Anzeige
Anzeige
Beitrag drucken

Bedrohung für Scada-Anlagen

Der Gefahr begegnen

Die Entwickler von Schadsoftware sind emsig: In jeder Stunde werden etwa 100 neue Schädlinge programmiert. Schlagzeilen machen vor allem Cyberangriffe auf Kraftwerke und Krankenhäuser. Dabei können Angriffe auf Industrieanlagen im Ernstfall ebenfalls ganz schnell die gesamte Gesellschaft betreffen.




Bild: Check Point Software Technologies GmbH

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland die mangelnde Kommunikation: „Über gezielte Angriffe wird insbesondere im industriellen Umfeld noch sehr viel zurückhaltender berichtet, als in der klassischen IT. Das BSI sichert in solchen Fällen ein maximales Maß an Vertraulichkeit zu, weshalb an dieser Stelle keine solchen Angriffe auf deutsche Unternehmen konkret genannt werden.“ Im Zuge der weltweiten Ransomware-Angriffe kam es in Deutschland zu besonders vielen Infektionen. Schlagzeilen machten vor allem Berichte über Behörden und Krankenhäuser, die Opfer von Verschlüsselungstrojanern wurden. Dabei waren Produktionsanlagen genauso im Fadenkreuz der Angreifer. Bekanntester Fall ist der Ransomware-Fund im Atomkraftwerk Gundremmingen. Dort gelangte der Schädling via USB-Stick auf die PC-Systeme. Die Entwicklung von entsprechender Malware ist heute relativ einfach und keine Branche ist vor Angriffen sicher. Jede Stunde werden etwa 100 neue Schädlinge erstellt. Nur durch so eine Vielzahl werden extreme Infektionsraten wie mit Ransomware erst möglich: Zeitweise wurden 5.000 Rechner pro Stunde befallen. Ermöglicht wird dies durch Exploits-Kits, sie sind ein Hauptbestandteil der Malware-as-a-Service-Branche. Ihre Autoren vermieten sie an Cyberkriminelle, die sie für Angriffe auf arglose Nutzer einsetzen.

Das Beispiel Hybrid-Malware Zcrypt

Produktionsanlagen sind angreifbar, vielleicht sogar noch empfindlicher als andere Sektoren. Advanced Persistent Threats (APTs) sind hochentwickelte Schädlinge, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Bei ICS-Umgebungen werden beispielsweise APTs eingesetzt, um in das Operational Technology-Netzwerk (OT) einzudringen. Ein Beispiel um die Gefahr zu demonstrieren ist die Hybrid-Malware Zcrypt. Der Schädling versteckt sich auf USB-Geräten und befällt Zielsysteme nach dem ersten Einstecken des Devices. Dort kann er dann Dateien verschlüsseln. Dabei wirkt er als Virus und als Ransomware zugleich. Zcrypt befällt direkt seine Opfer nach dem Anschließen über eine ‘autorun.inf’-Datei. Dabei lädt es eine Datei namens ‘invoice.exe’ nach. Im Gegensatz zu anderer Ransomware verschlüsselt der Schädling nicht wahllos Dateien und löscht auch keine Schattenkopien, sondern scannt den Registry-Shell-Ordner.

Dort beobachtet er die Veränderungen im System und befällt gezielt veränderte oder neu hinzugefügte Dateien. Zusätzlich erstellt die Malware eine DLL-Bibliothek (Dynamic-Link Library) als Informationsspeicher. Diese wird in der Regel nicht von Virenscannern als schädlich oder Teil eines Angriffs erkannt. Die DLL-Dateien werden mit NSIS (Nullsoft Scriptable Install System) entpackt, dies ist an sich ebenfalls ein legitimer Prozess. Zcrypt nutzt dies, um eine komplizierte Befehlskette zu erzeugen. Ein solcher Execution Tree macht eine Nachverfolgung des Angriffes sehr schwierig. Die DLL-Bibliothek wird direkt nach dem Zugriff gelöscht und bei Bedarf neu erstellt. Der Vorgang lässt sich fortwährend wiederholen. Zusätzlich erstellt Zcrypt für jeden Zugriff eine Kopie von sich selbst, um bei einem Fehler immer noch ein Backup zu haben. Der Schädling überschreibt die Zieldateien doppelt. Zunächst werden Daten zerstört, dann verschlüsselt, um der Rettung durch Recovery Tools zuvorzukommen. Die Dateien werden dann weiterhin durch Zcrypt verwaltet und überwacht. Jede weitere erstellte Datei wird umgehend angegriffen. Das befallene Endgerät wird dadurch bis zur kompletten Entfernung des Schadcodes unbrauchbar. Jede Änderung im Dateisystem führt zu einer neuen Attacke.

Ein altes Muster

Das Angriffsmuster mit hybriden Schädlingen ist nicht neu, allerdings eignet sich Zcrypt durch den Einsatz von Ransomware und des Autorun-Befehls besonders gut für Scada-Anlagen. USB-Sticks oder andere mobile Endgeräte mit USB-Zugang werden regelmäßig und unbedarft an eigentlich geschlossene Netzwerke angeschlossen. Stuxnet wurde ebenfalls per USB-Stick übertragen. Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Updates, denn das stört den Produktionsablauf. Zwar ähneln Produktionsumgebungen immer stärker klassischen Büroumgebungen, die Anzahl der Sicherheitsmechanismen für Sicherheitsverantwortliche ist aber limitierter. Es gibt viele Scada-Protokolle, die nur mit entsprechenden Speziallösungen gesichert werden können. Gängige Protokolle sind beispielweise Modbus, IEC60870-5-104, DNP3. Einige dieser Protokolle sind eher bei Energieversorgern zu finden, während andere häufiger im industriellen Bereich vorkommen. Ein paar werden in beiden Umgebungen eingesetzt. Eine gute Quelle für weitere Information ist die Normreihe IEC62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen, sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umgesetzt werden kann.

Branche muss sich öffnen

Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Ansätzen werden. Eine generelle Sperrung von USB-Slots und ein generelles Software-Wartungsverbot von Maschinen kann keine Lösung sein. Technische Maßnahmen sollten zusammen mit strukturellen Anpassungen umgesetzt werden, um Compliance mit den relevanten Sicherheitsstandards zu sichern. Dazu gehören:

  • Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts.
  • Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung
  • Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs
  • Sicherung des Fernzugriffes auf das Steuerungsnetzwerk durch Multifaktorauthentifizierung

Es gibt bereits Lösungen für Applikationssteuerungen, die Scada-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. So werden granulare Sichtbarkeit und Logging von spezialisierten Protokollen ermöglicht. Mit Hilfe von dedizierten ICS-Signaturen in einem IDS/IPS-System können diese als ‘virtuelle Patches’ eingesetzt werden, um auch in Scada-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen. Dadurch kann die Sicherheit des Perimeters und der Schnittstellen gewährleistet werden. Port-Control erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und Scada-Geräten, sowie allen Endpunkten, die dazwischen liegen.


Das könnte Sie auch interessieren:

Verbraucher können Massenprodukte wie Schuhe und Autos längst nach individuellen Wünschen gestalten. Auch im Industriebereich erwarten Kunden immer individuellere Lösungen zum Preis von Serienprodukten - obwohl Komplexität und Kosten beim Hersteller steigen. Softwaregestützte Variantenkonfiguration adressiert diese Effekte.‣ weiterlesen

PSI Automotive & Industry hat Details zum neuen Release 9.4 des ERP-Systems Psipenta bekanntgegeben. Überarbeitet wurden demnach zum Beispiel die Unterstützung bei der Exportabwicklung, die Textverwaltung, die Standardberichte im Client sowie Mehrsprachenbelege.‣ weiterlesen

Viele Unternehmen rollen Funktionalität im IIoT als Microservice aus. Dazu erstellen IT-Teams kleine Software-Container, die oft mit Kubernetes verwaltet werden. Das könnte künftig häufiger mit Bare Metal Kubernetes erfolgen.‣ weiterlesen

Angesichts komplexer werdender Prozesse und dem Wunsch nach niedrigen Durchlaufzeiten parallelisieren Unternehmen Entwicklungsabäufe per virtuellen Inbetriebnahme.‣ weiterlesen

Wollen Hersteller mehrere Werke mit einer vergleichbaren MOM/MES-Infrastruktur versorgen, steigen die Projektrisiken deutlich. Klare Zielvorgaben, offene Kommunikation und ein Exzellenzzentrum helfen, die Risiken zu bewältigen - und instanziierbare MOM-Templates zu entwickeln, die trotzdem individuelle Anforderungen berücksichtigen.‣ weiterlesen

Die Stimmung in den Unternehmen hat sich im Mai etwas aufgehellt. Der Ifo-Geschäftsklimaindex stieg auf 93 Punkte. Trotz Inflationssorgen, Materialengpässen und Ukraine-Krieg erweise sich die deutsche Wirtschaft als robust, so Ifo-Präsident Clemens Fuest.‣ weiterlesen

Aptean DACH hat zwei neue Partner im Boot: den KI-Spezialisten Prodaso sowie das IT-Systemhaus Acomm.‣ weiterlesen

Im Gegensatz zur klassischen Produktions-IT bieten Cloud-Systeme höhere Rechen- und Speicherkapazitäten. Für Anwendungen mit deterministischen Anforderungen gelten diese Infrastrukturen aber als ungeeignet. Dabei können viele Hürden mit der richtigen Konfiguration und der Nutzung von TSN überwunden werden.‣ weiterlesen

Mit einem neuen Starter-Paket will Product Lifecycle Management (PLM)-Spezialist ECS die Integration von Siemens Teamcenter und ERP-Software von SAP besser unterstützen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige