ICS Security Audit

Was ist ein ICS Security Audit?

Ein ICS Security Audit ist eine strukturierte Sicherheitsüberprüfung industrieller Steuerungssysteme (Industrial Control Systems – ICS) mit dem Ziel, Schwachstellen in Prozessen, Netzwerken und Systemkomponenten aufzudecken, die kritische Infrastrukturen betreffen. Da ICS-Umgebungen häufig proprietäre Protokolle, veraltete Systeme und hohe Verfügbarkeitsanforderungen aufweisen, sind Standard-Sicherheitsanalysen oft nicht ausreichend. Das Audit analysiert die Integrität von SCADA-Systemen, PLCs, HMIs und der zugrunde liegenden Kommunikation, um physische und digitale Angriffsflächen zu minimieren.

Technischer Aufbau & Varianten

Untersuchungsbereiche:

• Netzwerkarchitektur & Segmentierung: Prüfung von Air Gaps, VLANs, Gateway-Strukturen

• Geräte- & Software-Analyse: Identifikation veralteter Betriebssysteme (z. B. Windows XP Embedded), ungepatchter Firmware oder unnötiger Dienste

• Protokollprüfung: Analyse auf Schwächen in ICS-spezifischen Protokollen wie Modbus, DNP3, OPC

• Zugriffskontrollen: Authentifizierung, Passwortsicherheit, physischer Zugang zu ICS-Komponenten

• Monitoring & Logging: Überwachungskonzepte mit IDS/NIDS, Log-Retention und forensischer Auswertbarkeit

Typische Prüfmethoden:

• Passive Netzwerk-Scans (kein Einfluss auf Produktivbetrieb)

• Asset-Discovery und Topologie-Mapping

• Traffic-Analyse und Deep Packet Inspection (DPI)

• Firmware-Extraktion und Reverse Engineering

• Physische Begehung & Sichtkontrolle der Standorte

Relevanz in der Praxis

ICS Security Audits sind essenziell für:

• Kritische Infrastrukturen: Energieversorgung, Wasserwerke, Produktion

• Vermeidung von Stillstand: Durch Erkennung von Single Points of Failure

• Abwehr gezielter Angriffe: Etwa durch staatlich unterstützte Gruppen (APT)

• Nachweis regulatorischer Konformität: z. B. IT-Sicherheitsgesetz, KRITIS-Verordnung

• Sensibilisierung von Betriebs- & IT-Personal hinsichtlich OT-Sicherheit

Standards & regulatorische Anforderungen

• IEC 62443: Industriestandard für OT-Sicherheit

• NIS-2: Verpflichtet Betreiber kritischer Infrastrukturen zu regelmäßigen Audits

• BSI ICS Security-Kompendium

• ISO/IEC 27019: Informationssicherheit für Energieversorger

• IT-Grundschutz-Bausteine OPS.1.3.A19 (ICS) & INF.11 (Fernwartung)

Verwandte Begriffe

• Network Segmentation

• Vulnerability Assessment

• Intrusion Detection System

• Risk Assessment

• Patch Management

• Incident Response Plan

Beispiel aus der Praxis

Bei einem Wasserwerk stellte ein ICS Security Audit fest, dass mehrere Steuerungen per Telnet ohne Authentifizierung erreichbar waren. Die Kommunikation zwischen Leitstand und Pumpensteuerung erfolgte unverschlüsselt. Ein Air Gap wurde durch eine fehlerhafte VPN-Konfiguration umgangen. Die empfohlene Maßnahme war der Austausch alter Steuerungen, Einrichtung segmentierter VLANs und Monitoring über ein spezialisiertes OT-NIDS.