PAM und SCADA-Sicherheit
Industriebetriebe und Energieversorgungsunternehmen nutzen zur Verwaltung ihrer Operational-Technology-Systeme (OT-Systeme) für gewöhnlich das bewährte SCADA-Framework (Supervisory Control and Data Acquisition). In den vergangenen Jahren stieg durch den Erfolg des Internets und die Möglichkeit der IP-basierten Nutzung von bis dato isolierten SCADA-Systemkomponenten jedoch das Cyberrisiko.
Das SCADA-Cybersecurity-Framework empfiehlt Kontrollen, um dem Risiko von Cyberangriffen auf SCADA-Systeme entgegenzuwirken – Angriffe, die verheerende Schäden anrichten oder sogar Menschenleben kosten können. Zugriffskontrollen inklusive Privileged Access Management (PAM), also die Verwaltung privilegierter Zugriffe, sind ein entscheidender Baustein für SCADA-Sicherheit, da sie industrielle Systeme gegenüber böswilligen Akteuren verteidigen.
SCADA ist das bestehende Framework, um Cyberattacken auf OT-Systeme wie Industriebetriebe und Energieversorgungsunternehmen abzuwehren und vorzubeugen.
Was ist SCADA?
SCADA ist ein ausgereiftes Technologie-Framework, das zahlreiche unterschiedliche Geräte und Software-Anwendungen umfasst. Zusammen bilden SCADA-betriebene Technologien eine Art industrielles Nervensystem. Man findet sie in Fabriken, Kraftwerken und Krankenhäusern. Auch Heiz- und Kühlsysteme für Gebäude werden so gesteuert. Die Kombination aus Sensoren, Leitrechnern und Fernbedienungsterminals (RTUs) ermöglicht es, physische Prozesse zu überwachen und zu steuern. So kann beispielsweise ein SCADA-System in der Stahlindustrie erkennen, wenn geschmolzener Stahl heiß genug ist, um gegossen zu werden. So werden zum richtigen Zeitpunkt die entsprechenden Aktoren ausgelöst, die den Stahl in Formen gießen lassen. SCADA bietet zudem auch Mensch-Maschine-Schnittstellen für Reporting und Control Input.
SCADA-Sicherheit im Zeitalter des Internets
Die Sicherheit von SCADA war für die SCADA-Systemverwalter nie eine große Sache. Da proprietäre Kommunikationsprotokolle isolierte Netzwerke genutzt wurden, waren die SCADA-Systeme kaum zu erreichen und schwierig zu hacken. Sicherheitsarchitekten konnten auf den „Air Gap” verweisen, also die vollständige Isolierung der SCADA-Netzwerke von der Außenwelt; er galt als eine extrem robuste Maßnahme gegen potenzielle Bedrohungen.
Dennoch haben Angriffe auf SCADA-Systeme beträchtliche Auswirkungen. Dabei geht es um lästige Störungen wie Stromausfälle, aber leider auch um Katastrophen wie Kernschmelzen, Dammbrüche oder Verletzungen bzw. Todesfälle von Industriemitarbeitern. Diese einst in der Ferne gelegenen Möglichkeiten und Konsequenzen sind heute viel wahrscheinlicher.
Zwei Faktoren erhöhen das Risikopotenzial der SCADA-Systeme. Zunächst war der Air Gap eventuell nie diese effiziente Schutzschicht, die die Menschen erwarteten. Eine Reihe professioneller Hacks wie der Stuxnet-Angriff auf Iranische Atomkraftwerke machte deutlich, dass Hacker mithilfe von Human Engineering, USB-Laufwerken und ähnlicher Technik auf Air-Gap-Systeme zugreifen können.
Die an dieser Stelle wichtigere Entwicklung ist jedoch das IP-basierte SCADA-System. Der Schritt in diese Richtung ist nachvollziehbar, wenn man bedenkt, wie praktisch und weit verbreitet IP mittlerweile ist. Es ist nun möglich, auf SCADA-Systeme ganz über das Internet zuzugreifen – natürlich inklusive derselben Flexibilität und Reichweite des Internets. Sicherheitstechnisch ist diese Entwicklung jedoch eine Katastrophe.
IP-basierte SCADA-Systeme bringen ganz neue Möglichkeiten für potenzielle Katastrophenfälle mit sich.
Sie sind nun ebenso gefährdet wie jedes andere mit dem Internet verbundene Gerät – wenn nicht sogar mehr. Anders als herkömmliche IT-Systeme wie Server und Datenbanken wurde SCADA jahrzehntelang hinter Air Gaps und organisatorischen Barrieren versteckt. Aber OT ist nicht IT. SCADA betrat das Internetzeitalter mehr oder weniger unvorbereitet. Die IT dagegen hatte bereits mehrere herausfordernde Jahrzehnte hinter sich, in der sie lernen konnte, sich vor Hackern zu schützen. Die OT wird normalerweise getrennt von der IT verwaltet, weshalb sie nicht dieselben Sicherheitsmaßnahmen erhielt wie die IT-Abteilungen. Die Industrie muss sich dieser Herausforderung nun stellen und passende Sicherheitsmaßnahmen für IP-basierte SCADA-Systeme finden.
Das SCADA-Security-Framework
Für die Industrie ist die „NIST Special Publication 800-82” der maßgebliche Leitfaden in puncto SCADA-Sicherheit. Der Nachtrag 2 aus dem Jahr 2015 enthält einen „Guide to Industrial Control Systems (ICS) Security” (Leitfaden für die Sicherheit in industriellen Steuerungssystemen (ICS)) sowie „Supervisory Control and Data Acquisition (SCADA) Systems, Distributed Control Systems (DCS), and Other Control System Configurations such as Programmable Logic Controllers (PLC)” (SCADA-Systeme, Prozessleitsysteme (PLS) und weitere Konfigurationen von Steuerungssystemen wie speicherprogrammierbare Steuerungen (SPS)).
Der NIST-Standard deckt die Bereiche ICS-Risikomanagement und die entsprechende Risikobewertung und die Entwicklung und Umsetzung von Sicherheitsprogrammen sowie Sicherheitsarchitekturen ab. Der Standard ist ein umfassender Leitfaden für die Anwendung von Sicherheitskontrollen in ICS. Mit fast 250 Seiten ist er mehr als gründlich. Nützliche und präzise verfasste Beiträge zu den Kontrollen findet man zudem in einem von ISACA veröffentlichten Artikel:
PAM und SCADA-Sicherheit
Welcher Punkt des NIST-Standards ist für SCADA und ICS am wichtigsten? Das ist natürlich schwierig zu sagen. Sie sind alle wichtig. Um ein SCADA-System sicher zu machen, müssen die zuständigen Sicherheitsmitarbeiter die entsprechenden Bewertungen durchführen und die im Standard empfohlenen Kontrollen einführen. Eine Kontrolle ist jedoch entscheidend für den Erfolg von praktisch jedem anderen Aspekt des Standards: Die Zugriffskontrolle: die Kontrolle jedes einzelnen privilegierten Zugangs.
Privilegierte Benutzer
Ein privilegierter Benutzer ist eine Person (oder eine Maschine), die administrative Tätigkeiten in den Back-Ends wichtiger Systeme ausführen kann. Sie kann Benutzerkonten erstellen, bearbeiten oder löschen. Dank ihrer besonderen Rechte kann sie Systeme konfigurieren, Software updaten und auf Daten zugreifen bzw. sie löschen.
Privilegierter Zugänge
Hinter dem Ausdruck „Verwaltung privilegierter Zugänge” (PAM) steckt eine Reihe von Praktiken und Tools, mit deren Hilfe Administratoren die Nutzung privilegierter Benutzerkonten überwachen und steuern können. Eine PAM-Lösung ist eine Software für die Steuerung und Überwachung privilegierter Zugriffe. Sie zeichnet die Sitzungen privilegierter Konten für Notfallanalysen auf. PAM-Lösungen können bei Verstößen gegen die Richtlinien privilegierter Zugänge auch Warnungen erzeugen.
PAM und der NIST-Standard
Der Ausdruck „Privileged Access Management” oder „PAM” (also die Verwaltung der privilegierten Zugänge) kommt im NIST-Standard so nicht vor; die PAM-Prinzipien aber ständig und überall. Der Abschnitt 5.6 des Standards behandelt die Notwendigkeit des koordinierten Einsatzes mehrerer Sicherheitsmaßnahmen („Defense in Depth”) und empfiehlt, dass OT-Sicherheitszuständige die „Angriffe auf privilegierte und/oder gemeinsam genutzte Konten” verstehen und sich entsprechend verteidigen müssen. Der Standard gibt eine Empfehlung für die „Einschränkung der ICS-Benutzerrechte: Jeder Mitarbeiter erhält nur die Rechte, die für seine Arbeit nötig sind (z. B. durch die Einführung von rollenbasierten Zugriffskontrollen und durch die Konfiguration jeder Rolle gemäß dem Prinzip der minimalen Rechte)”.
Der NIST 800-82 rät auch dazu, den physischen Zugang zu den ICS-Netzwerken und -Geräten zu beschränken. Diese Empfehlung entspricht den PAM-Prinzipien. Es ist praktisch unmöglich, den Zugang auf physische Geräte zu beschränken, wenn sie nicht über eine Art Zwischenschutzschicht wie eine PAM-Lösung verwaltet werden können.
Obwohl der Ausdruck „Privileged Access Management” bzw. „PAM” nicht im NIST-Standard vorkommt, werden die PAM-Grundprinzipien mehrfach aufgeführt.
Warum SCADA eine PAM-Lösung benötigt
PAM-Lösungen stellen den OT-Sicherheitszuständigen genau die Tools zur Verfügung, die sie benötigen, um privilegierte Zugänge in einer komplexen SCADA-Umgebung zu verwalten. Der NIST enthält zudem Hinweise zu den Schwierigkeiten bei der Authentifizierung und Berechtigung einer großen Anzahl SCADA-Benutzer. Beispielsweise befasst sich Abschnitt 5.15 des Standards mit Authentifizierungen und Berechtigungen:
„Ein ICS umfasst möglicherweise eine große Anzahl Systeme, auf die wiederum zahlreiche Benutzer zugreifen müssen. Diesen Benutzern die entsprechenden Berechtigungen zuteilen und sie zu authentifizieren ist für ICS eine große Herausforderung. Es kann problematisch werden, die Benutzerkonten zu verwalten, da immer Mitarbeiter hinzukommen und wegfallen und auch, da sich die Benutzerrollen mit der Zeit verändern. Sobald die Anzahl der Systeme und Benutzer weiter steigt, wird das Verwalten dieser Konten noch komplizierter.”
PAM bietet die entsprechenden Tools für die Sicherheitsabteilungen, damit privilegierte Zugänge in komplexen SCADA-Umgebungen effektiv verwaltet werden können.
Der Standard warnt zudem davor, für die Authentifizierung und Berechtigungsvergabe einen verteilten Ansatz zu wählen, bei dem jedes System eigene Benutzer-Anmeldeinformationen besitzt: „Die Problematik dabei ist, dass es so nicht mehr besonders skalierbar ist, sobald das System wächst.” Außerdem: „Beispielsweise muss das Benutzerkonto eines Mitarbeiters, der das Unternehmen verlassen hat, auf jedem System einzeln gelöscht werden.” Mithilfe der zentralen Steuerung der privilegierten Benutzer kann PAM Benutzerzugänge einfach deaktivieren, wenn Mitarbeiter das Unternehmen verlassen. Die PAM-Lösung deckt die Empfehlungen des NIST ab: „Die Berechtigung erfolgt über ein Zugriffskontrollsystem.”
Die WALLIX-Bastion-PAM-Lösung
WALLIX-Bastion bietet SCADA ein solches Zugriffskontrollsystem. Der WALLIX-Access-Manager verfügt über eine zentrale Steuerung aller privilegierten Zugänge im gesamten SCADA-Ökosystem. Privilegierte Benutzer loggen sich im Access-Manager ein und können dann privilegierte Aktionen auf SCADA-Geräten ausführen. Dank des WALLIX-Password-Managers müssen privilegierte Benutzer das tatsächliche Passwort für das entsprechende Gerät nicht wissen. So wird verhindert, dass Benutzer aus Versehen oder mit Absicht ein physisches Gerät in der industriellen Steuerung gefährden.
Der WALLIX-Session-Manager zeichnet Sitzungen privilegierter Konten auf. Er erstellt Protokolle und Videos von Sitzungen, die den „Security Operations (SecOps) Teams” bei Sicherheitsvorfällen zur Verfügung stehen. Der Session-Manager liefert Ihnen Antworten auf die bei einem Vorfall am dringendsten zu klärenden Fragen: Wer hat was wann und auf welchem System getan. Ohne diese Art der Sitzungsaufzeichnung verlieren die „SecOps” wertvolle Zeit damit, solche Basisdaten bei einem Sicherheitsvorfall oder Sabotageakt herauszufinden.
PAM ist entscheidend bei der richtigen Umsetzung des SCADA-Frameworks
Die SCADA-Sicherheit ist ein wichtiges und komplexes Thema. Es steht viel auf dem Spiel: Wenn Bedrohungen nicht korrekt abgewehrt werden, ist die Öffentlichkeit in Gefahr. PAM ist ein entscheidendes Element jeder SCADA-Sicherheitsstrategie. Es ist absolut erforderlich, kritische Verwaltungszugänge zu SCADA-Systemen zu schützen. PAM unterstützt indirekt auch zahlreiche andere Kontrollen, die im NIST-Standard vorkommen. Patching funktioniert beispielsweise nur, wenn PAM tatsächlich eingesetzt wird. Andernfalls wäre es unmöglich, das Patching zielführend zu verfolgen. PAM ist ein Schlüsselerfolgsfaktor für robuste SCADA-Sicherheit.
Möchten Sie mehr darüber erfahren, wie WALLIX-Bastion das SCADA-Framework mit robusten PAM-Funktionen schützt? Kontaktieren Sie uns, um weitere Informationen zu erhalten.