Unzureichende Absicherung industrieller Steuerungssysteme

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in ihrem aktuellen Bericht über „die Lage der IT-Sicherheit in Deutschland 2014“ vor einer unzureichenden Absicherung industrieller Steuerungssysteme.

„Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff Industrial Control Systems (ICS) – werden in nahezu allen Infrastrukturen eingesetzt, die physische Prozesse abwickeln. Ein Trend im Zuge der Entwicklung zu Industrie 4.0 ist die erweiterte Vernetzung dieser industriellen Steuerungssysteme über die internen Netze eines Unternehmens hinweg. Dadurch halten IT-Komponenten immer stärker Einzug in die eigentlichen Produktionsnetze, um so industrielle Abläufe im globalen Ausmaß effizienter und effektiver zu gestalten. Viele dieser Systeme wurden jedoch nicht im Hinblick auf mögliche Angriffe konzipiert.“
Systeme zur Fertigungs- und Prozessautomatisierung sind zunehmend Cyber-Angriffen ausgesetzt. Die Betreiber müssen das Risiko und Schadenspotenzial sowohl von nicht zielgerichteter Schadsoftware als auch von gezielten, qualitativ hochwertigen und mit signifikantem Aufwand durchgeführten Angriffen gegen ICS-Infrastrukturen berücksichtigen.

Die zentralen Bedrohungen, denen ICS derzeit ausgesetzt sind:

  • Infektionen von Steuerungskomponenten mit Schadsoftware über Büronetze
  • Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
  • Social Engineering
  • Menschliches Fehlverhalten und Sabotage
  • Einbruch über Fernwartungszugänge

Weiterführend werden konkrete Beispiele von Vorfällen im Bereich Kritischer Infrastrukturen (KRITIS) aufgeführt.

Siehe auch Bericht zur Lage der IT-Sicherheit in Deutschland 2014:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014