Mit jedem technischen Wandel in der Produktionshalle geht mittlerweile einher, dass sich weitere, bis dato in der Regel unbekannte, Gefährdungspotenziale ergeben. Im Fokus stehen dabei meist industrielle Steuerungsanlagen. Denn die Konfiguration der speicherprogrammierbaren Systeme enthält für den Produktionsbetrieb kritische Daten. Außerdem stellen die Steuerungsprogramme wertvolles Unternehmens-Know-how dar, auf das sich der gesamte Prozessablauf stützt. Das macht die Steuerungswelt zu einem interessanten Zielobjekt für kriminelle Angriffe.

Bild: Fotolia /alphaspirit

Eine Fokussierung der Angreifer auf Industrieanlagen ist für viele Unternehmen im produzierenden Bereich eine Krux. Denn zur Kommunikation innerhalb von Produktionsanlagen wird zumeist das auf Ethernet basierende Profinet eingesetzt. Bei den dafür genutzten Standards und Protokollen standen in der Entwicklungszeit vor über 30 Jahren die Anforderungen nach Verfügbarkeit und Performance im Vordergrund – nicht Sicherheitsmerkmale wie verschlüsselte Übertragungswege oder sichere Authentisierung. Infolgedessen sind heute diverse Angriffsszenarien auf industrielle Steuerungsanlagen ausführbar. Da weltweit eine hohe Anzahl entsprechender Geräte im Einsatz sind gilt es Lösungen zu finden, welche die Schwachstellen beherrschbar machen. Zum Schutz vor neuen Angriffsvektoren wäre – anstelle der Implementierung von Firewalls an kritischen Übergängen – eine Alternative, Systeme bzw. Netzwerke in der Produktion sowohl physisch als auch logisch zu trennen.

‘Air Gap’ soll fertigungsnahe Netzwerke absichern

Dieser Prozess – auch ‘Air Gap’ genannt – unterbindet eine automatische Ãœbertragung der Nutzdaten. Trotzdem ist es möglich, diese weiterhin zwischen den Systemen oder Netzwerken zu übermitteln. Für den Ãœbertragungsvorgang kommt in der Vielzahl der Fälle als Speichermedium ein USBStick zum Einsatz, der im Quellsystem beschrieben und dann im Zielsystem ausgelesen und verarbeitet werden kann. Trotz des gesteigerten Aufwandes bietet die so erzeugte Isolierung hinsichtlich der Erhöhung des Schutzniveaus beachtenswerte Vorteile: So kann etwa sichergestellt werden, dass die Datenübertragung kontrollierbar nur in eine Richtung stattfindet. Des Weiteren steht kein Rückkanal mehr für die Ãœbertragung von Daten zur Verfügung. Dadurch lässt sich, sofern das Zielsystem keinen Anschluss an das Internet hat, bei einem nicht autorisierten Zugriff verhindern, dass beispielsweise ein − mittels Trojaner angestoßener Transfer − von vertraulichen Daten durchgeführt wird.

Keine Lösung bietet absoluten Schutz

Doch obwohl die Maßnahmen zur Erhöhung des Schutzniveaus immer dezidierter werden, kann es Angreifern auf verschiedenen Wegen sowie unter Einsatz von Schadsoftware weiterhin gelingen, in Steuerungsnetzwerke einzudringen. Inwieweit die Sicherheitsmaßnahmen teilweise mit den Angriffsmethoden korrelieren, lässt sich anhand des folgenden Szenarios illustrieren: Eine mangelnde Implementierung von Sicherheitsfeatures in der Produktion kann unter anderem auf der Annahme basieren, dass das gesamte System durch die Einführung eines ‘Air Gap’ absolut geschützt ist. Übersehen wird, dass daraus ein neues Problem resultiert. Denn als Grundvoraussetzung muss hierbei gegeben sein, dass es jederzeit möglich ist, Software trotz des Air Gap zu übertragen. Nur dann können die Mitarbeiter an den Anlagen problemlos den notwendigen Datentransfer vornehmen. Damit geht jedoch auch einher, dass USBPorts nicht generell gesperrt werden können. Somit bietet sich hier die Möglichkeit für einen Angriff über einen mit Schadsoftware infizierten USB-Stick.

Angriffsmethoden immer ausgefeilter

Gelegenheiten, einen solchen dem anvisierten Mitarbeiter ‘unterzuschieben’ gibt es mehr als genug, zum Beispiel in Form eines Werbegeschenks. Zudem zeigen Studien, dass Angestellte nach wie vor gefundene USB-Sticks ohne Prüfung verwenden. So kann ein unautorisierter Datenträger auch in einen Steuerungs-PC gelangen. Zudem werden die Methoden die zunehmend ausgefeilter: Der USB-Stick enthält beispielsweise nicht mehr nur eine Schadsoftware, sondern ein speziell angefertigtes Programm, das eine Tastatur simuliert. Die Anfertigung eines solchen Sticks lässt sich mit minimalem finanziellen und technischen Aufwand durchführen. Wird dieser Stick nun in den USB-Port eines Rechners gesteckt, simuliert das Programm den Start einer Tastatureingabe. Ist der Rechner nicht gesperrt, werden über rasend schnell ‘eingetippte’ Zeichensätze Befehle auf dem System ausgeführt. Unter anderem ist es so möglich, die Steuerungssoftware aufzurufen. Ebenfalls lässt sich darüber ein Auslesen, Verändern und Wiedereinspielen von Konfigurationen, sprich SPS-Rezepturen, bewerkstelligen.

‘Social Engineering’ betrifft auch die Produktion

Doch nicht nur das vollständige Vertrauen auf einzelne Schutzmechanismen stellt ein Problem dar. Auch das Gefährdungspotenzial von ‘Social Engineering’-Angriffen für die Produktion wird häufig verkannt. Hierbei versucht der Angreifer, etwa indem er sich als Wartungstechniker ausgibt, die Mitarbeiter vor Ort ‘auszutricksen’ um so in die Produktionssteuerung zu gelangen. Die Praxiserfahrung zeigt leider, dass dies in den vielen Fällen relativ problemlos funktioniert. Wie der Angreifer agieren kann, wenn er einmal in der Produktion ist zeigt folgendes Szenario: Da die Steuerungsnetzwerke auf Ethernet basieren, kann in das Netzwerk eine ‘Wanze’ eingebracht werden. Dieses Abhörgerät für funkgestützten Datenverkehr ist zum einen als Netzwerk-Bridge konfiguriert und gleichzeitig ein WLANRouter.

Die Nutzung lässt sich gewährleisten, indem die Reichweite mit einem batteriebetriebenen Repeatern erweitert wird. Dadurch ist es möglich, von einem Standort außerhalb des Unternehmensgeländes auf das dort installierte WLAN zuzugreifen und so den Netzwerkverkehr zu belauschen und zu manipulieren. Für den Fall, dass die Authentisierung und Verschlüsselung vollständig abgeschaltet ist, kann der Angreifer mittels seiner Software sogar die SPSen steuern. Eine Variante dieses Angriffes funktioniert ohne Nutzung eigener Software und erfolgt über eine klassische ‘Replay- Attacke’. Dabei werden Netzwerkpakete mitgeschnitten, analysiert, modifiziert und wieder eingespielt. Diese Kommandos werden dann vom System ausgeführt, obwohl sie nicht von der originären Steuerungssoftware kommen. Der Angriff ist weitaus aufwändiger, kann aber ebenfalls in vielen Anlagen funktionieren.

Zusammenspiel von Technik und Mitarbeiterschulung

Durch den Einsatz spezifischer Techniken, sowohl die Konfiguration der Software als auch die zugrunde liegende Hardware betreffend, ist es möglich, die Auswirkungen einer Vielzahl von Angriffen zu minimieren. Gegen die im ersten Szenario beschriebenen kriminellen Übergriffe können sich Unternehmen schützen, indem die Ports der Leitrechner generell für USB-Storage-Geräte gesperrt werden. Von diesem Verbot ausgenommen sein müssen logischerweise Bediengeräte wie USB-Mäuse oder -Tastaturen, da hierdurch ansonsten gewohnte Arbeitsläufe behindert würden. Für die Durchsetzung der Vorschriften lassen sich in Windows Gruppenrichtlinien (GPO) definieren, in denen unter anderem die Rechte der Nutzergruppen oder Eigenschaften für die Systeme festlegbar sind. Der Einsatz spezieller Endpoint-Security-Software kann die Sicherheit noch zusätzlich erhöhen. Die Anhebung des Sicherheitsniveaus im aufgezeigten Social Engineering-Szenario bedingt einen konzeptionellen Ansatz. Dabei gilt es im ersten Schritt die essentiellen Daten und Netzwerkkomponenten zu bestimmen, denn unter wirtschaftlichen und organisatorischen Aspekten ist es sinnvoll, nur für diese entsprechend umfangreiche Maßnahmen zur Absicherung einzusetzen.

In der Umsetzung müssen hierfür grundsätzlich alle vorhandenen Sicherheitsmerkmale verwendet werden, angefangen bei der Abänderung der Standard-Konfigurationen der Systeme und Passwörter bis hin zum Einsatz von Monitoring-Lösungen für den Soll-/Ist-Abgleich. Signaturbasierte Lösungen wie Antivirenschutz oder ‘Intrusion Detecion Systems’ und ‘Intrusion Prevention Systems’ (IDS/IPS) versprechen in der Abwehr der beschriebenen gezielten Angriffstechniken wenig Schutz. Doch an der Schnittstelle zur Technik sitzen Mitarbeiter, die, in erster Linie durch unbewusstes Fehlverhalten, auch wirksame Schutzmaßnahmen aushebeln können. Folglich sollte das Personal in Bezug auf aktuelle Sicherheitsfragen geschult werden. ‘Security Awareness‘, also das Bewusstsein der Mitarbeiter für Bedrohungen, ist schlecht quantifizierbar. Doch die Praxiserfahrung zeigt, dass sich nur durch regelmäßige Wissensvermittlung – am besten anhand von Schulungen inklusive der Demonstration von Angriffen – eine nachhaltige Wirkung erzielen lässt. Die anschließende Erfolgsmessung der Schulung sollte in der realen Umgebung erfolgen. Hierzu eignen sich simulierte Social Engineering-Angriffe, die in Abstimmung mit den Verantwortlichen durch beauftragte externe Sicherheitsexperten durchgeführt werden können.

Sicherheit als fortwährenden Prozess begreifen

Sicherheit muss als fortwährender Prozess verstanden werden. Aufgrund der sich ständig entwickelnden Angriffsszenarien bedarf es eines kontinuierlichen Soll-/Ist-Abgleiches und der Entwicklung eines angepassten Schutzkonzepts. Doch trotz allem besteht keinesfalls die Notwendigkeit vor den Gegebenheiten zu resignieren. Denn, obwohl die Zeiten momentan unsicher sind – noch ist nichts verloren, darin sind sich die Sicherheitsexperten einig.

Das könnte Sie auch interessieren:

Märkte und Trends

Personalia
Neuer CEO bei M&M Software

Klaus Hübschle tritt Anfang 2020 die Nachfolge von Andreas Börngen als CEO von M&M Software an.‣ weiterlesen

Märkte und Trends

Personalia
Neuer Geschäftsführer bei Econ Solutions

Econ Solutions hat mit Philip Würfel einen neuen Geschäftsführer. Er tritt die Nachfolge von Dr. Stephan Theis an.‣ weiterlesen

News

Entwicklungsprognose
Trends für die Fabrik der Zukunft

Wohin entwickeln sich die Fabriken in den nächsten Jahren? Philipp Wallner von MathWorks wagt die Prognose, das fünf Faktoren darunter sein werden, die individuelles Fertigen und Ressourceneffizienz in Einklang bringen.‣ weiterlesen

Industrie 4.0 / IoT

Künstliche Intelligenz und IT-Sicherheit
Der alte Kampf mit neuen Waffen

Der einzige Trost beim Thema künstliche Intelligenz und Cybersicherheit? Dass auch die Angreifer nicht verstehen, wie die technologische Black Box KI genau funktioniert. Steve Rymell, Technikchef bei Airbus CyberSecurity, berichtet über die Notwendigkeit, künstliche Intelligenz auf dem Feld der IT-Sicherheit im Auge zu behalten - ohne ihr freilich einen Sonderstatus zuzuweisen.‣ weiterlesen

Fertigungsnahe IT

Fallstricke bei der Maschinenintegration vermeiden
Für eine Handvoll Daten

Weltweit streben Unternehmen nach digitalisierten Produktionsumgebungen. Schließlich verhelfen vernetzte Maschinen zu mehr Transparenz, Einsparpotentiale werden offenbar und die Produktionsplanung endlich realistischer. Doch vor der Vernetzung muss deren Zweck möglichst klar definiert sein, und auch das Koppeln der Maschinen selbst braucht Sachverstand.‣ weiterlesen

Märkte und Trends

Unternehmensvorstand
Schaeffler-Finanzchef Dietmar Heinrich wechselt zu Dürr

Dietmar Heinrich wird neuer Finanzvorstand der Dürr AG. Zudem ernannte der Aufsichtsrat Dr. Jochen Weyrauch zum stellvertretenden Vorstandsvorsitzenden.‣ weiterlesen

Märkte und Trends

1,5 Billionen US-Dollar
PWC analysiert Potenzial für Augmented und Virtual Reality

Eine Analyse der Wirtschaftsprüfungsgesellschaft PWC geht davon aus, dass das wirtschaftliche Potenzial für Virtual und Augmented Reality im Jahr 2030 auf 1,5 Billionen US$ weltweit und 104Mrd.US$ für Deutschland ansteigen wird.

‣ weiterlesen

Märkte und Trends

Maschinenbau in den ersten neun Monaten 2019
EU-Exporte bleiben stabil

Die Maschinenbauer aus Deutschland müssen sich in einem zunehmend schwierigeren wirtschaftlichen Umfeld behaupten. Das Jahr 2019 war geprägt von einer schwachen Weltkonjunktur, immer härteren Drohungen und Sanktionen in den globalen Handelsstreitigkeiten, sowie einem tiefgreifenden Strukturwandel in der Autoindustrie.‣ weiterlesen

Industrie 4.0 / IoT

Field Service Management:
Zwischen Regelwerk und Selbstlernen

Nach einer Studie von Gartner soll bis 2022 der Geschäftswert von KI auf 2,85 Billionen Euro steigen. Der Löwenanteil davon wird voraussichtlich auf den Bereich der Kundenerfahrung entfallen, für das schon ausgereifte Tools am Markt existieren. Dieser Ãœberblick zeigt, wie es heute um KI im Field Service Management steht und wohin die Reise geht.‣ weiterlesen

Industrie 4.0 / IoT

Weniger Ausschuss mit KI
Detektiv für Produktionsparameter

Eine Gießerei von Daimler-Motorblöcken rang mit Qualitätsproblemen und hohem Ausschuss. Nachdem sie eine KI-Lösung 15 Monate lang mit allen möglichen Unternehmensdaten fütterte, gab diese neue Betriebsparameter für die Produktion aus. Bereits im ersten Monat nach Anwendung dieser Parameter schleuste sie 50 Prozent weniger Motorblöcke aus.‣ weiterlesen

News

Deutsche Elektroindustrie im Oktober
Umsatz im Ausland stabil, Auftragseingänge rückläufig

Nach einem zweistelligen Wachstum im September verzeichnete der Auftragseingang in der Elektroindustrie im Oktober einen Rückgang.‣ weiterlesen