Anzeige
Anzeige
Beitrag drucken

Neuen Bedrohungsszenarien begegnen

Mit den Angreifern Schritt halten

Mit jedem technischen Wandel in der Produktionshalle geht mittlerweile einher, dass sich weitere, bis dato in der Regel unbekannte, Gefährdungspotenziale ergeben. Im Fokus stehen dabei meist industrielle Steuerungsanlagen. Denn die Konfiguration der speicherprogrammierbaren Systeme enthält für den Produktionsbetrieb kritische Daten. Außerdem stellen die Steuerungsprogramme wertvolles Unternehmens-Know-how dar, auf das sich der gesamte Prozessablauf stützt. Das macht die Steuerungswelt zu einem interessanten Zielobjekt für kriminelle Angriffe.



Bild: Fotolia /alphaspirit

Eine Fokussierung der Angreifer auf Industrieanlagen ist für viele Unternehmen im produzierenden Bereich eine Krux. Denn zur Kommunikation innerhalb von Produktionsanlagen wird zumeist das auf Ethernet basierende Profinet eingesetzt. Bei den dafür genutzten Standards und Protokollen standen in der Entwicklungszeit vor über 30 Jahren die Anforderungen nach Verfügbarkeit und Performance im Vordergrund – nicht Sicherheitsmerkmale wie verschlüsselte Übertragungswege oder sichere Authentisierung. Infolgedessen sind heute diverse Angriffsszenarien auf industrielle Steuerungsanlagen ausführbar. Da weltweit eine hohe Anzahl entsprechender Geräte im Einsatz sind gilt es Lösungen zu finden, welche die Schwachstellen beherrschbar machen. Zum Schutz vor neuen Angriffsvektoren wäre – anstelle der Implementierung von Firewalls an kritischen Übergängen – eine Alternative, Systeme bzw. Netzwerke in der Produktion sowohl physisch als auch logisch zu trennen.

‘Air Gap’ soll fertigungsnahe Netzwerke absichern

Dieser Prozess – auch ‘Air Gap’ genannt – unterbindet eine automatische Übertragung der Nutzdaten. Trotzdem ist es möglich, diese weiterhin zwischen den Systemen oder Netzwerken zu übermitteln. Für den Übertragungsvorgang kommt in der Vielzahl der Fälle als Speichermedium ein USBStick zum Einsatz, der im Quellsystem beschrieben und dann im Zielsystem ausgelesen und verarbeitet werden kann. Trotz des gesteigerten Aufwandes bietet die so erzeugte Isolierung hinsichtlich der Erhöhung des Schutzniveaus beachtenswerte Vorteile: So kann etwa sichergestellt werden, dass die Datenübertragung kontrollierbar nur in eine Richtung stattfindet. Des Weiteren steht kein Rückkanal mehr für die Übertragung von Daten zur Verfügung. Dadurch lässt sich, sofern das Zielsystem keinen Anschluss an das Internet hat, bei einem nicht autorisierten Zugriff verhindern, dass beispielsweise ein − mittels Trojaner angestoßener Transfer − von vertraulichen Daten durchgeführt wird.

Keine Lösung bietet absoluten Schutz

Doch obwohl die Maßnahmen zur Erhöhung des Schutzniveaus immer dezidierter werden, kann es Angreifern auf verschiedenen Wegen sowie unter Einsatz von Schadsoftware weiterhin gelingen, in Steuerungsnetzwerke einzudringen. Inwieweit die Sicherheitsmaßnahmen teilweise mit den Angriffsmethoden korrelieren, lässt sich anhand des folgenden Szenarios illustrieren: Eine mangelnde Implementierung von Sicherheitsfeatures in der Produktion kann unter anderem auf der Annahme basieren, dass das gesamte System durch die Einführung eines ‘Air Gap’ absolut geschützt ist. Übersehen wird, dass daraus ein neues Problem resultiert. Denn als Grundvoraussetzung muss hierbei gegeben sein, dass es jederzeit möglich ist, Software trotz des Air Gap zu übertragen. Nur dann können die Mitarbeiter an den Anlagen problemlos den notwendigen Datentransfer vornehmen. Damit geht jedoch auch einher, dass USBPorts nicht generell gesperrt werden können. Somit bietet sich hier die Möglichkeit für einen Angriff über einen mit Schadsoftware infizierten USB-Stick.

Angriffsmethoden immer ausgefeilter

Gelegenheiten, einen solchen dem anvisierten Mitarbeiter ‘unterzuschieben’ gibt es mehr als genug, zum Beispiel in Form eines Werbegeschenks. Zudem zeigen Studien, dass Angestellte nach wie vor gefundene USB-Sticks ohne Prüfung verwenden. So kann ein unautorisierter Datenträger auch in einen Steuerungs-PC gelangen. Zudem werden die Methoden die zunehmend ausgefeilter: Der USB-Stick enthält beispielsweise nicht mehr nur eine Schadsoftware, sondern ein speziell angefertigtes Programm, das eine Tastatur simuliert. Die Anfertigung eines solchen Sticks lässt sich mit minimalem finanziellen und technischen Aufwand durchführen. Wird dieser Stick nun in den USB-Port eines Rechners gesteckt, simuliert das Programm den Start einer Tastatureingabe. Ist der Rechner nicht gesperrt, werden über rasend schnell ‘eingetippte’ Zeichensätze Befehle auf dem System ausgeführt. Unter anderem ist es so möglich, die Steuerungssoftware aufzurufen. Ebenfalls lässt sich darüber ein Auslesen, Verändern und Wiedereinspielen von Konfigurationen, sprich SPS-Rezepturen, bewerkstelligen.

‘Social Engineering’ betrifft auch die Produktion

Doch nicht nur das vollständige Vertrauen auf einzelne Schutzmechanismen stellt ein Problem dar. Auch das Gefährdungspotenzial von ‘Social Engineering’-Angriffen für die Produktion wird häufig verkannt. Hierbei versucht der Angreifer, etwa indem er sich als Wartungstechniker ausgibt, die Mitarbeiter vor Ort ‘auszutricksen’ um so in die Produktionssteuerung zu gelangen. Die Praxiserfahrung zeigt leider, dass dies in den vielen Fällen relativ problemlos funktioniert. Wie der Angreifer agieren kann, wenn er einmal in der Produktion ist zeigt folgendes Szenario: Da die Steuerungsnetzwerke auf Ethernet basieren, kann in das Netzwerk eine ‘Wanze’ eingebracht werden. Dieses Abhörgerät für funkgestützten Datenverkehr ist zum einen als Netzwerk-Bridge konfiguriert und gleichzeitig ein WLANRouter.

Die Nutzung lässt sich gewährleisten, indem die Reichweite mit einem batteriebetriebenen Repeatern erweitert wird. Dadurch ist es möglich, von einem Standort außerhalb des Unternehmensgeländes auf das dort installierte WLAN zuzugreifen und so den Netzwerkverkehr zu belauschen und zu manipulieren. Für den Fall, dass die Authentisierung und Verschlüsselung vollständig abgeschaltet ist, kann der Angreifer mittels seiner Software sogar die SPSen steuern. Eine Variante dieses Angriffes funktioniert ohne Nutzung eigener Software und erfolgt über eine klassische ‘Replay- Attacke’. Dabei werden Netzwerkpakete mitgeschnitten, analysiert, modifiziert und wieder eingespielt. Diese Kommandos werden dann vom System ausgeführt, obwohl sie nicht von der originären Steuerungssoftware kommen. Der Angriff ist weitaus aufwändiger, kann aber ebenfalls in vielen Anlagen funktionieren.

Zusammenspiel von Technik und Mitarbeiterschulung

Durch den Einsatz spezifischer Techniken, sowohl die Konfiguration der Software als auch die zugrunde liegende Hardware betreffend, ist es möglich, die Auswirkungen einer Vielzahl von Angriffen zu minimieren. Gegen die im ersten Szenario beschriebenen kriminellen Übergriffe können sich Unternehmen schützen, indem die Ports der Leitrechner generell für USB-Storage-Geräte gesperrt werden. Von diesem Verbot ausgenommen sein müssen logischerweise Bediengeräte wie USB-Mäuse oder -Tastaturen, da hierdurch ansonsten gewohnte Arbeitsläufe behindert würden. Für die Durchsetzung der Vorschriften lassen sich in Windows Gruppenrichtlinien (GPO) definieren, in denen unter anderem die Rechte der Nutzergruppen oder Eigenschaften für die Systeme festlegbar sind. Der Einsatz spezieller Endpoint-Security-Software kann die Sicherheit noch zusätzlich erhöhen. Die Anhebung des Sicherheitsniveaus im aufgezeigten Social Engineering-Szenario bedingt einen konzeptionellen Ansatz. Dabei gilt es im ersten Schritt die essentiellen Daten und Netzwerkkomponenten zu bestimmen, denn unter wirtschaftlichen und organisatorischen Aspekten ist es sinnvoll, nur für diese entsprechend umfangreiche Maßnahmen zur Absicherung einzusetzen.

In der Umsetzung müssen hierfür grundsätzlich alle vorhandenen Sicherheitsmerkmale verwendet werden, angefangen bei der Abänderung der Standard-Konfigurationen der Systeme und Passwörter bis hin zum Einsatz von Monitoring-Lösungen für den Soll-/Ist-Abgleich. Signaturbasierte Lösungen wie Antivirenschutz oder ‘Intrusion Detecion Systems’ und ‘Intrusion Prevention Systems’ (IDS/IPS) versprechen in der Abwehr der beschriebenen gezielten Angriffstechniken wenig Schutz. Doch an der Schnittstelle zur Technik sitzen Mitarbeiter, die, in erster Linie durch unbewusstes Fehlverhalten, auch wirksame Schutzmaßnahmen aushebeln können. Folglich sollte das Personal in Bezug auf aktuelle Sicherheitsfragen geschult werden. ‘Security Awareness‘, also das Bewusstsein der Mitarbeiter für Bedrohungen, ist schlecht quantifizierbar. Doch die Praxiserfahrung zeigt, dass sich nur durch regelmäßige Wissensvermittlung – am besten anhand von Schulungen inklusive der Demonstration von Angriffen – eine nachhaltige Wirkung erzielen lässt. Die anschließende Erfolgsmessung der Schulung sollte in der realen Umgebung erfolgen. Hierzu eignen sich simulierte Social Engineering-Angriffe, die in Abstimmung mit den Verantwortlichen durch beauftragte externe Sicherheitsexperten durchgeführt werden können.

Sicherheit als fortwährenden Prozess begreifen

Sicherheit muss als fortwährender Prozess verstanden werden. Aufgrund der sich ständig entwickelnden Angriffsszenarien bedarf es eines kontinuierlichen Soll-/Ist-Abgleiches und der Entwicklung eines angepassten Schutzkonzepts. Doch trotz allem besteht keinesfalls die Notwendigkeit vor den Gegebenheiten zu resignieren. Denn, obwohl die Zeiten momentan unsicher sind – noch ist nichts verloren, darin sind sich die Sicherheitsexperten einig.


Das könnte Sie auch interessieren:

Telefónica Tech erwirbt BE-terna und will damit seine Position als Technologie-Dienstleister stärken.‣ weiterlesen

Tim van Wasen tritt die Nachfolge von Stéphane Paté an und wird Geschäftsführer von Dell Technologies Deutschland.‣ weiterlesen

Überwachungssysteme, die vor Einbrüchen schützen sollen und sich per Smartphone-App steuern lassen, sollen die Nutzer in Sicherheit wiegen. Dass dieses Gefühl trügen kann, haben Studierende aus dem Studiengang Informatik an der Hochschule Emden/Leer im Rahmen eines Forschungsprojektes aufgedeckt.‣ weiterlesen

Das IT-Unternehmen Checkmarx hat das Tool Supply Chain Security vorgestellt. Das Programm zielt aber nicht auf die physische Lieferkette eines Produktionsunternehmens ab, sondern überwacht im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien.‣ weiterlesen

Unternehmen haben bezüglich der Digitalisierung ihrer Qualitätsprozesse heute mehr Möglichkeiten denn je. Beim Blick auf klassische Produktionsunternehmen und deren Systemlandschaften kommen ERP- und CRM-Systeme, MES-Software und CAQ-Lösungen zum Vorschein, die durch offene Schnittstellenkonzepte wie OpenAPI in Summe wesentlich mehr Integrationsmöglichkeiten als früher mitbringen.‣ weiterlesen

Mit der weltgrößten Spaltrohrmotorpumpe mit Explosionsschutz konnte Hermetic-Pumpen für Aufsehen sorgen. Um bei der Entwicklung und Fertigung der Spezialpumpen erforderliche Normen und Vorgaben möglichst effizient umzusetzen, setzt der Hersteller aus Gundelfingen auf ein Integriertes Managementsystem.‣ weiterlesen

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

In diesem Jahr findet die Intralogistikmesse Logimat wieder in Präsenz statt. Und laut Veranstalter bewegen sich die Buchungen wieder auf Vor-Pandemie-Niveau. 1.500 Aussteller werden vom 31. Mai bis zum 2. Juni in Stuttgart erwartet.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige