Lange Zeit durch die Abschottung vom Netz geschützt, sehen sich Unternehmen im Industriesektor nun mit zunehmenden Cyberrisiken konfrontiert. Die Konvergenz von IT und Betriebstechnologie (OT) schafft neue Möglichkeiten für Effizienz und Innovation - und birgt die Möglichkeit eines Missbrauchs.
Industrielle Automatisierungs- und Steuerungssysteme (IACS) geraten zunehmend ins Visier von Bedrohungsakteuren. Im Gegensatz zu IT-Umgebungen sind OT-Systeme oft von Drittanbietern und Auftragnehmern abhängig, was leider oft zusätzliche Türen für böswillige Akteure offen lässt.
Die Risiken einer Kompromittierung wesentlicher Infrastrukturen sind katastrophal. Um das Risiko zu mindern, müssen Organisationen einen Defense-in-Depth-Ansatz verfolgen, der sich an den horizontalen Standards in IEC 62443. Die Verschlüsselung ist ein wichtiger Bestandteil dieser Strategie, da sie einen Schutz gegen das Abfangen, die Manipulation und den unbefugten Zugriff auf Daten bietet.
Im Folgenden werden die spezifischen Herausforderungen der industriellen Cybersicherheit, die Bedeutung der Verschlüsselung und die Implementierung von PKI zum Schutz kritischer Infrastrukturen näher erläutert.
Was ist IEC 62443?
Die IEC 62443-Reihe bietet einen umfassenden Rahmen für die Sicherung industrieller Kontrollsysteme (ICS). Im Gegensatz zu IT-Systemen haben ICS einzigartige Eigenschaften und strenge Anforderungen an Leistung, Verfügbarkeit und Langlebigkeit. Darüber hinaus können die Folgen eines erfolgreichen Angriffs auf industrielle Systeme weitaus schwerwiegender sein und möglicherweise zu Umweltkatastrophen oder zum Verlust von Menschenleben führen.
Die IEC 62443 geht auf diese Herausforderungen ein, indem sie einen ganzheitlichen Ansatz der nicht nur die Technologie, sondern auch menschliche Faktoren, Arbeitsprozesse und Gegenmaßnahmen umfasst. Die in Zusammenarbeit zwischen Regierung und Industrie entwickelte Norm legt den Schwerpunkt auf eine risikobasierte Methodik und konzentriert sich auf den Schutz kritischer Anlagen bei gleichzeitiger Aufrechterhaltung der betrieblichen Effizienz.
Der Rahmen besteht aus vier Hauptteilen:
- Allgemein: Erarbeitung grundlegender Konzepte, Terminologie und Modelle für die InVeKoS-Sicherheit.
- Richtlinien und Verfahren: Beschreibung von Methoden und Verfahren zur Implementierung und Verwaltung von InVeKoS-Sicherheitsprogrammen, einschließlich Patch-Management und Anforderungen an Sicherheitsdienstleister.
- System: Der Schwerpunkt liegt auf der Sicherheit von Werkzeugen auf Systemebene, Risikobewertungen und allgemeinen Sicherheitsanforderungen.
- Komponenten und Anforderungen: Bereitstellung detaillierter Sicherheitsspezifikationen für einzelne eingebettete Geräte, Netzwerkkomponenten und software Anwendungen.
Die IEC 62443 spielt eine wichtige Rolle beim Schutz kritischer Infrastrukturen und bei der Minderung der mit Cyberangriffen verbundenen Risiken, und auch die Kryptographie spielt eine wichtige Rolle beim erfolgreichen Schutz industrieller Netzwerke.
Wie passt PKI in die IEC 62443?
Die Public-Key-Infrastruktur (PKI) - ein kryptografisches System für die Erstellung, Verwaltung, Verteilung, Speicherung und den Widerruf von digitalen Zertifikaten zur Überprüfung der Identität von Entitäten in der elektronischen Kommunikation - ist besonders für die Transport- und Anwendungsschichten von industriellen Automatisierungs- und Steuerungssystemen relevant. Diese Schichten sind verantwortlich für die Übertragung und Strukturierung von Daten zwischen der digitalen Architektur Ihres gesamten InVeKoS, einschließlich Geräten wie z. B.:
- Speicherprogrammierbare Steuerungen (PLCs): Industriecomputer, die Maschinen und Prozesse steuern
- Fernbedienungseinheiten (RTUs): Geräte, die Daten von Sensoren und Steuergeräten an entfernten Standorten sammeln
- Überwachungssteuerung und Datenerfassung (SCADAs): Systeme zur Überwachung und Steuerung industrieller Prozesse, einschließlich PLCs und RTUs, um eine Überwachung auf hoher Ebene über eine große Fläche zu ermöglichen
- Mensch-Maschine-Schnittstellen (HMIs): Schnittstellen, die es Menschen ermöglichen, mit Maschinen und Prozessen zu interagieren
Die Transportschicht gewährleistet eine zuverlässige Datenübermittlung durch Protokolle wie HTTPS und TLS, die die Daten während der Übertragung verschlüsseln. In der Anwendungsschicht wird festgelegt, wie Daten strukturiert und ausgetauscht werden, wobei Protokolle wie Modbus, OPC und DNP3. Diese Protokolle verfügen zwar über eigene Sicherheitsmechanismen, stützen sich aber häufig auf PKI zur Authentifizierung und Verschlüsselung.
Durch die Nutzung von Zertifikaten und vertrauenswürdigen Zertifizierungsstellen (CAs) schafft PKI einen robusten Vertrauensrahmen innerhalb des industriellen Steuerungssystems. Dadurch wird sichergestellt, dass nur autorisierte Geräte und Systeme miteinander kommunizieren können, wodurch das Risiko eines unbefugten Zugriffs und einer Datenmanipulation gemindert wird. Der "digitale Pass" der PKI verifiziert die Identität jeder Einheit innerhalb des Netzwerks und erhöht die allgemeine Sicherheit gegen unerwünschtes Eindringen.
Ohne Kryptografie und Zertifikate können unbefugte Benutzer Daten abfangen, sich in Systemen verstecken und bewegen und Schwachstellen für böswillige Zwecke ausnutzen. Ein robustes PKI-Verwaltungssystem blockiert diese unbefugten Zugangspunkte und zwingt jede digitale Identität, ihre Authentizität zu beweisen, bevor der Datenaustausch fortgesetzt wird.
Was betrifft die PKI noch?
Neben der Sicherung der Datenübertragung spielt die PKI eine zentrale Rolle bei mehreren anderen kritischen industriellen Sicherheitsprozessen:
- Code signieren: Verschlüsselt Codesignierung verhindert die Einschleusung von bösartigem Code und garantiert, dass nur autorisierter software ausgeführt wird.
- Sicheres Booten: Sicheres Booten schützt den Gerätestart durch die Überprüfung der digitalen Signaturen von Bootloader und Firmware und verhindert so unbefugte Änderungen. Viele Implementierungen von Secure Boot verlassen sich jedoch auf native asymmetrische Kryptographie anstelle von PKI, was Risiken mit sich bringen kann. Dieser Ansatz nutzt zwar die integrierte Sicherheit des Chips, führt aber häufig zu einer Abhängigkeit vom Chip-Anbieter, was sich möglicherweise auf die Sicherheitsstrategie Ihres Produkts auswirkt.
- Over-the-Air (OTA)-Updates: PKI sichert die Verteilung und Installation von software Updates, schützt vor Manipulationen und stellt sicher, dass nur legitime Updates angewendet werden.
- Mobile Code-Ausführung: PKI authentifiziert und autorisiert die Ausführung von dynamischem Code und mindert so die mit bösartigen Skripten oder Anwendungen verbundenen Risiken.
Das PKI-Netz kommuniziert zwischen IT- und OT-Systemen. PKI sichert die Verteilung und den Austausch von Schlüsselmaterial zwischen Geräten und Systemen und ermöglicht den Schutz der Schlüssel selbst vor unbefugter Manipulation. Eindeutige Maschinenidentitäten, die jedes Gerät zur gegenseitigen Authentifizierung kennzeichnen, stellen sicher, dass nur autorisierte Geräte auf Netzwerke und Dienste zugreifen können.
Bei all diesen Prozessen nutzt PKI die Leistungsfähigkeit der Kryptografie, um einen vertrauenswürdigen Rahmen für industrielle Automatisierungs- und Steuerungssysteme zu schaffen, indem jedes Gerät gezwungen wird, seine Authentizität jedes Mal zu beweisen, anstatt von seiner Vertrauenswürdigkeit auszugehen. Selbst wenn Cyber-Angreifer es auf Drittanbieter abgesehen haben, kann PKI sie daran hindern, Ihre Systeme zu erreichen. Für IACS, wo Zuverlässigkeit, Sicherheit und Betriebskontinuität an erster Stelle stehen, ermöglicht PKI die Authentifizierung, Validierung und Absicherung der wichtigsten Elemente der Infrastruktur Ihres Unternehmens gegen Angreifer.
Die Automatisierung treibt Ihre Systeme an, und sie treibt auch Ihre Cybersicherheit an.
Große Industriebetriebe mit zahlreichen Geräten und Systemen benötigen automatisierte PKI-Verwaltungstools zum konsistenten Schutz des PKI-Austauschs in der gesamten Umgebung und zur Rationalisierung Verwaltung des Lebenszyklus von Zertifikaten von der Ausstellung und Bereitstellung bis zum Widerruf und zur Erneuerung. Sich auf manuelle Prozesse für die Ausstellung, Erneuerung, Speicherung und den Widerruf von Zertifikaten zu verlassen, ist einfach nicht sinnvoll - vor allem dann nicht, wenn Ihre Produktionslinie wahrscheinlich selbst automatisiert arbeitet.
Eine automatisierte PKI-Verwaltung reduziert den Verwaltungsaufwand für Ihr Sicherheitsteam und minimiert menschliche Fehler, genau wie in Ihren Anlagen, Fabriken und Lagern. Darüber hinaus unterstützt die automatisierte PKI-Verwaltung Unternehmen dabei, die Einhaltung von Standards wie IEC 62443 - oder anderer für Ihre Branche wichtiger Compliance-Kontrollen - zu erreichen und zu gewährleisten.
Integration des industriellen PKI-Verwaltung zusammen mit Ihren anderen Sicherheitskontrollen schafft einen umfassenden und vielschichtigen Ansatz für die Cybersicherheit, der die ganzheitliche Strategie der IEC 62443 ergänzt.
Industrielle Cyber-Resilienz schützt kritische Systeme
Da die Bedeutung der Cybersicherheit weiter zunimmt, werden sich der IEC 62443 wahrscheinlich weitere Normen und Rahmenwerke anschließen, die eine Strategie der Tiefenverteidigung für industrielle Steuerungssysteme fördern. Die PKI spielt in dieser Strategie eine zentrale Rolle. Sie bildet die Grundlage für digitales Vertrauen und Sicherheit im gesamten industriellen Umfeld, indem sie die Datenübertragung sichert, das Signieren von Code ermöglicht, Firmware schützt und sichere Updates ermöglicht.
Die Entwicklung hin zu einer vollständig sicheren Industrieumgebung ist zwar noch nicht abgeschlossen, aber Unternehmen, die mit älteren Geräten arbeiten, sollten jetzt proaktive Maßnahmen ergreifen. Komponenten von Industriesteuerungssystemen, die das Ende ihrer digitalen Lebensdauer erreicht haben, erhalten möglicherweise nie wieder ein Sicherheitsupdate vom Entwickler, wodurch Cyberangriffen Tür und Tor geöffnet werden. Verringern Sie das Risiko von IACS und schützen Sie Ihre Abläufe, indem Sie einen risikomindernden Ansatz und Sicherheitstechnologien wie PKI-Management für industrielle Steuerungssysteme anwenden.
Beschleunigen Sie Ihre Reise zur IEC 62443-Konformität und schützen Sie Ihr Unternehmen durch die Implementierung von PKI-Lösungen von Experten wie Keyfactor. Unternehmens-Tools verschaffen Ihnen Transparenz und automatisieren die Kontrolle über die PKI Ihres Unternehmens, um kritische Ausfälle zu vermeiden und einen Missbrauch zu verhindern.
Möchten Sie die Möglichkeiten von PKI in Aktion erleben? Fordern Sie eine Demo an und sichern Sie die Zukunft Ihres Unternehmens.