No Results Found

Try changing the filters or search term

Start Typing To Search

Warenkorb

{{ successMessage }}
{{item.orderingCode}}
Menge: {{ item.quantity }}
{{currencySymbol}}{{item.pricing.totalPrice | intlNumber('de-DE','USD')}}
Zwischensumme ({{totalQty}} {{totalQty === 1 ? "Artikel" : "Artikel"}}):
{{currencySymbol}}{{cartSummary.total | intlNumber('de-DE','USD')}}
Warenkorb anzeigen / bearbeiten
AUSCHECKEN
Es wird noch nichts berechnet.
< Alle anzeigen Wasserversorger
Cybersicherheit-Serie: SCADA-Systeme vor Hackern schützen

Cybersicherheit-Serie: SCADA-Systeme vor Hackern schützen

Making Waves

Wasserversorger konzentrieren sich zunehmend darauf, ihre Netzwerke widerstandsfähiger gegen Cybersicherheitsbedrohungen zu machen. Die Mensch-Maschine-Schnittstelle (HMI) ist einer der häufigsten Wege, über den Hacker SCADA-Systeme infiltrieren. Im zweiten Teil unserer Cybersicherheit-Serie diskutieren Steven Miller, Product Security Leader von Xylem, und Radhika Upadrashta, Product Security Engineer, Best Practices für die sichere HMI-Bereitstellung und die Schritte, die Netzwerkbetreiber unternehmen können, um Schwachstellen zu reduzieren.

Wir bei Xylem glauben, dass der Schutz der kritischen Prozesse, die sauberes Trinkwasser liefern, Abwasser aufbereiten, über die Wasserqualität informieren und den Verbrauch von Wasser, Gas und Strom messen, ein Modell der gemeinsamen Verantwortung erfordert – eine Partnerschaft zwischen Technologieentwicklern und -anbietern, Integratoren, Anlagenbesitzern und allen Teilen der Lieferkette. Die Verantwortung von Xylem besteht darin, Produkte mit Sicherheitsfunktionen zu entwickeln und herzustellen. Die Rolle unserer Kunden wiederum besteht darin, die inhärenten Risiken ihrer Prozesse zu verstehen und Maßnahmen zu ergreifen, um ihre Lösungen sicher betreiben und warten zu können.

Die Mensch-Maschine-Schnittstelle (HMI) ist das anfälligste Element eines IT-Systems. Als HMI bezeichnet man ein Bedienpanel oder einen Bildschirm zur Steuerung oder Überwachung von Maschinen, entweder vor Ort oder über Fernzugriff. Als primäre Benutzerschnittstelle zur Steuerung von Geräten oder Prozessen gehört die HMI zu den am häufigsten angegriffenen Komponenten in der Infrastruktur industrieller Steuerungssysteme (ICS). Unbefugter Zugriff auf die HMI kann Chaos anrichten: Bediener können die Möglichkeit verlieren, einen Prozess zu steuern; es kann zu Vermögensschäden und Zerstörung kommen; und in extremen Fällen kann ein solcher Angriff bei der Durchführung von Wartungsarbeiten zu Beschädigungen der Ausrüstung oder sogar zum Tod führen.

Die gute Nachricht ist, dass Betreiber Maßnahmen ergreifen können, um die HMI zu sichern und die Sicherheit mit der Funktionalität und Reaktionsfähigkeit in Einklang zu bringen, die für einen effizienten Betrieb erforderlich sind.

Komplettlösung mit der „Sicherheitszwiebel“

Beim Entwickeln einer Sicherheitslösung empfehlen wir einen „Sicherheitszwiebel“-Ansatz. Hierbei werden die unterschiedlichen Schichten des Systems in Betracht gezogen, um die Sicherheit zu maximieren. Es gibt keine einzelne Maßnahme, die hundertprozentig sicher ist; dahingegen ist ein schichtweiser Sicherheitsansatz, bei dem die physische Umgebung, das eigentliche Netzwerk, der Host, das Betriebssystem und schließlich die Anwendung oder die HMI berücksichtigt werden – eine umsichtige Herangehensweise, um den Schutz zu maximieren.

Schauen wir uns die einzelnen Schichten genauer an:

Umgebung: Der Schutz des physischen Zugangs zu dem Bereich, in dem sich die HMI befindet (z. B. der Kontrollraum oder die Fertigungshalle), ist von entscheidender Bedeutung. HMIs sind immer eingeschaltet, leicht zugänglich und erfordern unter Umständen keinerlei Authentifizierung. Selbst passwortgeschützte HMIs sind immer noch relativ anfällig. Durch die Beschränkung des physischen Zugriffs wird beispielsweise das Potenzial für die böswillige Verwendung unzulässiger Geräte oder beweglicher Kabel minimiert.

Netzwerkschutz: Bei netzwerkfähigen HMIs ist es wichtig, dass eine zusätzliche Netzwerkinfrastruktur vorhanden ist, um das breitere Netzwerk zu schützen. Dazu gehören die Verkabelung der HMI mit dem Netzwerk sowie Maßnahmen wie IP-Adressierung, Router, Switches, Wi-Fi-Netzwerk/Zugriffspunkte usw. Die Segmentierung des Netzwerks mithilfe von Firewalls ist eine gängige Sicherheitsmaßnahme.

Es wird eine starke NAC-Richtlinie (Network Access Control) empfohlen. Ein NAC-System kann neue und zuvor unbekannte Hosts identifizieren und sie von einem breiteren Netzwerkzugriff isolieren, bis sie von einem Netzwerkadministrator genehmigt werden. Ein starker (und automatisierter) Netzwerkzugriffsschutz reduziert das Potenzial für einen unbefugten Zugriff erheblich. Die Verschlüsselung des Netzwerkverkehrs kann das Abhören verhindern, und virtuelle private Netzwerke (VPNs), die MFA für Fernzugriff auf das Netzwerk nutzen, verringern ebenfalls das Risiko. Schließlich sind Intrusion Detection and Prevention-Systeme (IDS/IPS) zur Überwachung der Netzwerkaktivität eine weitere nützliche Sicherheitsmaßnahme.

Host- und Betriebssystemschutz: Dies bezieht sich auf das Betriebssystem, das die HMI hostet, sowie auf dessen Hardware, Schnittstellen und Laufwerke. Die Möglichkeit, Schutzmaßnahmen in diese Schicht zu integrieren, hängt davon ab, ob die HMIs auf einem speziell entwickelten Host installiert sind – d. h. einem geschlossenen System, das nicht geändert werden kann – oder über Standard- (oder handelsübliche) Hardware aus angezeigt werden.

Idealerweise sollten die Hosts eine minimale Angriffsfläche bieten; unnötige Ports (sowohl physisch als auch virtuell) sowie unnötige Systemdienste müssen deaktiviert werden. Nicht verwendete Anwendungen sollten entfernt werden. Betriebssystem-Sicherheitspatches und Antiviren-Dienste sollten auf dem neuesten Stand gehalten werden und Verbindungen für Remote-HMIs sollten immer passwortgeschützt sein.

Applikations-/HMI-Schutz: Wie beim Host oder Betriebssystem hängt die Fähigkeit, Schutzmaßnahmen auf Anwendungsebene einzusetzen, von den vom HMI-Hersteller integrierten Sicherheitsfunktionen ab. Verwenden Sie gegebenenfalls starke Authentifizierungs- und Autorisierungsrichtlinien. Ein Benutzer sollte nur über die für seine Rolle erforderlichen und angemessenen Zugangsdaten verfügen. Die HMI-Anwendung sollte eine verschlüsselte Kommunikation verwenden, um ein Abhören zu verhindern und den Zugriff auf das Betriebssystem einzuschränken.

Cybersicherheit ist ein Eckpfeiler für den Aufbau belastbarer Netzwerke. Während sich Cyber-Bedrohungen weiterentwickeln und ausweiten, können Wasserversorger Maßnahmen ergreifen, um Risiken zu reduzieren und ihre wichtige Infrastruktur zu schützen – und das Gute ist: dabei sind sie nicht auf sich gestellt.

Erfahren Sie hier mehr über den Cybersicherheitsansatz von Xylem.

In diesem Blog erfahren Sie, wie Sie noch heute mit der Planung intelligenter Incident Response Maßnahmen beginnen können.

21 Februar 2022

Über Making Waves

Making Waves ist das Kundenmagazin von dem internationalen Wassertechnologie-Anbieter Xylem. Xylem entwickelt innovative Produkte, um Wasser und Abwasser effizient zu fördern, zu behandeln, zu analysieren, zu überwachen und der Umwelt zurückzuführen.