost, direkte 1zu1 Verbindungen zu unseren Anlagen sind nicht möglich (auch für den Kunden nicht), was auch so gewollt ist.
Es gibt aber manche (IT)-Helden, die machen ein Port-Forwarding direkt auf eine SPS, was schon sehr sehr sehr dumm ist, alleine dafür sollte man die Person 100% in die Haftung nehmen die das einrichtet – den Blödsinn kann vielleicht für sein SmartHome machen, aber nicht für Industrieanlagen / -steuerungen.
Naja, auch Steuerungen etc. sollten schon regelmäßig Sicherheitsupdates bekommen, denn sehr viele gefundene Sicherheitslücken lassen sich nur aus dem internen Netz ausnutzen und damit das kein Scriptkiddie kann, das mal als Praktikant in der Firma tätig ist, sollten die Updates installiert werden.
Da besteht bei den Steuerungsherstellern leider sehr sehr großer Nachhohlbedarf. Und die meisten Steuerungen setzen ja auf Windows Embedded/Windows IoT auf und dafür gibts monatlich Patches.
Bei dem Preis, was das Zeugs kostet, kann man das erwarten.
Stimmt leider auch, weil Netz-Segmentierung ist auch nicht jedermans Sache, so dass man Steuerungen sauber vom restlichen Netz trennt. Angriffen von "innen" sehen manche wohl so unwahrscheinlich, dass es denen egal ist.
Unsere gesamte Fertigungstechnik ist in eigene Netze untergebracht, alles mit internen, dedizierten, Firewallsystem abgesichert, da _kotzen_ zwar ab und an die Entwickler, aber das ist mir egal, ich lasse kein Windows XP oder NT Rechner auf das interne Netz los oder erreichbar im internen Netz stehen. Bei machen Steuerungen wäre ein Update gar nicht möglich, weil es schlichtweg die Firma gar nicht mehr gibt :-).
War es nicht bei MAERSK eine ungesicherte / alte SPS die übernommen und dann das Netz kompromitiert hatte? Oder was das bei einem anderen "Großen"? In Krankenhäusern sind ja es sehr oft die Steuerungen der medizinischen Geräte die auch selten bis garkeine Updates erhalten.
"War es nicht bei MAERSK eine ungesicherte / alte SPS die übernommen und dann das Netz kompromitiert hatte?"
Da verwechselt Du was. Die Maersk-Story ist absolut lesenswert, weil sie im Nachgang sehr umfangreich und auch offen aufbereitet wurde, aber da war es etwas anderes die Ursache.
In Odessa mußte aufgrund nationaler Gesetze eine Software namens M.E.Doc zur Meldung steuerlicher Zahlen installiert werden (ähnlich unserem Elster) und es gab etwas, was wir heute "Lieferkettenangriff" nennen würden (der Update-Server war verseucht), nur das das Wort vor 6 Jahren noch keiner gekannt hat.
https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
"Übernommene SPS" klingt eher nach Stuxnet im Iran.
Richtig – ich hatte im August 2018 im Beitrag Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk auf den Wired-Artikel verlinkt.
Solche Nachbereitungen sind ganz interessant. Eine solche Nachbereitung zu meinem Artikel Hacker versuchte Wasserversorgung einer Stadt in Florida zu vergiften die Tage unter die Augen gekommen. Aussagen des FBI und des ehemaligen Stadtdirektors von Oldsmar deuten darauf hin, dass es sich bei den Vorfällen in der Anlage möglicherweise nicht um das Werk eines externen Hackers handelt. Auch zwei Jahre nach dem Vorfall gibt es immer noch kaum Hinweise darauf, was genau in der Anlage passiert ist, wie ein Hacker Zugang zu den internen Systemen erlangt haben könnte oder wer den angeblichen Angriff überhaupt durchgeführt hat.
Äußerungen des ehemaligen Stadtmanagers von Oldsmar, Al Braithwaite besagen, dass es sich bei dem Vorfall um ein "Nicht-Ereignis" handelte, das von einem übereifrigen Mitarbeiter ausgelöst wurde.
Das Ganze ist in diesem Artikel dargestellt.
So sieht es aus. Aktuelles Beispiel: Wir haben ein Blechbearbeitungszentrum der Firma Trumpf erneuert. Auf dem Steuerungsrechner der alten Maschine lief Windows NT 4.0 SP6. Es gibt schlicht keine Option da irgendwie Updates zu erhalten. Jetzt wurde das Blechzentrum gegen eine fabrikneue Maschine ersetzt. Was bekommt man dann als OS auf dem Steuerungsrechner? -> Windows XP
Maschinen mögen in der Sicherheit für den Bediener aufgeholt haben, aber IT Security hat da noch nicht wirklich Einzug erhalten. Also muss man probieren das Ganze so gut wie möglich zu kapseln. Natürlich kann die neue Maschine aber Cloud, wenn man es zulässt. Finde den Fehler.
Ist doch modern ;-)
Ich betreue hier unter anderen fünf Prüfgeräte (In-Circuit-Tester), deren Software unter DOS 6.2 läuft, die Interfacekarte ist ISA.
Vernetzung hat sich zum Glück vor 10 Jahren erledigt, da der SMB-Client für DOS nur SMB1 mit NTLM-Hashes unterstützt. Backups der Prüfprogramme und -protokolle erfolgt aktuell per Diskette.
Zum Thema Austausch: Jedes der Systeme hat etwa den Neuwert eines Einfamilienhauses.
Dagenen sind die Hochspannungstester (Preis etwa eines Kleinwagens) mit Windows CE4 richtig modern.
Das kenne ich nur zu gut… "Warum wollen Sie nicht, dass unsere Maschine unbeschränkten Zugriff aufs Internet bekommt? Und TeamViewer muss natürlich auch installiert werden, wegen Fernwartung und so. Jetzt stellen Sie sich mal nicht so an, das haben wir schon bei etlichen anderen Kunden so im Einsatz."