Industrie 4.0, aber sicher

Unterschiedlichste Einfallstore

Es reichen also wenige Millisekunden an Verbindungszeit, um Hackern und Cyberkriminellen Tür und Tor zu Industrieanlagen zu öffnen. Somit wird das Netzwerk quasi zum Haupteingang. Dies sieht auch Udo Schneider, Security Evangelist bei Trend Micro, so: «Abgesehen von physischen Angriffen, die einen direkten Zugriff auf das Gerät erfordern, ist die Netzwerkanbindung der Geräte das Haupteinfallstor.» Allerdings sei dabei zwischen verschiedenen Geräten zu unterscheiden. Obwohl oft von Angriffen direkt auf industrielle Steuerungen, sogenannte speicherprogrammierbare Steuerungen (SPS, englisch: Programmable Logic Controller, PLC), gesprochen werde, seien diese Angriffe eher selten und in den wenigsten Fällen erfolgreich, berichtet Schneider.
«Dies ist unter anderem darauf zurückzuführen, dass das Wissen um solche Geräte fernab des normalen IT-Wissens ist und in vielen Fällen auch von der IT unabhängige Safety-Mechanismen greifen», führt er aus. Anders sehe es dagegen bei den nachgelagerten User-Interface-, Steuerungs- und Prozesssystemen aus. «Bei diesen handelt es sich häufig um Standard-Systeme mit Standard-Software und Betriebssystemen einschliesslich aller Lücken und Verwundbarkeiten, die aufgrund der fehlenden Updates ausgenutzt werden können», beschreibt er die Situation. Kurzum: Angriffe erfolgen nicht in erster Linie über die Steuerungs-Software der Anlage selbst, sondern eher über den angeschlossenen Windows-PC des Operateurs.
“Die OT-Systeme an sich und das darunter liegende Betriebssystem werden selten bis nie aktualisiert„
Thomas Uhlemann, Eset
Das bedeutet jedoch nicht, dass die Betreiber das Patchmanagement in den OT-Infrastrukturen selbst unterlassen sollten. Allerdings liegt hierin ein weiteres Problem, wie Thomas Uhlemann, Security Specialist bei Eset, betont. «Die Systeme an sich, also Scada, WinCC und das darunter liegende Betriebssystem werden selten bis nie aktualisiert, sodass eventuell bekannte Lücken oft jahrelang ungeschlossen bleiben», sagt er und ergänzt, dass dies auch dann gelte, wenn Patches zur Verfügung stünden. Darüber hinaus wird seiner Meinung nach der Malware-Schutz vernachlässigt. Zusammen mit der mangelnden Aktualisierung der Systeme und Software sind dies gern genutzte Einfallstore. «So sind in der jüngeren Vergangenheit verschiedene Attacken bekannt geworden wie etwa ‹Duqu›, ‹Flame›, ‹Gauss› und einige andere, die sich genau solche Schwachstellen zunutze machen», argumentiert Uhlemann.
Die erwähnten Löcher sind zudem relativ häufig und ständig kommen neue hinzu, wie Walter Jäger, Country Manager Austria & Switzerland bei Kaspersky, zu berichten weiss. «Unser ‹Kaspersky Industrial Control Systems Cyber Emergency Response Team› (Kaspersky ICS Cert) findet jährlich mehr als 60 neue Schwachstellen in IIoT-Komponenten und industriellen Steuerungssystemen», meint er. Ein Fakt, der offenbar noch nicht allzu bekannt ist. «Industrieunternehmen müssen wissen, wenn sich in ihrem ICS-Netzwerk Sicherheitslücken befinden, und in der Lage sein, Angriffe auf Schwachstellen zu erkennen und zu vermeiden», meint Jäger und folgert daraus, dass kritische Infrastrukturen – wie jedes herkömmliche Computersystem auch – entsprechend geschützt werden müssten.
“Wir finden jährlich mehr als 60 neue Schwachstellen in IIoT-Komponenten und industriellen Steuerungssystemen„
Walter Jäger, Kaspersky
Eines der Probleme bei der Absicherung von OT-Systemen ist offenbar das schlechte, wenn nicht komplett ausbleibende Patchmanagement der Betreiber. Dabei kann es vorkommen, dass eine Lücke in IT-Systemen längst gestopft wurde, während sie in OT-Einrichtungen weiterhin klafft. Von einem solchen Beispiel berichtet Trend Micros Udo Schneider. «Eines der Paradebeispiele ist inzwischen sicherlich die WannaCrySicherheitslücke ‹EternalBlue›»,führt er an. Diese nutze eine Lücke in der Version 1 von Server Message Block (SMB) aus, das unter anderem die Grundlage von Filesharing für Windows-Umgebungen bilde.
«Während in ‹modernen› Umgebungen längst Version 2 von SMB Standard ist und dort die erste Version unter anderem aufgrund von WannaCry nicht mehr genutzt wird, ist SMB v1 in industriellen Umgebungen zum Austausch von Daten immer noch weitverbreitet», weiss Schneider. Nicht ohne Grund, denn eine Vielzahl der industriellen Geräte sei gar nicht in der Lage, SMB v2 zu nutzen, da die installierte Software aufgrund ihres Alters dazu schlichtweg nicht in der Lage sei, doppelt er nach. Folglich werde weiterhin SMB v1 genutzt. «Damit sind und bleiben diese Umgebungen aber auch für EternalBlue bzw. WannaCry anfällig», meint Schneider.
“EternalBlue respektive WannaCry bleiben gefährlich„
Udo Schneider, Trend Micro

Immenses Schadenspotenzial

Werden industrielle Systeme angegriffen, sind unterschiedliche Schadensszenarien möglich. Neben der klassischen Industriespionage sind diverse Sabotagemöglichkeiten gegeben, die mit oder ohne erpresserische Absichten ausgeführt werden. In jedem Fall ist das Schadenspotenzial gross und vielfältig, besonders – aber nicht nur – in kritischen Infrastrukturen. «Störungen in OT-Systemen können kritische Infrastrukturbereiche gefährden oder zumindest zu Störungen in der Produktion, Minderung der Qualität, im Herbeiführen von physischen Schäden an Anlagen – bis hin zum Ausfall – führen», berichtet InfoGuards Limacher. Aber nicht nur das: Eine Kompromittierung der OT könne gegebenenfalls direkt die Sicherheit von Mitarbeitenden oder Kunden gefährden, fügt er an. «Würden Hacker zum Beispiel ein OT-Gerät manipulieren, das ein Temperatursteuerungssystem in einer chemischen Anlage überwacht, könnte das bedrohliche Konsequenzen haben», gibt Limacher zu bedenken.

Fortinets Alain Sanchez beschreibt in diesem Zusammenhang zwei Möglichkeiten der Sabotage, die aus einem Angriff auf OT-Systeme resultieren könnten. Da die Informationen innerhalb einer Anlage meist in Form von unverschlüsseltem Text ausgetauscht würden, hätten Angreifer relativ einfaches Spiel. «Als Hacker kann ich nun recht einfach – um bei unserem Beispiel des Molkereibetriebs zu bleiben – dem Tank eine falsche Information zusenden, etwa dass die Abfüllanlage mehr Verarbeitungskapazität hat, als dies in Wahrheit der Fall ist», berichtet er. Werde aus dem Tank mehr Milch geliefert, komme die Abfüllanlage mit der Menge nicht mehr klar. «In der Folge läuft der Rohstoff über und die Anlage wird spätestens hier gestoppt», führt Sanchez weiter aus. «Sabotage ist also recht einfach möglich», lautet daher sein Fazit.
“Sabotage ist recht einfach möglich„
Alain Sanchez, Fortinet
Allerdings ist der Schaden hier offensichtlich und kann durch Gegenmassnahmen der Betreiber in nützlicher Frist behoben werden, wenn auch grosser materieller Schaden entsteht. Es gibt daneben aber noch viel subtilere Sabotageformen, die vom betroffenen Unternehmen, wenn überhaupt, erst sehr spät oder zu spät bemerkt wird. Auch hier weiss Sanchez ein anschauliches Beispiel zu nennen, und zwar aus dem Bereich des Triebwerkbaus für Flugzeuge. Dort sei die Anordnung der einzelnen Schaufelblätter im Innern einer Turbine sehr heikel, kleine Abweichungen könnten zu Explosionen führen, gibt er zu bedenken. «Ein Hacker könnte nun in den Herstellungsprozess eindringen und die Form der einzelnen Schaufelblätter minim verändern», berichtet Sanchez. Diese Veränderung sei so gering, dass sie niemandem auffalle. «Werden diese Turbinen dann in Flugzeuge eingebaut, müssen diese öfters repariert werden», so Sanchez weiter. In der Folge sinke der Ruf des Produzenten als verlässlicher Hersteller. «Das geschieht sehr viel später und der eigentliche Grund kann kaum noch nachvollzogen werden», gibt Sanchez zu bedenken.
Ob offensichtliche oder subtile Sabotage: Es gab zahlreiche Vorfälle in den letzten Jahren, die das Gefährdungspotenzial durch die Attacke von OT-Systemen unter Beweis gestellt haben. Neben den recht bekannten und gut dokumentierten Fällen wie Stuxnet und Industroyer (vgl. Text  zu Stuxnet und Industroyer am Schluss dieses Artikels) werden immer wieder auch Fälle in der Schweiz bekannt. Vor allem «geglückte» Ransomware-Attacken auf Spitäler und Altersheime kommen des Öftern ans Tageslicht.
Auch InfoGuards Limacher berichtet von einem «Fall aus dem Gesundheitswesen». Dabei war ihm zufolge ein neues Medizinalgerät mit einer Malware versehen, die sich bei der Installation auf alle Endpunkte verteilt hatte. «Die Malware war aber noch nicht ‹scharf›, wodurch weder Daten verschlüsselt noch weitere Aktionen ausgeführt wurden. Dadurch konnten wir diese rechtzeitig entfernen und weitere Massnahmen einleiten», berichtet Limacher und verweist darauf, dass er aus Vertraulichkeits- und Sicherheitsgründen keine weiteren Details zu diesem Vorfall bekannt geben könne.
Sehr häufig werden Betriebe mit präparierten Mails attackiert. «Bei vielen in den letzten Jahren bekannt gewordenen Angriffen dienten Spear-Phishing-Attacken und Spam als Einstieg in das Unternehmen», weiss Limacher zu berichten. Auf diese Weise werde eine Art «Brückenkopf» auf einem Rechner im Unternehmen errichtet. «Von diesem wird das Netzwerk dann ausgekundschaftet und weitere Systeme infiziert», beschreibt er den Ablauf.


Das könnte Sie auch interessieren