site-logo
site-logo
site-logo

Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht

Startseite

Blogs

Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht

Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht

Air-Gapped SCIFs und NERC CIP-015: Warum SCADA nicht ausreicht
Shieldworkz Logo

Team Shieldworkz

Viele Industriebetreiber glaubten jahrelang, dass eine Luftlücke ausreiche, um kritische Systeme zu schützen. Wenn ein Netzwerk physisch getrennt war, war die Logik, konnten Angreifer es nicht erreichen. Diese Idee funktionierte, als Bedrohungsakteure weniger geduldig waren, Lieferketten einfacher waren und Fernzugriff selten war.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag „Handala: Anatomie von Irans destruktivstem Bedrohungsakteur“ hier zu überprüfen.

Moderne Industrieumgebungen sind vernetzter denn je. Ingenieure verwenden tragbare Medien, Wartungslaptops, Anbieter-Jumpboxen, drahtlose Werkzeuge, Telemetriegeräte und temporäre Zugangspfade, die leise eine vermeintliche Lücke überbrücken können. Gleichzeitig stehen regulierte Sektoren vor stärkeren Erwartungen in Bezug auf Resilienz, Überwachung und sichere Betriebsabläufe. Deshalb spielt die Diskussion über Air-Gapped SCIFs und NERC CIP-015 eine Rolle. Es ist nicht nur ein Compliance-Thema. Es ist eine Warnung, dass traditionelle SCADA-Sicherheitsmodelle für eine andere Bedrohungslandschaft entworfen wurden.

 In einer SCIF-ähnlichen Umgebung oder einem streng kontrollierten Betriebsbereich muss die Sicherheit über das Denken an den Rand hinausgehen. Sie benötigen Sichtbarkeit darüber, was in die Umgebung gelangt, was sich darin bewegt und wie schnell Sie abnormales Verhalten erkennen können. Genau da versagen viele alte SCADA-Programme.

Der Mythos des unerreichbaren Air-Gapped SCIF

In der Geheimdienstgemeinschaft ist ein SCIF ein hochsicherer Raum, der elektronische Überwachung und Datenlecks verhindern soll. In der Industrie versuchten OT-Ingenieure, ihre eigenen SCIFs zu bauen: physisch isolierte Kontrollräume, die lebenswichtige SCADA (Supervisory Control and Data Acquisition) Systeme beherbergen.

Die Theorie war einfach: Wenn ein Netzwerk keine physische oder drahtlose Verbindung zur Außenwelt hat, können externe Bedrohungsakteure es nicht erreichen.

Jedoch ist der "100%-Air-Gap" ein gefährlicher Mythos in heutigen Betriebsumgebungen. Hier ist, warum der industrielle SCIF ständig kompromittiert wird:

  • Der Sneakernet (USB-Sticks): Der berühmteste ICS-Angriff in der Geschichte, Stuxnet, umging Air-Gaps mit infizierten USB-Flash-Laufwerken. Wartungsingenieure und Auftragnehmer stecken routinemäßig vorübergehende Geräte in isolierte HMIs (Human-Machine Interfaces), um Diagnosen durchzuführen oder Updates zu installieren.

  • Der Wartungs-Laptop des Anbieters: Ein externer Techniker kommt vor Ort, verbindet seinen Laptop mit Ihrem "isolierten" PLC (Programmable Logic Controller) und bringt unwissentlich Malware ein, die er am Vorabend im Hotel-WLAN aufgenommen hat.

  • Shadow-IT und nicht genehmigte Verbindungen: Betreiber, frustriert von der Isolation, erschaffen oft unautorisierte Umgehungen. Ein in eine Arbeitsstation gestecktes Mobilfunkmodem, um ein Handbuch aus dem Internet herunterzuladen, zerstört sofort den Air-Gap.

  • Vorübergehende Assets: Geräte, die sich innerhalb und außerhalb des sicheren Perimeters bewegen—wie Kalibrierungswerkzeuge oder Diagnosetablets—dienen als perfekte Träger für böswillige Nutzlasten.

Laut einem Bericht des SANS-Instituts zur OT/ICS-Cybersicherheit von 2024 wurden über 40% der kompromittierten ICS-Umgebungen ursprünglich durch Wechseldatenträger oder vorübergehende Geräte infiziert (SANS Institute, 2024). Sobald eine Bedrohung die physische Perimeter überwindet, wird die traditionelle SCADA-Sicherheit blind.

Eintritt von NERC CIP-015: Die Verschiebung zur inneren Sichtbarkeit

Jahrelang betonten die Standards der North American Electric Reliability Corporation zur kritischen Infrastruktur-Sicherheit (NERC CIP) die Perimeterverteidigung stark. Sichern Sie den Elektronischen Sicherheitsperimeter (ESP), verwalten Sie Ihre Firewalls und kontrollieren Sie den Zugang.

NERC CIP-015 ändert das Spiel. Derzeit wird er eingeführt, um Lücken in den vorherigen Standards zu schließen. NERC CIP-015 konzentriert sich auf Interne Netzwerksicherheitsüberwachung (INSM) für BES (Bulk Electric System) Cyber-Systeme mit hohem und mittlerem Einfluss.

Was bedeutet das für CISOs und Werkleiter? Es bedeutet, dass die Regierung formell erklärt, dass das ausschließliche Vertrauen auf einen unüberwindlichen Perimeter nachlässig ist. Sie müssen davon ausgehen, dass der Perimeter bereits verletzt wurde.

Was NERC CIP-015 fordert:

  1. Sichtbarkeit innerhalb des Netzwerks: Sie müssen Sensoren und Überwachungstools innerhalb Ihrer OT-Umgebung bereitstellen, nicht nur an der Grenze.

  2. Anomalieerkennung: Sie benötigen die Fähigkeit, anomalen Netzwerkverkehr, unerwartete seitliche Bewegungen und unautorisierte Befehlsausführungen zwischen PLCs, RTUs und HMIs zu erkennen.

  3. Schnelle Reaktion auf Vorfälle: Wenn eine interne Bedrohung erkannt wird, müssen Sie die Telemetrie haben, um die Bedrohung zu isolieren und zu reagieren, bevor physischer Schaden entsteht.

Regulierungsbehörden verstehen, dass Air-Gapped SCIFs und NERC CIP-015 zwei verschiedene Sicherheitszeitalter darstellen. Ersteres ist ein Relikt der Vergangenheit; letzteres ist der Bauplan für die Zukunft.

Warum traditionelle SCADA-Sicherheit nicht ausreicht

Wenn Sie als Werkleiter auf einen alten Sicherheitsstapel angewiesen sind, betreiben Sie mit schweren blinden Flecken. Die traditionelle SCADA-Sicherheit wurde für ein Zeitalter entworfen, das nicht mehr existiert. Hier ist, warum es gegen moderne, ausgeklügelte Gegner versagt.

1. Harter Kern, weicher Kern

Traditionelle Sicherheitsarchitektur ist wie ein Ei: eine harte äußere Schale (Firewalls, VPNs) mit einem völlig flüssigen, unverteidigten Inneren. Sobald Angreifer die Firewall über eine Phishing-E-Mail oder kompromittierte VPN-Anmeldeinformationen umgehen, haben sie freien Zugriff, sich seitlich über das flache SCADA-Netzwerk zu bewegen. Es gibt selten interne Firewalls oder Zugangskontrollen, die die Wasseraufbereitungspumpen von den HVAC-Kontrollen trennen.

2. Mangel an Protokollbewusstsein

Standard-IT-Sicherheitstools sprechen nicht die Sprache der Werkshalle. Eine IT-Firewall erkennt möglicherweise HTTP- oder SSH-Verkehr, hat jedoch keine Ahnung, wie Modbus, DNP3 oder CIP (Common Industrial Protocol) zu interpretieren sind. Wenn ein Angreifer einen perfekt formatierten Modbus-Befehl sendet, um eine Turbine über ihre physischen Grenzen hinaus zu drehen, lässt eine traditionelle IT-Firewall ihn durch, da sie annimmt, dass es legitimer Betriebsverkehr ist.

3. Statische Abwehr gegen dynamische Bedrohungen

Alte SCADA-Sicherheit verlässt sich stark auf signaturbasierte Antivirus-Software. Dies funktioniert bei bekannten IT-Schadprogrammen, versagt jedoch spektakulär gegen Zero-Day-Exploits oder "living off the land"-Techniken, bei denen Angreifer native, legitime Werkzeuge (wie PowerShell oder native Verwaltungsskripte) verwenden, um Schaden zu verursachen.

4. Die Kollision der IT/OT-Konvergenz

Da Organisationen nach digitaler Transformation streben, bringen sie IoT-Industriesicherheitsherausforderungen mit sich. Intelligente Sensoren werden auf alte PLCs aufgesetzt, um Daten an cloudbasierte Analyseplattformen zu senden. Diese Konvergenz schafft massive Angriffsvektoren, die die traditionelle, isolierte SCADA-Sicherheit einfach nicht überwachen oder schützen kann.

Anatomie eines modernen ICS-Verstoßes

Um den Schutz der kritischen Infrastruktur wirklich zu verstehen, müssen wir uns ansehen, wie Bedrohungsakteure traditionelle Sicherheit beseitigen. Der moderne ICS-Angriff selten ähnelt einem schnell ablaufenden IT-Ransomware-Angriff. Er ist langsam, methodisch und erschreckend leise.

  1. Erste Kompromittierung: Der Angreifer überwindet den "Air-Gap". Dies kann über ein kompromittiertes Fernzugriffs-Gateway eines Anbieters, eine gezielte Spear-Phishing-Kampagne gegen einen Ingenieur oder ein schurkisches USB-Laufwerk geschehen.

  2. Standbein & Aufklärung: Der Angreifer etabliert eine Präsenz, oft auf einem Ingenieursarbeiten. Sie sitzen wochen- oder monatelang ruhig. Sie studieren die HMI-Bildschirme, lesen Betriebshandbücher und kartieren das Netzwerk. Traditionelle Sicherheit übersieht dies völlig, da der Angreifer sehr wenig Verkehr erzeugt.

  3. Seitliche Bewegung: Der Angreifer bewegt sich vom ursprünglichen Einstiegspunkt tiefer in das OT-Netzwerk und sucht nach den Kern-PLCs und Sicherheitssystemen.

  4. Manipulation der Visualisierung: Um während des eigentlichen Angriffs Zeit zu gewinnen, kann der Angreifer die HMI-Bildschirme einfrieren. Die Betreiber im Kontrollraum sehen normale Temperaturen und Drücke, während die physische Maschine heimlich bis zum Punkt eines katastrophalen Ausfalls getrieben wird.

  5. Ausführung: Der Angreifer ändert die Logik in den PLCs, verursacht physischen Schaden, Stromausfälle oder Umweltkatastrophen.

Weil die traditionelle Sicherheit nur die Vordertüre beobachtet, geschehen die Schritte 2 bis 5 völlig unbemerkt. Genau dieser blinde Fleck soll mit NERC CIP-015 aufgedeckt werden.

Schritt-für-Schritt-Präventionstaktiken für Werkleiter und CISOs

Sie kennen die Bedrohungen, und Sie wissen, dass die Vorschriften strenger werden. Wie schwenken Sie von einer fragilen Air-Gap-Strategie zu einem robusten, konformen ICS-Netzwerkschutz-Modell?

Befolgen Sie diese umsetzbaren, schrittweisen Taktiken, um Ihre Betriebsabläufe zu sichern.

Schritt 1: Umfassende Asset-Erkennung implementieren

Sie können nicht schützen, was Sie nicht sehen können. Der erste Schritt in jedem OT-Sicherheitsprogramm ist das Erreichen von 100%iger Sichtbarkeit.

  • Aktion: Passive Scanning-Tools einsetzen, die Ihr gesamtes OT-Netzwerk abbilden, ohne empfindliche alt eingesessene Geräte zu stören.

  • Ziel: Echtzeit-Inventar aller PLCs, HMIs, Sensoren und temporären Geräte in Ihrem Netzwerk erstellen, einschließlich ihrer Firmware-Versionen und bekannten Schwachstellen.

Schritt 2: Interne Netzwerksicherheitsüberwachung (INSM) einführen

Um NERC CIP-015 zu erfüllen und innere Bedrohungen zu erkennen, müssen Sie den Verkehr zwischen Ihren industriellen Geräten beobachten.

  • Aktion: Industrielle Deep Packet Inspection (DPI)-Sensoren an Kernschaltern innerhalb des OT-Netzwerks einsetzen.

  • Ziel: Normalen Betriebsverkehr baselinen. Wenn ein PLC plötzlich anfängt, Programmieranweisungen an ein anderes PLC zu senden—ein anomales Verhalten—erhält Ihr Sicherheitsteam sofort einen Alarm.

Schritt 3: Ihr Netzwerk segmentieren (der Zero Trust-Ansatz)

Ersetzen Sie das "flache" Netzwerk durch segmentierte Zonen.

  • Aktion: Das Purdue-Modell strikt umsetzen. Industrielle Firewalls verwenden, um Mikrosegmente zwischen verschiedenen Betriebsprozessen zu schaffen.

  • Ziel: Wenn ein Laptop eines Auftragnehmers die Verpackungslinie infiziert, stellt die Netzwerksegmentierung sicher, dass die Malware nicht lateral zu den chemischen Misch-PLCs gelangen kann.

Schritt 4: Remote-Zugriff sichern

Da physische Air-Gaps obsolet sind, muss der Fernzugriff stark gesichert sein.

  • Aktion: Multi-Factor Authentication (MFA) für alle Fernzugriffe vorschreiben. Alle Anbieteranschlüsse durch einen sicheren, überwachten Jump Host oder eine dedizierte Privileged Access Management (PAM)-Lösung leiten.

  • Ziel: Sicherstellen, dass selbst wenn die Anmeldedaten eines Anbieters gestohlen werden, der Angreifer keinen freien Zugriff auf das OT-Netzwerk hat.

Schritt 5: Kontinuierliche Bedrohungssuche und Verhaltensanalysen

Über signaturbasierte Abwehrmaßnahmen hinausgehen.

  • Aktion: Verhaltensanalysen implementieren, die Ihre spezifischen physikalischen Prozesse verstehen.

  • Ziel: Subtile Abweichungen vom Normalwert erkennen. Wenn ein Ventil sich 10% schneller öffnet als historisch, sollte Ihr System dies als potenzielle Cyber-physische Anomalie kennzeichnen.

Wie Shieldworkz Ihre Betriebsabläufe schützt

Bei Shieldworkz verstehen wir die hohe Belastung, die auf Werkleitern und CISOs lastet. Sie sind beauftragt, die alte Infrastruktur fehlerfrei am Laufen zu halten, während Sie sich gegen staatlich gesponserte Bedrohungsakteure verteidigen und sich an komplexe Vorgaben wie NERC CIP-015 anpassen müssen.

Wir überbrücken die Lücke zwischen IT und OT und bieten industrielle Sicherheitslösungen, die die fragile Natur der Betriebsabläufe auf dem Werkboden respektieren.

Warum mit Shieldworkz zusammenarbeiten?

  • Native OT-Protokollübersetzung: Unsere Überwachungstools sehen nicht nur Pakete; sie verstehen über 150 proprietäre industrielle Protokolle. Wir kennen den Unterschied zwischen einer routinemäßigen Leseanforderung und einem böswilligen Firmware-Upload.

  • Nahtlose CIP-015-Compliance: Unsere Architektur der Internen Netzwerksicherheitsüberwachung (INSM) ist speziell dafür gebaut, um aufkommende regulatorische Standards zu erfüllen und zu übertreffen und die tiefe interne Sichtbarkeit zu bieten, die Prüfer verlangen.

  • Null-Auswirkung-Passivüberwachung: Wir setzen vollständig außerhalb des Bandes ein. Unsere Lösungen überwachen Ihr Netzwerk, ohne Latenz hinzuzufügen oder Ihre mission-critical PLCs zu gefährden.

  • Vereinheitlichtes IT/OT-Dashboard: Wir geben Ihrem CISO ein einziges Fenster, das Bedrohungen sowohl in Ihrem Unternehmens-IT-Netzwerk als auch in Ihren industriellen Umgebungen korreliert.

Wir verkaufen nicht nur Software; wir bieten die strategische Partnerschaft, die notwendig ist, um Ihre kritische Infrastruktur gegen die Realitäten der modernen Bedrohungslandschaft zu schützen.

Schlussfolgerung

Die Ära des Verlassens auf Air-Gapped SCIFs zum Schutz von industriellen Kontrollsystemen ist vorbei. Da IT- und OT-Umgebungen konvergieren, hat sich der Perimeter aufgelöst, was die traditionelle SCADA-Sicherheit gefährlich unzulänglich macht. Regulatorische Vorgaben wie NERC CIP-015 schlagen Alarm: Die wahre Sicherheit erfordert tiefe, kontinuierliche innere Sichtbarkeit und proaktive Verteidigungsstrategien.

Sie können es sich nicht mehr leisten, anzunehmen, dass Ihr Netzwerk isoliert ist. Indem Sie OT-Sicherheits Best Practices annehmen—Asset-Sichtbarkeit, Netzwerksegmentierung und robuste INSM—können Sie Ihre physischen Prozesse schützen, die regulatorische Compliance sicherstellen und Menschenleben schützen.

Warten Sie nicht auf einen internen Verstoß, um festzustellen, dass Ihr Air-Gap eine Illusion war. Bereit, Ihre ICS-Verteidigung zu modernisieren?

Weiterführende Lektüre

Ein herunterladbarer Bericht über den Stryker-Cybervorfall
IEC 62443-basierte OT/ICS-Risikoanalyse-Checkliste für den Lebensmittel- und Getränkeerzeugungssektor
Checkliste zur Bewertung und Auswahl von Anbietern von Wechseldatenträger-Scanlösungen

Wöchentlich erhalten

Ressourcen & Nachrichten

Dies könnte Ihnen auch gefallen.

Nova Scotia Power breach

From click to crisis: How Nova Scotia Power got breached

Team Shieldworkz

Handala iranischer Akteur der Bedrohung

Entpacken Sie Handalas Resilienz-Leitfaden

Prayukth K V

Zuordnung des NIST CSF 2.0 zu IEC 62443

Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit

Shieldworkz-Logo

Team Shieldworkz

IEC 62443-Kontrollen

Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden

Prayukth K V

Umsetzung der NIS2-Richtlinie

Bewältigung der Herausforderungen bei der Umsetzung von NIS2

Team Shieldworkz

Handala, Iran

Handala: Anatomie des destruktivsten Bedrohungsakteurs Irans

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern