Integrität von Steuerungssystemen Warum Secure Boot, Firmware Schutz und Systemintegrität entscheidend sind
Wenn man über Cybersecurity in Industrial Control Systems spricht, denken viele zuerst an Netzwerke. Firewalls, VPN Zugänge, Segmentierung, Monitoring. Diese Maßnahmen sind wichtig. Aber sie schützen nur den Kommunikationspfad. Die eigentliche Steuerungslogik befindet sich in den Geräten selbst. In Steuerungen, Embedded Systemen, Edge Rechnern und Steuerungssoftware. Wenn diese Systeme manipuliert werden, hilft die beste Netzwerksegmentierung nur noch begrenzt.
Deshalb gehört Systemintegrität zu den zentralen Anforderungen moderner ICS Sicherheit. Genau hier setzt die IEC 62443-4-2 an. Sie beschreibt, welche Sicherheitsmechanismen Komponenten besitzen müssen, um Manipulationen erkennen oder verhindern zu können.
Der wichtigste Mechanismus in diesem Zusammenhang ist Secure Boot. Secure Boot bedeutet, dass ein Gerät beim Start überprüft, ob die Firmware unverändert und authentisch ist. Dazu wird die Firmware mit einer digitalen Signatur versehen. Beim Bootvorgang prüft das Gerät diese Signatur. Stimmen Signatur und Firmware nicht überein, wird das System nicht gestartet oder geht in einen sicheren Zustand. Warum ist das so wichtig?
Ohne Secure Boot kann ein Angreifer theoretisch manipulierte Firmware installieren. Diese könnte beispielsweise versteckte Funktionen enthalten, Daten verändern oder Sicherheitsmechanismen deaktivieren. Besonders kritisch ist das bei Steuerungen, weil sie oft über viele Jahre im Betrieb bleiben und selten vollständig ersetzt werden.
Ein weiteres Szenario ist der Austausch von Firmware während eines Wartungsvorgangs. Wenn Firmware Updates nicht signiert oder überprüft werden, kann ein kompromittierter Wartungslaptop manipulierte Software übertragen. Das System selbst hätte dann keine Möglichkeit zu erkennen, dass es verändert wurde. Secure Boot verhindert genau dieses Szenario.
Doch Secure Boot allein reicht nicht aus. Die Integrität eines Systems muss während des gesamten Betriebs gewährleistet werden. Moderne Steuerungen nutzen dafür verschiedene Mechanismen.
Ein Beispiel ist die Integritätsprüfung von Konfigurationsdateien. Steuerungssoftware enthält häufig Parameter, die Bewegungen, Geschwindigkeiten oder Sicherheitsabstände definieren. Werden diese Werte manipuliert, kann sich das Verhalten der Anlage erheblich verändern. Ein Integritätsmechanismus überprüft daher regelmäßig, ob diese Konfigurationsdaten unverändert sind.
Ein weiterer Mechanismus betrifft Firmware Updates. Updates sind notwendig, um Fehler zu beheben oder Sicherheitslücken zu schließen. Gleichzeitig stellen sie ein Risiko dar, wenn sie unkontrolliert erfolgen. In einer sicheren Architektur müssen Firmware Updates mindestens folgende Eigenschaften besitzen:
Digitale Signatur der Update Datei
Prüfung der Signatur durch das Gerät
Dokumentation des installierten Firmwarestands
Nachvollziehbarkeit des Updatevorgangs
Damit wird verhindert, dass unautorisierte Software in ein Steuerungssystem eingebracht wird. In der Praxis zeigt sich jedoch ein weiteres Problem. Viele industrielle Anlagen enthalten Legacy Systeme, die diese Sicherheitsmechanismen noch nicht unterstützen. Ältere Steuerungen besitzen weder Secure Boot noch signierte Firmware Updates. Das bedeutet nicht automatisch, dass diese Systeme unsicher sind. Aber sie müssen anders geschützt werden. Hier kommen kompensierende Maßnahmen ins Spiel. Wenn ein Gerät seine Integrität nicht selbst schützen kann, muss die Umgebung diesen Schutz übernehmen.
Typische Maßnahmen sind:
Strikte Netzwerksegmentierung
Keine direkte Verbindung zu externen Netzen
Zugriff nur über kontrollierte Wartungszugänge
Dokumentierte Firmwarestände
Erhöhtes Monitoring von Konfigurationsänderungen
Diese Maßnahmen ersetzen keine modernen Sicherheitsfunktionen, können aber das Risiko reduzieren.
Ein weiterer wichtiger Punkt ist die Verbindung zwischen Systemintegrität und Vulnerability Management. Wenn eine Schwachstelle bekannt wird, muss der Betreiber wissen, welche Firmwarestände in der Anlage aktiv sind. Ohne klare Dokumentation ist das kaum möglich. Deshalb gehört Firmware Transparenz auch zum Asset Management.
Ein Betreiber muss jederzeit beantworten können:
Welche Firmware läuft auf welcher Steuerung
Welche Version der Steuerungssoftware ist installiert
Wann wurde das letzte Update durchgeführt
Welche Komponenten sind nicht updatefähig
Diese Informationen sind nicht nur für den Betrieb wichtig, sondern auch für Audits und regulatorische Bewertungen.
Die Integrität eines Systems endet also nicht beim Bootvorgang. Sie ist ein kontinuierlicher Prozess aus technischer Kontrolle, Dokumentation und Betriebsdisziplin. Moderne Steuerungssysteme bieten dafür zunehmend integrierte Sicherheitsmechanismen. Doch auch hier gilt wieder eine Grundregel der industriellen Cybersecurity. Technologie allein reicht nicht aus.
Secure Boot, Firmware Signaturen und Integritätsprüfungen entfalten ihre Wirkung nur dann, wenn sie Teil einer übergeordneten Architektur sind. Diese Architektur muss berücksichtigen, welche Systeme modern sind, welche Legacy Komponenten enthalten und wie beide Welten gemeinsam geschützt werden.
Im nächsten Artikel betrachten wir deshalb einen weiteren zentralen Baustein der ICS Sicherheit. Asset Management und CMDB. Denn ohne vollständige Transparenz über Geräte, Firmware und Software lässt sich weder Integrität noch Sicherheit dauerhaft gewährleisten.
Weitere Artikel
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 10 – MQTT in ICS
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 8 – Diverse Architekturen normgerecht umsetzen
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 7 – OPC UA und MQTT
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 5 – Referenzarchitektur