Im Rahmen von Innovationsprojekten digitalisieren Gebäude- und Anlagenbetreiber in Behörden und Kritischen Infrastrukturen ihre Objekte und versuchen dadurch, diese kosteneffizienter und nachhaltiger zu betreiben. Zentrale Voraussetzung dafür ist eine solide Datengrundlage. SCADA-Systeme als zentrale Leit- und Überwachungsebene bieten hier einen vielversprechenden Anfang. Mithilfe welcher Massnahmen die bereits vorhandenen Daten mit höherer Vernetzung sicher genutzt werden können, erfahren Sie in diesem Blogbeitrag.

SCADA-Systeme (Supervisory Control and Data Acquisition) sind die zentralen Leit- und Überwachungsebenen in der Automatisierung von Smart Building und Anlagen, beispielsweise in der industriellen Produktion oder bei Kritischen Infrastrukturen (KI) wie die Wasser- und Stromversorgung. Aber auch im Behördenumfeld inkl. militärischer Anlagen und Gebäude sind SCADA-Systeme für einen effizienten und sicheren Betrieb der Infrastrukturen elementar. Ihre Hauptaufgaben sind – wie ihr Name schon sagt – das Überwachen und Steuern von kritischen Prozessen sowie das Erfassen, Bereitstellen und Archivieren von wichtigen Prozessdaten. SCADA-Systeme werden auch dazu verwendet, um Anlagen standortübergreifend zu steuern und überwachen.

Der Datenschatz der SCADA-Systeme

Durch ihre tiefe Einbindung in existierende Prozesslandschaften erfassen bereits heutige SCADA-Systeme kontinuierlich Daten und steuern entsprechende Sensoren und Aktoren. Sie bergen dadurch einen riesigen Datenschatz für mögliche neue Digitalisierungsprojekte. Im Rahmen der Digitalisierung und der Industrie 4.0 sind SCADA-Systeme somit wichtige Datenquellen. Denn sie bieten das Potenzial, mit bereits vorhandenen Daten Effizienzgewinne und eine verbesserte Nachhaltigkeit zu erzielen – und dies, ohne Sensoren nachrüsten zu müssen. Man verspricht sich daher zu Recht einen effizienteren und kostengünstigeren Betrieb der Anlagen sowie optimierte Problembehebungsansätze. Um dies zu erreichen, müssen aber die richtigen Daten zur Verfügung stehen und durch einen nachgelagerten Analyseprozess einfach weiter verarbeitbar sein.

Kombination mit Analytics-Umgebung

Obwohl heutige SCADA-Systeme sehr gut im Überwachen und Steuern von Prozessen sind, sind sie aufgrund ihrer eher starren Strukturen und komplexen Engineering-Systeme für agile Data Analytics-Aufgaben nicht geeignet. Diese Analyseaufgaben werden mit flexiblen und kostengünstigen Drittsystemen gelöst. Geräteunabhängig können diese Analytics-Softwares sowohl lokal als auch mittels sogenannten «Software-as-a-Service» (SaaS) cloudbasiert bereitgestellt werden. Die bereitgestellten Analysen sind damit in der Regel für die Betreiber über Web-Browser oder mittels dezidierten Apps von den unterschiedlichsten Geräten ortsunabhängig abrufbar. Diese Analytics-Befähigung bedingt aber, dass zwischen Datenbanken der SCADA-Systeme sowie der Analytics-Umgebung eine Verbindung für den notwendigen Datenaustausch hergestellt wird. Genau dort liegen die Cyber Security-Herausforderungen.

Zielkonflikte führen zu erhöhten Cyber-Risiken

Bezüglich der Cyber Security von SCADA-Systemen befindet sich der Gebäude- oder Anlagenbetreiber in einem kontinuierlichen Zielkonflikt. Einerseits müssen SCADA-Systeme einen Höchstanspruch punkto Verfügbarkeit erfüllen – bis zu 7x24h an 365 Tagen. Andererseits sind da die sehr langen Lebenszyklen dieser meist Microsoft Windows-basierten Systeme von mehr als 15 Jahren. Diese Kombination von Verfügbarkeitsansprüchen und Langlebigkeit führt dazu, dass nachhaltige Patch- und Updatestrategien für diese Systeme kaum oder nur sehr schwierig umsetzbar sind. Dies resultiert in ungepatchten Betriebssystemen mit gravierenden Schwachstellen (Vulnerabilities) sowie sehr hohen Cyber-Risiken. Diese können schliesslich in Cyber-Angriffen, z. B. mit Ransomware, auf die SCADA-basierten Infrastrukturen der Betreiber münden. Diese Gefahren steigen noch mehr, wenn man die Systeme zwecks Datenanalyse mit Analytics-Systemen verbindet oder sogar mittels SaaS-Lösungen cloudbasiert vernetzt.

Die CyOne Security hilft ihren Kunden aus der Industrie und dem Behördenumfeld, ihre existierenden SCADA-Systeme durch eine sichere Einbindung von Analytics-Systemen fit für die Digitalisierung zu machen, indem sie Hersteller und Betreiber bei der Erstellung und Umsetzung von nachhaltigen Sicherheitskonzepten und -lösungen unterstützt. Dabei kommt eine «Defence-in-Depth»- Strategie nach der IEC 62443 zum Einsatz. Mit diesem Ansatz wird eine gestaffelte Verteidigung aus mehreren Sicherheitsschichten aufgebaut.

Schutz von SCADA vor Cyber-Risiken: 7 Elemente

Basierend auf Gesprächen mit unseren Kunden haben wir 7 wichtige Elemente identifiziert, welche für einen effizienten Schutz der SCADA-Systeme vor Cyber-Risiken zentral sind. Diese sind wie folgt:

  1. Zonierung: Einrichten von Schutzzonen (z.B. Demilitarisierte Zone kurz. DMZ)
  2. Sichere und überwachte Zonenübergänge zwischen SCADA und Drittsystemen (z.B. Datenschleuse / Datendioden)
  3. Sichere Authentifizierung und Datenübertragung
  4. Schutz der Daten «in Process», «in Transit» und «at Rest»
  5. Manipulations-Detektion bei kritischen Geräten (Tamper)
  6. Secure Gateways für die Datenerfassung und Übertragung
  7. Härtung und Schutz von SCADA-Betriebssystemen / -Endsystemen

Ganzheitliche Cyber Security-Kompetenzen nötig

Nebst der technischen Ebene geht es aber auch um die entsprechenden Security Policies und Prozesse, welche sicherstellen, dass diese Sicherheitsmassnahmen nachhaltigen Schutz bieten.