Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Bedrohung für Scada-Anlagen

Der Gefahr begegnen

Die Entwickler von Schadsoftware sind emsig: In jeder Stunde werden etwa 100 neue Schädlinge programmiert. Schlagzeilen machen vor allem Cyberangriffe auf Kraftwerke und Krankenhäuser. Dabei können Angriffe auf Industrieanlagen im Ernstfall ebenfalls ganz schnell die gesamte Gesellschaft betreffen.




Bild: Check Point Software Technologies GmbH

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland die mangelnde Kommunikation: „Über gezielte Angriffe wird insbesondere im industriellen Umfeld noch sehr viel zurückhaltender berichtet, als in der klassischen IT. Das BSI sichert in solchen Fällen ein maximales Maß an Vertraulichkeit zu, weshalb an dieser Stelle keine solchen Angriffe auf deutsche Unternehmen konkret genannt werden.“ Im Zuge der weltweiten Ransomware-Angriffe kam es in Deutschland zu besonders vielen Infektionen. Schlagzeilen machten vor allem Berichte über Behörden und Krankenhäuser, die Opfer von Verschlüsselungstrojanern wurden. Dabei waren Produktionsanlagen genauso im Fadenkreuz der Angreifer. Bekanntester Fall ist der Ransomware-Fund im Atomkraftwerk Gundremmingen. Dort gelangte der Schädling via USB-Stick auf die PC-Systeme. Die Entwicklung von entsprechender Malware ist heute relativ einfach und keine Branche ist vor Angriffen sicher. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner pro Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Das Beispiel Hybrid-Malware Zcrypt

Produktionsanlagen sind angreifbar, vielleicht sogar noch empfindlicher als andere Sektoren. Advanced Persistent Threats (APTs) sind hochentwickelte Schädlinge, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Bei ICS-Umgebungen werden beispielsweise APTs eingesetzt, um in das Operational Technology-Netzwerk (OT) einzudringen. Ein Beispiel um die Gefahr zu demonstrieren ist die Hybrid-Malware Zcrypt. Der Schädling versteckt sich auf USB-Geräten und befällt Zielsysteme nach dem ersten Einstecken des Devices. Dort kann er dann Dateien verschlüsseln. Dabei wirkt er als Virus und als Ransomware zugleich. Zcrypt befällt direkt seine Opfer nach dem Anschließen über eine ‘autorun.inf’-Datei. Dabei lädt es eine Datei namens ‘invoice.exe’ nach. Im Gegensatz zu anderer Ransomware verschlüsselt der Schädling nicht wahllos Dateien und löscht auch keine Schattenkopien, sondern scannt den Registry-Shell-Ordner.

Dort beobachtet er die Veränderungen im System und befällt gezielt veränderte oder neu hinzugefügte Dateien. Zusätzlich erstellt die Malware eine DLL-Bibliothek (Dynamic-Link Library) als Informationsspeicher. Diese wird in der Regel nicht von Virenscannern als schädlich oder Teil eines Angriffs erkannt. Die DLL-Dateien werden mit NSIS (Nullsoft Scriptable Install System) entpackt, dies ist an sich ebenfalls ein legitimer Prozess. Zcrypt nutzt dies, um eine komplizierte Befehlskette zu erzeugen. Ein solcher Execution Tree macht eine Nachverfolgung des Angriffes sehr schwierig. Die DLL-Bibliothek wird direkt nach dem Zugriff gelöscht und bei Bedarf neu erstellt. Der Vorgang lässt sich fortwährend wiederholen. Zusätzlich erstellt Zcrypt für jeden Zugriff eine Kopie von sich selbst, um bei einem Fehler immer noch ein Backup zu haben. Der Schädling überschreibt die Zieldateien doppelt. Zunächst werden Daten zerstört, dann verschlüsselt, um der Rettung durch Recovery Tools zuvorzukommen. Die Dateien werden dann weiterhin durch Zcrypt verwaltet und überwacht. Jede weitere erstellte Datei wird umgehend angegriffen. Das befallene Endgerät wird dadurch bis zur kompletten Entfernung des Schadcodes unbrauchbar. Jede Änderung im Dateisystem führt zu einer neuen Attacke.

Ein altes Muster

Das Angriffsmuster mit hybriden Schädlingen ist nicht neu, allerdings eignet sich Zcrypt durch den Einsatz von Ransomware und des Autorun-Befehls besonders gut für Scada-Anlagen. USB-Sticks oder andere mobile Endgeräte mit USB-Zugang werden regelmäßig und unbedarft an eigentlich geschlossene Netzwerke angeschlossen. Stuxnet wurde ebenfalls per USB-Stick übertragen. Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Updates, denn das stört den Produktionsablauf. Zwar ähneln Produktionsumgebungen immer stärker klassischen Büroumgebungen, die Anzahl der Sicherheitsmechanismen für Sicherheitsverantwortliche ist aber limitierter. Es gibt viele Scada-Protokolle, die nur mit entsprechenden Speziallösungen gesichert werden können. Gängige Protokolle sind beispielweise Modbus, IEC60870-5-104, DNP3. Einige dieser Protokolle sind eher bei Energieversorgern zu finden, während andere häufiger im industriellen Bereich vorkommen. Ein paar werden in beiden Umgebungen eingesetzt. Eine gute Quelle für weitere Information ist die Normreihe IEC62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen, sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umgesetzt werden kann.

Branche muss sich öffnen

Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Ansätzen werden. Eine generelle Sperrung von USB-Slots und ein generelles Software-Wartungsverbot von Maschinen kann keine Lösung sein. Technische Maßnahmen sollten zusammen mit strukturellen Anpassungen umgesetzt werden, um Compliance mit den relevanten Sicherheitsstandards zu sichern. Dazu gehören:

  • Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts.
  • Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung
  • Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs
  • Sicherung des Fernzugriffes auf das Steuerungsnetzwerk durch Multifaktorauthentifizierung

Es gibt bereits Lösungen für Applikationssteuerungen, die Scada-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. So werden granulare Sichtbarkeit und Logging von spezialisierten Protokollen ermöglicht. Mit Hilfe von dedizierten ICS-Signaturen in einem IDS/IPS-System können diese als ‘virtuelle Patches’ eingesetzt werden, um auch in Scada-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen. Dadurch kann die Sicherheit des Perimeters und der Schnittstellen gewährleistet werden. Port-Control erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und Scada-Geräten, sowie allen Endpunkten, die dazwischen liegen.


Das könnte Sie auch interessieren:

Lieferengpässe drücken die Stimmung der deutschen Wirtschaft. So gehen die Indexwerte von Industrie, Handel und Dienstleistungen im Oktober zurück. Lediglich aus dem Bauhauptgewerbe kommen positive Signale.‣ weiterlesen

Produktionsabläufe und Wartungsmodelle werden schon länger auf der Basis von Daten optimiert. Doch gut integrierte IIoT-Plattformen ermöglichen heute Prozesse, die zu deutlich besseren Ergebnissen und einer neuen Form der Zusammenarbeit führen können.‣ weiterlesen

Die EU soll bis 2050 klimaneutral werden – über den European Green Deal und eine Abgabe auf CO2-Emissionen. Fraunhofer-Forschende unterstützen Unternehmen bei der Reduktion ihrer Emissionen mittels Net-Zero-Technologien.‣ weiterlesen

Universal Robots (UR) baut sein Vertriebsnetz in Deutschland aus. Mit SCS Robotik, JDT Robotics, PTS Automation sowie der Somack sind vier neue Partner hinzugekommen.‣ weiterlesen

Im seinem neuen Lagebericht zur IT-Sicherheit in Deutschland fordert das Bundesamt für Sicherheit in der Informationstechnik der Cybersicherheit eine stärkere Bedeutung beizumessen. Die Gefährdungslage sei hoch, so Bundesinnenminister Horst Seehofer.‣ weiterlesen

In der Produktion lassen sich per Datenwissenschaft Muster erkennen, die etwa zum Ausfall von Anlagen führen oder Prognosen für einzelne Assets generieren. Nicht nur ausgebildete Datenwissenschaftler können solche Projekte umsetzen. Passende Software vorausgesetzt, können viele der eigenen Mitarbeiter wie Data Scientists arbeiten.‣ weiterlesen

Der 3D-Druck-Spezialist Materialise vergrößert seinen Bremer Standort und hat ein Metall-Kompetenzzentrum für 3D-Druck eröffnet, das künftig 120 Mitarbeitern Platz bieten soll.‣ weiterlesen

Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.‣ weiterlesen

Mit der Asset Tracking-Lösung Infsoft Lead Time Tracking können Anwender den Standort von verfolgten Objekten zu jeder Zeit nachverfolgen. Auf Basis der Positionsdaten können die Durchlaufzeiten erfasst und Prozesse evaluiert und optimiert werden.‣ weiterlesen

Christoph Stoica verantwortet als neuer Geschäftsführer zukünftig die Landesgesellschaften in Zentraleuropa von Sage. Er übernimmt das Amt zum 1. November.‣ weiterlesen

Auch Konstrukteure mussten in der Pandemie ihre Abläufe auf remote umstellen. Doch bei der Anlagenplanung stehen ihnen mehr Möglichkeiten zur Verfügung, als nur im Video-Anruf miteinander zu sprechen. Mit der Software Rooms können sie in einem virtuellen Abbild eines CAD-Modells umherlaufen, um Fehler auszuspüren und Änderungen anzustoßen. Mit diesem Ansatz konnte die SMS Group in einem Projekt 80.000€ sparen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige