Anzeige
Anzeige
Anzeige
Beitrag drucken

Bedrohung für Scada-Anlagen

Der Gefahr begegnen

Die Entwickler von Schadsoftware sind emsig: In jeder Stunde werden etwa 100 neue Schädlinge programmiert. Schlagzeilen machen vor allem Cyberangriffe auf Kraftwerke und Krankenhäuser. Dabei können Angriffe auf Industrieanlagen im Ernstfall ebenfalls ganz schnell die gesamte Gesellschaft betreffen.




Bild: Check Point Software Technologies GmbH

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland die mangelnde Kommunikation: „Über gezielte Angriffe wird insbesondere im industriellen Umfeld noch sehr viel zurückhaltender berichtet, als in der klassischen IT. Das BSI sichert in solchen Fällen ein maximales Maß an Vertraulichkeit zu, weshalb an dieser Stelle keine solchen Angriffe auf deutsche Unternehmen konkret genannt werden.“ Im Zuge der weltweiten Ransomware-Angriffe kam es in Deutschland zu besonders vielen Infektionen. Schlagzeilen machten vor allem Berichte über Behörden und Krankenhäuser, die Opfer von Verschlüsselungstrojanern wurden. Dabei waren Produktionsanlagen genauso im Fadenkreuz der Angreifer. Bekanntester Fall ist der Ransomware-Fund im Atomkraftwerk Gundremmingen. Dort gelangte der Schädling via USB-Stick auf die PC-Systeme. Die Entwicklung von entsprechender Malware ist heute relativ einfach und keine Branche ist vor Angriffen sicher. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner pro Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Das Beispiel Hybrid-Malware Zcrypt

Produktionsanlagen sind angreifbar, vielleicht sogar noch empfindlicher als andere Sektoren. Advanced Persistent Threats (APTs) sind hochentwickelte Schädlinge, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Bei ICS-Umgebungen werden beispielsweise APTs eingesetzt, um in das Operational Technology-Netzwerk (OT) einzudringen. Ein Beispiel um die Gefahr zu demonstrieren ist die Hybrid-Malware Zcrypt. Der Schädling versteckt sich auf USB-Geräten und befällt Zielsysteme nach dem ersten Einstecken des Devices. Dort kann er dann Dateien verschlüsseln. Dabei wirkt er als Virus und als Ransomware zugleich. Zcrypt befällt direkt seine Opfer nach dem Anschließen über eine ‘autorun.inf’-Datei. Dabei lädt es eine Datei namens ‘invoice.exe’ nach. Im Gegensatz zu anderer Ransomware verschlüsselt der Schädling nicht wahllos Dateien und löscht auch keine Schattenkopien, sondern scannt den Registry-Shell-Ordner.

Dort beobachtet er die Veränderungen im System und befällt gezielt veränderte oder neu hinzugefügte Dateien. Zusätzlich erstellt die Malware eine DLL-Bibliothek (Dynamic-Link Library) als Informationsspeicher. Diese wird in der Regel nicht von Virenscannern als schädlich oder Teil eines Angriffs erkannt. Die DLL-Dateien werden mit NSIS (Nullsoft Scriptable Install System) entpackt, dies ist an sich ebenfalls ein legitimer Prozess. Zcrypt nutzt dies, um eine komplizierte Befehlskette zu erzeugen. Ein solcher Execution Tree macht eine Nachverfolgung des Angriffes sehr schwierig. Die DLL-Bibliothek wird direkt nach dem Zugriff gelöscht und bei Bedarf neu erstellt. Der Vorgang lässt sich fortwährend wiederholen. Zusätzlich erstellt Zcrypt für jeden Zugriff eine Kopie von sich selbst, um bei einem Fehler immer noch ein Backup zu haben. Der Schädling überschreibt die Zieldateien doppelt. Zunächst werden Daten zerstört, dann verschlüsselt, um der Rettung durch Recovery Tools zuvorzukommen. Die Dateien werden dann weiterhin durch Zcrypt verwaltet und überwacht. Jede weitere erstellte Datei wird umgehend angegriffen. Das befallene Endgerät wird dadurch bis zur kompletten Entfernung des Schadcodes unbrauchbar. Jede Änderung im Dateisystem führt zu einer neuen Attacke.

Ein altes Muster

Das Angriffsmuster mit hybriden Schädlingen ist nicht neu, allerdings eignet sich Zcrypt durch den Einsatz von Ransomware und des Autorun-Befehls besonders gut für Scada-Anlagen. USB-Sticks oder andere mobile Endgeräte mit USB-Zugang werden regelmäßig und unbedarft an eigentlich geschlossene Netzwerke angeschlossen. Stuxnet wurde ebenfalls per USB-Stick übertragen. Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Updates, denn das stört den Produktionsablauf. Zwar ähneln Produktionsumgebungen immer stärker klassischen Büroumgebungen, die Anzahl der Sicherheitsmechanismen für Sicherheitsverantwortliche ist aber limitierter. Es gibt viele Scada-Protokolle, die nur mit entsprechenden Speziallösungen gesichert werden können. Gängige Protokolle sind beispielweise Modbus, IEC60870-5-104, DNP3. Einige dieser Protokolle sind eher bei Energieversorgern zu finden, während andere häufiger im industriellen Bereich vorkommen. Ein paar werden in beiden Umgebungen eingesetzt. Eine gute Quelle für weitere Information ist die Normreihe IEC62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen, sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umgesetzt werden kann.

Branche muss sich öffnen

Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Ansätzen werden. Eine generelle Sperrung von USB-Slots und ein generelles Software-Wartungsverbot von Maschinen kann keine Lösung sein. Technische Maßnahmen sollten zusammen mit strukturellen Anpassungen umgesetzt werden, um Compliance mit den relevanten Sicherheitsstandards zu sichern. Dazu gehören:

  • Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts.
  • Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung
  • Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs
  • Sicherung des Fernzugriffes auf das Steuerungsnetzwerk durch Multifaktorauthentifizierung

Es gibt bereits Lösungen für Applikationssteuerungen, die Scada-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. So werden granulare Sichtbarkeit und Logging von spezialisierten Protokollen ermöglicht. Mit Hilfe von dedizierten ICS-Signaturen in einem IDS/IPS-System können diese als ‘virtuelle Patches’ eingesetzt werden, um auch in Scada-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen. Dadurch kann die Sicherheit des Perimeters und der Schnittstellen gewährleistet werden. Port-Control erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und Scada-Geräten, sowie allen Endpunkten, die dazwischen liegen.


Das könnte Sie auch interessieren:

Siemens beendet das erste Halbjahr des laufenden Geschäftsjahres mit positiven Neuigkeiten. Umsatzerlöse und Gewinn legen kräftig zu.‣ weiterlesen

Insgesamt 8,2Mrd.€ hat der Maschinen- und Anlagenbau im Jahr 2019 für Forschung und Entwicklung ausgegeben. Auch in der Pandemie behalten F&E-Ausgaben einen hohen Stellenwert.‣ weiterlesen

Seit rund 100 Jahren steht die Automobilindustrie wie keine andere für die Fabrikarbeit am Fließband. Doch jetzt deutet sich eine Technologiewende an. Künftig könnten Fahrerlose Transportfahrzeuge Karosserien, Material und ganze Fahrzeuge durch die Fabrik bewegen. In mehreren Modellfabriken fahren die Automaten bereits durchs Werk.‣ weiterlesen

Immer mehr Anlagen sollen Betriebsdaten im IoT zur Bearbeitung bereitstellen. Mit dem Susietec-Portfolio will Kontron insbesondere den Aufbau von IoT-Lösungen für bestehende Anlagen unterstützen. Der Anbieter von IoT- und Embedded-Computing-Technologie rechnet für 2021 mit mehr als 50 Prozent Wachstum in diesem Geschäftsfeld.‣ weiterlesen

Im März haben die Bestellungen im Maschinen- und Anlagenbau im Vergleich zum Vorjahr deutlich zugelegt. Dabei kamen sowohl aus dem Aus- als auch aus dem Inland positive Signale.‣ weiterlesen

Vor wenigen Jahren galt MES-Software vielen noch als Spezialsoftware mit nur aufwendig erschließbarem Nutzen. Inzwischen ist sie fester Bestandteil der meisten prozessnahen IT-Architekturen in der Prozess- und gerade der Pharmaindustrie. Insbesondere wenn viele Systemfunktionen auf die Prozessführung nach ISA95 entfallen und chargenorientiert produziert wird.‣ weiterlesen

Automobilhersteller agieren bislang erfolgreich in ihren eher geschlossenen Wertschöpfungsketten. Sie verstehen den Markt als Nullsummenspiel. Unternehmen wie Apple haben vorgemacht, dass es auch anders geht: Von offenen Ökosystemen können alle profitieren. Wann öffnet sich die Automobilindustrie für diese Idee?‣ weiterlesen

Mit dem Wechsel von Kathleen Mitford zu Microsoft wird Catherine Kniker zur EVP (Executive Vice Presdient) und Chief Stategy Officer bei PTC ernannt.‣ weiterlesen

Gemeinsam mit CEO Peter Sorowka leitet Carsten Stiller seit 1. April das Softwareunternehmen Cybus. Er verantwortet die Bereiche Marketing und Vertrieb.‣ weiterlesen

Siemens Digital Industries bekommt einen neuen CTO. Dirk Didascalou soll zum 1. September neuer Technikchef werden.‣ weiterlesen

Die Wirtschaft blickt überwiegend optimistisch in die Zukunft: Knapp 40 Prozent der Unternehmen wollen laut der jüngsten Konjunkturumfrage des Instituts der deutschen Wirtschaft 2021 im Vergleich zu 2020 mehr produzieren.‣ weiterlesen

Anzeige
Anzeige
Anzeige