GICSP: Das neue Security-Zertifikat für industrielle Steuerungssysteme (ICS)
Zielgruppe für die GICSP-Zertifizierung sind IT-Sicherheitsexperten, die sich auf den Schutz industrieller Steuerungssysteme spezialisieren wollen.
Die Zertifizierung des SANS (SysAdmin, Networking and Security) Instituts zum Global Industrial Control System Professional (GICSP) gibt es seit November 2013. Ich nahm im März 2014 am entsprechenden SANS-Training teil und absolvierte den GICSP-Test im April 2014.
In diesem Artikel beschreibe ich, welche Inhalte die Zertifizierung umfasst, wie man sich auf die Prüfung vorbereiten kann und ob sich der Erwerb des Zertifikats für den Schutz industrieller Steuerungssysteme (ICS Industrial Control Systems) vor Cyberattacken für IT-Sicherheitsexperten lohnt.
GIAC (Global Information Assurance Certification), eine Tochtergesellschaft des SANS Instituts, ist eine Zertifizierungsstelle mit mehr als 25 praxisnahen, technischen Zertifizierungen im Bereich Informationssicherheit. GIAC hat seit seiner Gründung im Jahr 1999 mehr als 51.000 IT-Sicherheitsexperten zertifiziert. Das GIAC-Programm ist gemäß des Qualitätsstandards IEC / ISO / ANSI-17024 für Zertifizierungsstellen anerkannt.
In den letzten fünf Jahren ist die Besorgnis über die Sicherheit industrieller Steuerungssysteme (ICS) enorm gestiegen. Auslöser verstärkter Aktivitäten rund um die Sicherheit von industriellen Steuerungen war der Cyberangriff auf die iranische Urananreicherungsanlage in Natanz im Jahr 2010. Der Wurm Stuxnet manipulierte letztlich die Zentrifugen der Anlage. Seitdem ist auch das Bewusstsein für die Gefahren gestiegen, die Industrieanlagen, Strom- und Wasserversorgungssystemen, Zug- und Flugsicherung etc. durch Hackerangriffe drohen.
Es gibt nur sehr wenige Fachkräfte, die Erfahrungen und Kenntnisse im Bereich Cybersicherheit von industriellen Steuerungs-systemen haben.
In den letzten Jahren gab es daher viele Events rund um die Sicherheit industrieller Steuerungssysteme und viele Initiativen von staatlichen Stellen wie dem National Institute of Standards and Technology (NIST) in den USA oder dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zur ICS-Sicherheit (Industrial Control Systems), um neue und detailliertere Sicherheitsstandards für ICS zu etablieren.
Zusätzlich hat die International Society of Automation (ISA) gemeinsam mit der Internationalen Elektrotechnischen Kommission Normen für die Sicherheit industrieller Steuerungen veröffentlicht. Eine zentrale Sorge ist aber noch nicht behoben: Es gibt nicht viele qualifizierte und erfahrene Fachkräfte mit Know-how bei der Absicherung von industriellen Steuerungssystemen. Das GICSP-Zertifikat soll diese Lücke schließen.
Natürlich gibt es viele Experten mit Erfahrung und Zertifizierungen in IT-Sicherheit, aber es gibt nur sehr wenige Fachkräfte, die Erfahrungen und Kenntnisse im Bereich Cybersicherheit von industriellen Steuerungssystemen haben. Daher etablierte SANS gemeinsam mit GIAC die Zertifizierung zum GICSP (Global Industrial Control System Professional).
GIAC und ausgewählte Führungskräfte aus dem industriellen Umfeld gründeten daher unter Leitung von Mike Assante, SANS ICS Director und ehemaliger Chief Security Officer der North American Electric Corporation, ein Gremium von Fachexperten, um die Kenntnisse, Fertigkeiten und Fähigkeiten zu identifizieren, die ein erfolgreicher Sicherheits-Experte im Umfeld industrieller Steuerungssysteme benötigt.
Mit einer ersten Sitzung in Houston im Mai 2013 startete die Entwicklung des GICSP-Zertifikats. Zudem verschickte das Gremium einen ausführlichen Fragebogen an Betreiber wichtiger Infrastruktur-Einrichtungen, um die GICSP-Zertifizierung an konkrete berufliche Anforderungen auszurichten.
Laut SANS und GIAC beteiligten sich an der GICSP-Initiative wichtige US- und internationale Branchenexperten aus Energie-, Öl- und Gasversorgungsunternehmen, Energieberatungs-Unternehmen, Firmen mit Schwerpunkt industrielle Steuerungssysteme und Sicherheitsberater mit Erfahrung in ICS-Sicherheit. Übrigens betonte ein Mitglied des Gremiums, Vertreter einer global agierenden Ölgesellschaft, dass sein Unternehmen künftig für alle Mitarbeiter, die mit industriellen Steuerungssystemen arbeiten, eine GICSP-Zertifizierung voraussetzt.
Über das GICSP-Zertifikat
Teilnehmer müssen eine schriftliche, maximal dreistündige beaufsichtigte Prüfung mit 115 Multiple-Choice-Fragen durchlaufen, um die GICSP-Zertifizierung zu erhalten. Die Prüfung erfolgt auf einem Computer bei einer zertifizierten Prüfstelle; die Teilnehmer werden am Ende sofort über das Ergebnis informiert.
Der Test ist bestanden, wenn der Prüfling mindestens 69 Prozent der insgesamt möglichen Punkte erreicht. Während des Tests können die Teilnehmer in ihren Notizen nachschlagen, wenn sie Informationen benötigen (Open Book). Allerdings sind Quellen wie Notebooks und andere elektronische Geräte wie Tablets oder Smartphones verboten. Die Prüfung deckt 49 verschiedene Zertifizierungsziele und Ergebnisbereiche ab. Sie ist herstellerneutral, auf die Praxis fokussiert und umfasst Fragen sowohl aus dem betriebstechnischen als auch dem IT-Bereich.
Zur Vorbereitung auf die GICPS-Prüfung können die Kandidaten das SANS Training ICS410 - ICS/SCADA Security Essentials besuchen, das SANS weltweit mehrmals im Jahr anbietet.
Der Kurs ICS410 dauert fünf Tage und wird als Präsenzkurs durchgeführt. Der Lehrplan setzt sich wie folgt zusammen:
- Tag 1: ICS overview
- Tag 2: ICS attack surface
- Tag 3: Defending ICS servers and workstations
- Tag 4: Defending ICS networks and devices
- Tag 5: ICS governance and resources
Das Training besteht zu einem Großteil aus praktischen Übungen auf einem Laptop, den jeder Kandidat für den Kurs bereitstellt. Eine wichtige Grundlage des Kurses ist das Security Testing Framework for Utilities des Samurei-Projekts (SamuraiSTFU), einer Sammlung von kostenlosen Open-Source-Tools für den Test der Cybersicherheit von Steuerungssystemen.
Die SamuraiSTFU wird für viele der Übungen im Kurs verwendet und zeigt, in welchen Fällen diese Tools nützlich oder nicht angebracht sind, um industrielle Steuerungssysteme zu testen und Schwachstellen zu erkennen. Die Kosten für das Training liegen bei etwa 4.600 US-Dollar, die Teilnahmegebühr für den GICPS-Test beträgt 599 US-Dollar. Grundlagenkurse finden 2015 auch in Deutschland statt. Der Kurs ICS410 ICS/SCADA Security Essentials kostet hier beispielsweise rund 3500 Euro.
Seit Juli 2014 haben etwa 150 Personen die Zertifizierung zum GICSP erhalten. Die Liste der Absolventen ist für die Öffentlichkeit im Internet verfügbar. Die Zertifizierungen müssen alle vier Jahre erneuert werden. Weitere Informationen finden Sie hier.
Vorbereitung auf das GICSP-Zertifikat
Als zertifizierter GICSP kann ich Interessenten für dieses Zertifikat die Teilnahme am fünftägigen ICS410 Kurs sehr empfehlen. Er gibt den Teilnehmern ein Gefühl für die Tiefe und Breite des Zertifikats sowie die Chance, bestehende Wissenslücken zu schließen. Unmittelbar nach Abschluss des Trainings sollten sich die künftigen GICSPs folgendermaßen auf die Prüfung vorbereiten:
- Da die Teilnehmer während der Prüfung ihre Notizen einsehen dürfen, sollten diese lesbar und sehr gut aufbereitet sein.
- Das SANS selbst bietet einen eigenen GIAC Exam Preparation Guide sowie ein GIAC Certification Program Candidate-Handbuch an. Es gibt zudem eine ausgezeichnete FAQ-Liste der häufig gestellten Fragen auf der SANS-Website.
- Interessenten sollten einen Index ihrer gesamten Schulungsunterlagen zusammenstellen, um einen besseren Überblick zu erhalten. Für den ICS410 Kurs kann dieser Index beispielsweise ein bestimmtes Thema umfassen, den Tag, an dem das Thema behandelt wurde, und die Seitenzahlen der Kursmaterialien, die sich mit diesem Thema befassen. Abbildung 1 zeigt einen solchen Index.
Abbildung 1: Beispiel für einen selbst erstellten Index.
- Für Teilnehmer des ICS410 Trainings bietet das SANS zwei Praxistests als Teil der Registrierung. Auch Interessenten, die nicht am Training teilnehmen, können diese beiden Praxis-Tests beim SANS gegen eine Gebühr absolvieren. Diese Probe-Tests sind absolut empfehlenswert, da sie eventuell bestehende Wissenslücken aufzeigen. Der erste Test sollte etwa einen Monat vor dem offiziellen Prüftermin stattfinden, der zweite Test eine Woche vor dem Prüfungstermin. Der GICSP Certification Attempt kostet beispielweise rund 480 Euro.
- Die Teilnehmer sollten sich mit den Objekten der Zertifizierung vertraut machen und auf dem Notebook alle dazu gehörigen Referenzen, Erfahrungen und Quellen zusammenstellen, um effizienter zu lernen. Ein Beispiel: Für das Control-Objekt: Access Management - Access Control Models sollten sie alle Ressourcen für die zwingend erforderliche Zugangskontrolle (Mandatory Access Control MAC) oder benutzerbestimmte Zugriffskontrolle (Discretionary Access Control DAC) erfassen, um diesen Themenkomplex beantworten zu können. Hier können auch Wikipedia-Einträge zu MAC / DAC-Themen sowie Exzerpte aus klassischen Texten rund um Cybersecurity helfen.
- Sehr empfehlenswert ist auch das kostenlose Online-Tool Quizlet, das Flashkarten, Quizfragen und sogar eine Art „Lernspiele“ aus vorhandenen Inhalten erzeugt – das alles im Einklang mit den Themen und Inhalten der Zertifizierung.
Fazit
Die Zertifizierung zum Global Industrial Control System Professional (GICSP) von SANS und GIAC schließt die Lücke im Bereich Sicherheit von industriellen Steuerungssystemen. Dank umfangreicher und interessanter Inhalte erhalten IT-Sicherheitsexperten Know-how über Sicherheitsfragen in Fabriken, Raffinerien und anderen wichtigen Infrastruktur-Unternehmen. Für Fachkräfte, die sich auf die Sicherheit von industriellen Steuerungssystemen spezialisieren wollen, ist der Erwerb dieses Zertifikats obligatorisch.
Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!