Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Bedrohung für Scada-Anlagen

Der Gefahr begegnen

Die Entwickler von Schadsoftware sind emsig: In jeder Stunde werden etwa 100 neue Schädlinge programmiert. Schlagzeilen machen vor allem Cyberangriffe auf Kraftwerke und Krankenhäuser. Dabei können Angriffe auf Industrieanlagen im Ernstfall ebenfalls ganz schnell die gesamte Gesellschaft betreffen.




Bild: Check Point Software Technologies GmbH

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland die mangelnde Kommunikation: „Über gezielte Angriffe wird insbesondere im industriellen Umfeld noch sehr viel zurückhaltender berichtet, als in der klassischen IT. Das BSI sichert in solchen Fällen ein maximales Maß an Vertraulichkeit zu, weshalb an dieser Stelle keine solchen Angriffe auf deutsche Unternehmen konkret genannt werden.“ Im Zuge der weltweiten Ransomware-Angriffe kam es in Deutschland zu besonders vielen Infektionen. Schlagzeilen machten vor allem Berichte über Behörden und Krankenhäuser, die Opfer von Verschlüsselungstrojanern wurden. Dabei waren Produktionsanlagen genauso im Fadenkreuz der Angreifer. Bekanntester Fall ist der Ransomware-Fund im Atomkraftwerk Gundremmingen. Dort gelangte der Schädling via USB-Stick auf die PC-Systeme. Die Entwicklung von entsprechender Malware ist heute relativ einfach und keine Branche ist vor Angriffen sicher. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner pro Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Das Beispiel Hybrid-Malware Zcrypt

Produktionsanlagen sind angreifbar, vielleicht sogar noch empfindlicher als andere Sektoren. Advanced Persistent Threats (APTs) sind hochentwickelte Schädlinge, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Bei ICS-Umgebungen werden beispielsweise APTs eingesetzt, um in das Operational Technology-Netzwerk (OT) einzudringen. Ein Beispiel um die Gefahr zu demonstrieren ist die Hybrid-Malware Zcrypt. Der Schädling versteckt sich auf USB-Geräten und befällt Zielsysteme nach dem ersten Einstecken des Devices. Dort kann er dann Dateien verschlüsseln. Dabei wirkt er als Virus und als Ransomware zugleich. Zcrypt befällt direkt seine Opfer nach dem Anschließen über eine ‘autorun.inf’-Datei. Dabei lädt es eine Datei namens ‘invoice.exe’ nach. Im Gegensatz zu anderer Ransomware verschlüsselt der Schädling nicht wahllos Dateien und löscht auch keine Schattenkopien, sondern scannt den Registry-Shell-Ordner.

Dort beobachtet er die Veränderungen im System und befällt gezielt veränderte oder neu hinzugefügte Dateien. Zusätzlich erstellt die Malware eine DLL-Bibliothek (Dynamic-Link Library) als Informationsspeicher. Diese wird in der Regel nicht von Virenscannern als schädlich oder Teil eines Angriffs erkannt. Die DLL-Dateien werden mit NSIS (Nullsoft Scriptable Install System) entpackt, dies ist an sich ebenfalls ein legitimer Prozess. Zcrypt nutzt dies, um eine komplizierte Befehlskette zu erzeugen. Ein solcher Execution Tree macht eine Nachverfolgung des Angriffes sehr schwierig. Die DLL-Bibliothek wird direkt nach dem Zugriff gelöscht und bei Bedarf neu erstellt. Der Vorgang lässt sich fortwährend wiederholen. Zusätzlich erstellt Zcrypt für jeden Zugriff eine Kopie von sich selbst, um bei einem Fehler immer noch ein Backup zu haben. Der Schädling überschreibt die Zieldateien doppelt. Zunächst werden Daten zerstört, dann verschlüsselt, um der Rettung durch Recovery Tools zuvorzukommen. Die Dateien werden dann weiterhin durch Zcrypt verwaltet und überwacht. Jede weitere erstellte Datei wird umgehend angegriffen. Das befallene Endgerät wird dadurch bis zur kompletten Entfernung des Schadcodes unbrauchbar. Jede Änderung im Dateisystem führt zu einer neuen Attacke.

Ein altes Muster

Das Angriffsmuster mit hybriden Schädlingen ist nicht neu, allerdings eignet sich Zcrypt durch den Einsatz von Ransomware und des Autorun-Befehls besonders gut für Scada-Anlagen. USB-Sticks oder andere mobile Endgeräte mit USB-Zugang werden regelmäßig und unbedarft an eigentlich geschlossene Netzwerke angeschlossen. Stuxnet wurde ebenfalls per USB-Stick übertragen. Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Updates, denn das stört den Produktionsablauf. Zwar ähneln Produktionsumgebungen immer stärker klassischen Büroumgebungen, die Anzahl der Sicherheitsmechanismen für Sicherheitsverantwortliche ist aber limitierter. Es gibt viele Scada-Protokolle, die nur mit entsprechenden Speziallösungen gesichert werden können. Gängige Protokolle sind beispielweise Modbus, IEC60870-5-104, DNP3. Einige dieser Protokolle sind eher bei Energieversorgern zu finden, während andere häufiger im industriellen Bereich vorkommen. Ein paar werden in beiden Umgebungen eingesetzt. Eine gute Quelle für weitere Information ist die Normreihe IEC62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen, sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umgesetzt werden kann.

Branche muss sich öffnen

Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Ansätzen werden. Eine generelle Sperrung von USB-Slots und ein generelles Software-Wartungsverbot von Maschinen kann keine Lösung sein. Technische Maßnahmen sollten zusammen mit strukturellen Anpassungen umgesetzt werden, um Compliance mit den relevanten Sicherheitsstandards zu sichern. Dazu gehören:

  • Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts.
  • Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung
  • Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs
  • Sicherung des Fernzugriffes auf das Steuerungsnetzwerk durch Multifaktorauthentifizierung

Es gibt bereits Lösungen für Applikationssteuerungen, die Scada-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. So werden granulare Sichtbarkeit und Logging von spezialisierten Protokollen ermöglicht. Mit Hilfe von dedizierten ICS-Signaturen in einem IDS/IPS-System können diese als ‘virtuelle Patches’ eingesetzt werden, um auch in Scada-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen. Dadurch kann die Sicherheit des Perimeters und der Schnittstellen gewährleistet werden. Port-Control erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und Scada-Geräten, sowie allen Endpunkten, die dazwischen liegen.

google plus


Das könnte Sie auch interessieren:

Laut einer Umfrage des VDE waren 25 Prozent der VDE-Mitgliedsunternehmen und Hochschulen in jüngster Zeit von einem Cyberangriff betroffen. Weitere 40 Prozent können nicht mir Sicherheit sagen, ob sie Opfer einer Attacke wurden. Das BSI warnt indes vor einer neuen Bedrohung.‣ weiterlesen

Mobilfunktechnik hat sich in den letzten Jahren rasant entwickelt. Mehr Bandbreite und höhere Datenraten ist gefragt. Beim industriellen Fernwirken sind jedoch nach wie vor Modems und Router im Einsatz, die auf den 2G- oder 3G-Standard setzen. In absehbarer Zeit werden diese Kommunikationsnetze jedoch abgeschaltet.‣ weiterlesen

Bild: Easyfairs Deutschland GmbH

Die Maintenance Dortmund rückt näher. Am 20. und 21. Februar trifft sich die Branche bereits zum zehnten Mal in Dortmund. Besucher können sich über Produkte, Dienstleistungen und den Stand der Forschung informieren. ‣ weiterlesen

Auf der dritten FMB-Süd, die am 20. Februar in Augsburg startet, erwartet die Besucher das gesamte Spektrum der Zulieferindustrie für den Maschinenbau und die Produktion. Als Aussteller präsentieren sich sowohl Weltmarktführer als auch kleinere Unternehmen. ‣ weiterlesen

Anzeige
Anzeige
Anzeige