Anzeige
Anzeige
Anzeige
Beitrag drucken

Bedrohung für Scada-Anlagen

Der Gefahr begegnen

Die Entwickler von Schadsoftware sind emsig: In jeder Stunde werden etwa 100 neue Schädlinge programmiert. Schlagzeilen machen vor allem Cyberangriffe auf Kraftwerke und Krankenhäuser. Dabei können Angriffe auf Industrieanlagen im Ernstfall ebenfalls ganz schnell die gesamte Gesellschaft betreffen.




Bild: Check Point Software Technologies GmbH

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland die mangelnde Kommunikation: „Über gezielte Angriffe wird insbesondere im industriellen Umfeld noch sehr viel zurückhaltender berichtet, als in der klassischen IT. Das BSI sichert in solchen Fällen ein maximales Maß an Vertraulichkeit zu, weshalb an dieser Stelle keine solchen Angriffe auf deutsche Unternehmen konkret genannt werden.“ Im Zuge der weltweiten Ransomware-Angriffe kam es in Deutschland zu besonders vielen Infektionen. Schlagzeilen machten vor allem Berichte über Behörden und Krankenhäuser, die Opfer von Verschlüsselungstrojanern wurden. Dabei waren Produktionsanlagen genauso im Fadenkreuz der Angreifer. Bekanntester Fall ist der Ransomware-Fund im Atomkraftwerk Gundremmingen. Dort gelangte der Schädling via USB-Stick auf die PC-Systeme. Die Entwicklung von entsprechender Malware ist heute relativ einfach und keine Branche ist vor Angriffen sicher. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner pro Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Das Beispiel Hybrid-Malware Zcrypt

Produktionsanlagen sind angreifbar, vielleicht sogar noch empfindlicher als andere Sektoren. Advanced Persistent Threats (APTs) sind hochentwickelte Schädlinge, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Bei ICS-Umgebungen werden beispielsweise APTs eingesetzt, um in das Operational Technology-Netzwerk (OT) einzudringen. Ein Beispiel um die Gefahr zu demonstrieren ist die Hybrid-Malware Zcrypt. Der Schädling versteckt sich auf USB-Geräten und befällt Zielsysteme nach dem ersten Einstecken des Devices. Dort kann er dann Dateien verschlüsseln. Dabei wirkt er als Virus und als Ransomware zugleich. Zcrypt befällt direkt seine Opfer nach dem Anschließen über eine ‘autorun.inf’-Datei. Dabei lädt es eine Datei namens ‘invoice.exe’ nach. Im Gegensatz zu anderer Ransomware verschlüsselt der Schädling nicht wahllos Dateien und löscht auch keine Schattenkopien, sondern scannt den Registry-Shell-Ordner.

Dort beobachtet er die Veränderungen im System und befällt gezielt veränderte oder neu hinzugefügte Dateien. Zusätzlich erstellt die Malware eine DLL-Bibliothek (Dynamic-Link Library) als Informationsspeicher. Diese wird in der Regel nicht von Virenscannern als schädlich oder Teil eines Angriffs erkannt. Die DLL-Dateien werden mit NSIS (Nullsoft Scriptable Install System) entpackt, dies ist an sich ebenfalls ein legitimer Prozess. Zcrypt nutzt dies, um eine komplizierte Befehlskette zu erzeugen. Ein solcher Execution Tree macht eine Nachverfolgung des Angriffes sehr schwierig. Die DLL-Bibliothek wird direkt nach dem Zugriff gelöscht und bei Bedarf neu erstellt. Der Vorgang lässt sich fortwährend wiederholen. Zusätzlich erstellt Zcrypt für jeden Zugriff eine Kopie von sich selbst, um bei einem Fehler immer noch ein Backup zu haben. Der Schädling überschreibt die Zieldateien doppelt. Zunächst werden Daten zerstört, dann verschlüsselt, um der Rettung durch Recovery Tools zuvorzukommen. Die Dateien werden dann weiterhin durch Zcrypt verwaltet und überwacht. Jede weitere erstellte Datei wird umgehend angegriffen. Das befallene Endgerät wird dadurch bis zur kompletten Entfernung des Schadcodes unbrauchbar. Jede Änderung im Dateisystem führt zu einer neuen Attacke.

Ein altes Muster

Das Angriffsmuster mit hybriden Schädlingen ist nicht neu, allerdings eignet sich Zcrypt durch den Einsatz von Ransomware und des Autorun-Befehls besonders gut für Scada-Anlagen. USB-Sticks oder andere mobile Endgeräte mit USB-Zugang werden regelmäßig und unbedarft an eigentlich geschlossene Netzwerke angeschlossen. Stuxnet wurde ebenfalls per USB-Stick übertragen. Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Updates, denn das stört den Produktionsablauf. Zwar ähneln Produktionsumgebungen immer stärker klassischen Büroumgebungen, die Anzahl der Sicherheitsmechanismen für Sicherheitsverantwortliche ist aber limitierter. Es gibt viele Scada-Protokolle, die nur mit entsprechenden Speziallösungen gesichert werden können. Gängige Protokolle sind beispielweise Modbus, IEC60870-5-104, DNP3. Einige dieser Protokolle sind eher bei Energieversorgern zu finden, während andere häufiger im industriellen Bereich vorkommen. Ein paar werden in beiden Umgebungen eingesetzt. Eine gute Quelle für weitere Information ist die Normreihe IEC62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen, sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umgesetzt werden kann.

Branche muss sich öffnen

Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Ansätzen werden. Eine generelle Sperrung von USB-Slots und ein generelles Software-Wartungsverbot von Maschinen kann keine Lösung sein. Technische Maßnahmen sollten zusammen mit strukturellen Anpassungen umgesetzt werden, um Compliance mit den relevanten Sicherheitsstandards zu sichern. Dazu gehören:

  • Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts.
  • Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung
  • Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs
  • Sicherung des Fernzugriffes auf das Steuerungsnetzwerk durch Multifaktorauthentifizierung

Es gibt bereits Lösungen für Applikationssteuerungen, die Scada-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. So werden granulare Sichtbarkeit und Logging von spezialisierten Protokollen ermöglicht. Mit Hilfe von dedizierten ICS-Signaturen in einem IDS/IPS-System können diese als ‘virtuelle Patches’ eingesetzt werden, um auch in Scada-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen. Dadurch kann die Sicherheit des Perimeters und der Schnittstellen gewährleistet werden. Port-Control erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und Scada-Geräten, sowie allen Endpunkten, die dazwischen liegen.


Das könnte Sie auch interessieren:

Lange organisierte Imes-Icore die Service-Prozesse mit Exceltabellen und selbstentwickelten Tools. Mit dem Unternehmenswachstum stieß dieser Ansatz an seine Grenze. Heute unterstützt ein Ticketsystem, die steigende Nachfrage nach Support zu bedienen.‣ weiterlesen

Wenn sich Kunden zum Kauf entscheiden, soll der Auftrag ohne Verzögerung und Rückfragen ausgelöst werden. Speziell für komplexe und variantenreiche Produkte setzt dies meist durchgängig digitale und automatisierte Angebots- und Auftragsprozesse voraus. Dabei gilt: Was per CPQ verkauft wird, muss ERP-seitig auch effizient produziert, geliefert und kaufmännisch abgewickelt werden. Ohne dieses Zusammenspiel geht es nicht.‣ weiterlesen

Digitale Werkzeuge für das Field Service Management helfen, den Erwartungen der Kunden gerecht zu werden. Virtueller und interaktiver Support mit etwa Augmented Reality-Technik könnte bald in vielen Firmen für noch bessere Ergebnisse sorgen. Zumal Service-Organisationen im Krisenjahr 2020 dazu gezwungen waren, etwaige Berührungsängste mit Technologie abzulegen.‣ weiterlesen

Unternehmen aus Deutschland, Österreich und der Schweiz verzeichnen im Gegensatz zu globalen Konkurrenz niedrigere Margen und schwächere Wachstumsraten, so eine Bain-Analyse. Dieser Rückstand sei jedoch aufholbar.‣ weiterlesen

Nach dem globalen Umsatzeinbruch um voraussichtlich 7 Prozent in diesem Jahr, wird für 2021 im Maschinenbau ein Umsatzwachstum von 6 Prozent prognostiziert.‣ weiterlesen

Mit dem Ziel, seine Präsenz in der DACH-Region weiter auszubauen hat das US-Unternehmen Aptean die Modula GmbH übernommen.‣ weiterlesen

Das IAB-Arbeitsmarktbarometer ist im November um 0,4 Punkte auf 100,5 Punkte gestiegen. Damit verbleibt der Frühindikator des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) im leicht positiven Bereich.‣ weiterlesen

Die nun veröffentlichte Normungsroadmap KI von DIN DKE sowie dem BMWi soll Handlungsempfehlungen für Standardisierung von künstliche Intelligenz geben. Die Roadmap ist online abrufbar.‣ weiterlesen

Produktkonfiguration ist für das österreichische Unternehmen Robotunits schon lange ein Thema. Als die selbstentwickelte Lösung für diese Aufgabe an ihre Grenze stieß, wurde die Configure Price Quote-Software von Acatec eingeführt. Das System sollte die Firma auf dem Weg zu ihrem ehrgeizigen Ziel unterstützen: Doppelter Umsatz in fünf Jahren.‣ weiterlesen

Unter der Leitung des Lehrstuhls Werkzeugmaschinen und Steuerungen an der TU Kaiserslautern (WSKL) startet das Projekt „5G – Einsatz in der Industrie“. Durch die Beteiligung der Lehrstühle Augmented Vision, Funkkommunikation und Navigation sowie der Technologie-Initiative SmartFactory-KL soll ein leistungsfähiges Netzwerk entstehen.‣ weiterlesen

Anlässlich des Digital-Gipfels der Bundesregierung präsentiert die Plattform Industrie 4.0 Anwendungen für eine nachhaltige Industrie 4.0. Anhand von Analysen haben die Plattform-Spezialisten dabei drei mögliche Entwicklungspfade identifiziert.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige