Neuen Bedrohungsszenarien begegnen
Mit den Angreifern Schritt halten
Mit jedem technischen Wandel in der Produktionshalle geht mittlerweile einher, dass sich weitere, bis dato in der Regel unbekannte, Gefährdungspotenziale ergeben. Im Fokus stehen dabei meist industrielle Steuerungsanlagen. Denn die Konfiguration der speicherprogrammierbaren Systeme enthält für den Produktionsbetrieb kritische Daten. Außerdem stellen die Steuerungsprogramme wertvolles Unternehmens-Know-how dar, auf das sich der gesamte Prozessablauf stützt. Das macht die Steuerungswelt zu einem interessanten Zielobjekt für kriminelle Angriffe.
Bild: Fotolia /alphaspirit
Eine Fokussierung der Angreifer auf Industrieanlagen ist für viele Unternehmen im produzierenden Bereich eine Krux. Denn zur Kommunikation innerhalb von Produktionsanlagen wird zumeist das auf Ethernet basierende Profinet eingesetzt. Bei den dafür genutzten Standards und Protokollen standen in der Entwicklungszeit vor über 30 Jahren die Anforderungen nach Verfügbarkeit und Performance im Vordergrund – nicht Sicherheitsmerkmale wie verschlüsselte Übertragungswege oder sichere Authentisierung. Infolgedessen sind heute diverse Angriffsszenarien auf industrielle Steuerungsanlagen ausführbar. Da weltweit eine hohe Anzahl entsprechender Geräte im Einsatz sind gilt es Lösungen zu finden, welche die Schwachstellen beherrschbar machen. Zum Schutz vor neuen Angriffsvektoren wäre – anstelle der Implementierung von Firewalls an kritischen Übergängen – eine Alternative, Systeme bzw. Netzwerke in der Produktion sowohl physisch als auch logisch zu trennen.
‘Air Gap’ soll fertigungsnahe Netzwerke absichern
Dieser Prozess – auch ‘Air Gap’ genannt – unterbindet eine automatische Übertragung der Nutzdaten. Trotzdem ist es möglich, diese weiterhin zwischen den Systemen oder Netzwerken zu übermitteln. Für den Übertragungsvorgang kommt in der Vielzahl der Fälle als Speichermedium ein USBStick zum Einsatz, der im Quellsystem beschrieben und dann im Zielsystem ausgelesen und verarbeitet werden kann. Trotz des gesteigerten Aufwandes bietet die so erzeugte Isolierung hinsichtlich der Erhöhung des Schutzniveaus beachtenswerte Vorteile: So kann etwa sichergestellt werden, dass die Datenübertragung kontrollierbar nur in eine Richtung stattfindet. Des Weiteren steht kein Rückkanal mehr für die Übertragung von Daten zur Verfügung. Dadurch lässt sich, sofern das Zielsystem keinen Anschluss an das Internet hat, bei einem nicht autorisierten Zugriff verhindern, dass beispielsweise ein − mittels Trojaner angestoßener Transfer − von vertraulichen Daten durchgeführt wird.
Keine Lösung bietet absoluten Schutz
Doch obwohl die Maßnahmen zur Erhöhung des Schutzniveaus immer dezidierter werden, kann es Angreifern auf verschiedenen Wegen sowie unter Einsatz von Schadsoftware weiterhin gelingen, in Steuerungsnetzwerke einzudringen. Inwieweit die Sicherheitsmaßnahmen teilweise mit den Angriffsmethoden korrelieren, lässt sich anhand des folgenden Szenarios illustrieren: Eine mangelnde Implementierung von Sicherheitsfeatures in der Produktion kann unter anderem auf der Annahme basieren, dass das gesamte System durch die Einführung eines ‘Air Gap’ absolut geschützt ist. Übersehen wird, dass daraus ein neues Problem resultiert. Denn als Grundvoraussetzung muss hierbei gegeben sein, dass es jederzeit möglich ist, Software trotz des Air Gap zu übertragen. Nur dann können die Mitarbeiter an den Anlagen problemlos den notwendigen Datentransfer vornehmen. Damit geht jedoch auch einher, dass USBPorts nicht generell gesperrt werden können. Somit bietet sich hier die Möglichkeit für einen Angriff über einen mit Schadsoftware infizierten USB-Stick.
Angriffsmethoden immer ausgefeilter
Gelegenheiten, einen solchen dem anvisierten Mitarbeiter ‘unterzuschieben’ gibt es mehr als genug, zum Beispiel in Form eines Werbegeschenks. Zudem zeigen Studien, dass Angestellte nach wie vor gefundene USB-Sticks ohne Prüfung verwenden. So kann ein unautorisierter Datenträger auch in einen Steuerungs-PC gelangen. Zudem werden die Methoden die zunehmend ausgefeilter: Der USB-Stick enthält beispielsweise nicht mehr nur eine Schadsoftware, sondern ein speziell angefertigtes Programm, das eine Tastatur simuliert. Die Anfertigung eines solchen Sticks lässt sich mit minimalem finanziellen und technischen Aufwand durchführen. Wird dieser Stick nun in den USB-Port eines Rechners gesteckt, simuliert das Programm den Start einer Tastatureingabe. Ist der Rechner nicht gesperrt, werden über rasend schnell ‘eingetippte’ Zeichensätze Befehle auf dem System ausgeführt. Unter anderem ist es so möglich, die Steuerungssoftware aufzurufen. Ebenfalls lässt sich darüber ein Auslesen, Verändern und Wiedereinspielen von Konfigurationen, sprich SPS-Rezepturen, bewerkstelligen.
‘Social Engineering’ betrifft auch die Produktion
Doch nicht nur das vollständige Vertrauen auf einzelne Schutzmechanismen stellt ein Problem dar. Auch das Gefährdungspotenzial von ‘Social Engineering’-Angriffen für die Produktion wird häufig verkannt. Hierbei versucht der Angreifer, etwa indem er sich als Wartungstechniker ausgibt, die Mitarbeiter vor Ort ‘auszutricksen’ um so in die Produktionssteuerung zu gelangen. Die Praxiserfahrung zeigt leider, dass dies in den vielen Fällen relativ problemlos funktioniert. Wie der Angreifer agieren kann, wenn er einmal in der Produktion ist zeigt folgendes Szenario: Da die Steuerungsnetzwerke auf Ethernet basieren, kann in das Netzwerk eine ‘Wanze’ eingebracht werden. Dieses Abhörgerät für funkgestützten Datenverkehr ist zum einen als Netzwerk-Bridge konfiguriert und gleichzeitig ein WLANRouter.
Die Nutzung lässt sich gewährleisten, indem die Reichweite mit einem batteriebetriebenen Repeatern erweitert wird. Dadurch ist es möglich, von einem Standort außerhalb des Unternehmensgeländes auf das dort installierte WLAN zuzugreifen und so den Netzwerkverkehr zu belauschen und zu manipulieren. Für den Fall, dass die Authentisierung und Verschlüsselung vollständig abgeschaltet ist, kann der Angreifer mittels seiner Software sogar die SPSen steuern. Eine Variante dieses Angriffes funktioniert ohne Nutzung eigener Software und erfolgt über eine klassische ‘Replay- Attacke’. Dabei werden Netzwerkpakete mitgeschnitten, analysiert, modifiziert und wieder eingespielt. Diese Kommandos werden dann vom System ausgeführt, obwohl sie nicht von der originären Steuerungssoftware kommen. Der Angriff ist weitaus aufwändiger, kann aber ebenfalls in vielen Anlagen funktionieren.
Zusammenspiel von Technik und Mitarbeiterschulung
Durch den Einsatz spezifischer Techniken, sowohl die Konfiguration der Software als auch die zugrunde liegende Hardware betreffend, ist es möglich, die Auswirkungen einer Vielzahl von Angriffen zu minimieren. Gegen die im ersten Szenario beschriebenen kriminellen Übergriffe können sich Unternehmen schützen, indem die Ports der Leitrechner generell für USB-Storage-Geräte gesperrt werden. Von diesem Verbot ausgenommen sein müssen logischerweise Bediengeräte wie USB-Mäuse oder -Tastaturen, da hierdurch ansonsten gewohnte Arbeitsläufe behindert würden. Für die Durchsetzung der Vorschriften lassen sich in Windows Gruppenrichtlinien (GPO) definieren, in denen unter anderem die Rechte der Nutzergruppen oder Eigenschaften für die Systeme festlegbar sind. Der Einsatz spezieller Endpoint-Security-Software kann die Sicherheit noch zusätzlich erhöhen. Die Anhebung des Sicherheitsniveaus im aufgezeigten Social Engineering-Szenario bedingt einen konzeptionellen Ansatz. Dabei gilt es im ersten Schritt die essentiellen Daten und Netzwerkkomponenten zu bestimmen, denn unter wirtschaftlichen und organisatorischen Aspekten ist es sinnvoll, nur für diese entsprechend umfangreiche Maßnahmen zur Absicherung einzusetzen.
In der Umsetzung müssen hierfür grundsätzlich alle vorhandenen Sicherheitsmerkmale verwendet werden, angefangen bei der Abänderung der Standard-Konfigurationen der Systeme und Passwörter bis hin zum Einsatz von Monitoring-Lösungen für den Soll-/Ist-Abgleich. Signaturbasierte Lösungen wie Antivirenschutz oder ‘Intrusion Detecion Systems’ und ‘Intrusion Prevention Systems’ (IDS/IPS) versprechen in der Abwehr der beschriebenen gezielten Angriffstechniken wenig Schutz. Doch an der Schnittstelle zur Technik sitzen Mitarbeiter, die, in erster Linie durch unbewusstes Fehlverhalten, auch wirksame Schutzmaßnahmen aushebeln können. Folglich sollte das Personal in Bezug auf aktuelle Sicherheitsfragen geschult werden. ‘Security Awareness‘, also das Bewusstsein der Mitarbeiter für Bedrohungen, ist schlecht quantifizierbar. Doch die Praxiserfahrung zeigt, dass sich nur durch regelmäßige Wissensvermittlung – am besten anhand von Schulungen inklusive der Demonstration von Angriffen – eine nachhaltige Wirkung erzielen lässt. Die anschließende Erfolgsmessung der Schulung sollte in der realen Umgebung erfolgen. Hierzu eignen sich simulierte Social Engineering-Angriffe, die in Abstimmung mit den Verantwortlichen durch beauftragte externe Sicherheitsexperten durchgeführt werden können.
Sicherheit als fortwährenden Prozess begreifen
Sicherheit muss als fortwährender Prozess verstanden werden. Aufgrund der sich ständig entwickelnden Angriffsszenarien bedarf es eines kontinuierlichen Soll-/Ist-Abgleiches und der Entwicklung eines angepassten Schutzkonzepts. Doch trotz allem besteht keinesfalls die Notwendigkeit vor den Gegebenheiten zu resignieren. Denn, obwohl die Zeiten momentan unsicher sind – noch ist nichts verloren, darin sind sich die Sicherheitsexperten einig.
Das könnte Sie auch interessieren:
