Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Scada-Server im Visier

Die Verwundbarkeit von Industrienetzwerken gegen Angriffe mit 'Würmern' genannter Schadsoftware wie Stuxnet oder Duqu hat gezeigt, dass bei der Entwicklung von Sicherheitslösungen für Scada-Systeme und -Steuerungen Nachholbedarf besteht. Im Hinblick auf veraltete Netzwerktopologien sollten Unternehmen dabei auch die Gefahr, die von klassischen Angriffsmethoden ausgeht, beachten.

Bild: Stonesoft

Mit Netzwerken für die Aufgabe der ‚Supervisory Control and Data Acquisition‘ (Scada), die vorwiegend bei kritischen Infrastruktureinrichtungen wie Wasser- oder Kernkraftwerken und in großen Industrienetzen zum Einsatz kommen, lassen sich komplexe technische Prozesse steuern und überwachen. Das Problem: Bei der Entwicklung der teils über Jahrzehnte eingesetzten Systeme spielten aktuelle Netzwerksicherheitsanforderungen vielfach keine Rolle. Zahlreiche Industrienetzwerke sind mittlerweile veraltet und können aktuellen Bedrohungsszenarien kaum standhalten. Zudem wurden sie ursprünglich nicht für die Anbindung an das Internet ausgelegt.

Im Rahmen der zügig voranschreitenden Vernetzung sind heute zudem immer mehr Scada-Netzwerke an das Internet gekoppelt, ohne dafür ausreichend abgesichert zu sein. Das erleichtert Angreifern den unbefugten Zugriff auf die Systeme, was je nach Einsatzzweck schwerwiegende Folgen für die Verfügbarkeit und Sicherheit von Produktionsanlagen und schlimmstenfalls die öffentliche Ordnung und Sicherheit haben kann. Dies zeigten in den vergangenen Jahren bereits der Computerwurm Stuxnet sowie der Trojaner Duqu.

Eine weit größere Gefahr für solche Systeme geht jedoch von Sicherheitslücken und klassischen Angriffsmethoden aus. Denn aufgrund veralteter Netzwerktopologien werden in Scada-Netzwerken häufig Server eingesetzt, die nur ein- oder zweimal jährlich gepatcht werden. Dadurch benötigen Angreifer nicht einmal einen auf Scada-Systeme spezialisierten Schadecode. Eine unter Umstände schon seit längerem bekannte Sicherheitslücke des Server-Betriebssystems oder eine vergleichsweise einfache Denial of Service (DoS)-Attacke genügt, um in das Netzwerk zu gelangen.

Grundschutz durch Intrusion-Prevention-Systeme

Eine Lösung für den Schutz von Scada-Systemen würde ihre ‚Entnetzung‘ bieten. Die Abkopplung von IT-Netzwerken reduziert dabei die Angriffswege. Eine vollständige Entnetzung ist in den meisten Fällen heute aber nicht möglich. Aus diesem Grund kommen häufig Sicherheitslösungen wie Intrusion Prevention Systeme (IPS) zum Einsatz, die den gesamten Datenverkehr überprüfen. Versucht ein Schädling ins Netzwerk zu gelangen, unterbricht das IPS automatisch die Datenverbindung und die Schadsoftware kann nicht ins Netzwerk eindringen. Gleichzeitig können so gefährdete Server beim virtuellen Patch von Servern und Diensten abgesichert werden, die erst während des nächsten Wartungsfensters gepatcht werden sollen.

Für den Schutz von Scada-Netzwerken sind IPS-Systeme deshalb ein Schritt in die richtige Richtung. Doch absolute Sicherheit bieten sie nicht. Denn die meisten Sicherheitsmechanismen von IPS-Geräten wie beispielsweise Fingerprinting, Protokollanalyse und Signaturerkennung reichen nicht aus. Um diese Funktionen zu umgehen, haben Hacker Methoden wie die so genannten Advanced Evasion Techniques (AET) entwickelt. Mit Hilfe von AET lassen sich Cyberangriffe so verschleiern, dass ein IPS diese nicht mehr erkennt.

Im Gegensatz zu einfachen Evasion-Techniken, gegen die es mittlerweile zuverlässige Schutzmöglichkeiten gibt, kombinieren beziehungsweise variieren AET bereits bekannte Angriffsmuster in einer nahezu unbegrenzten Vielzahl an Möglichkeiten. Eine minimale Veränderung, wie zum Beispiel des Segment-Offsets, reicht bereits aus, damit ein Datenpaket keinem der im IPS-System hinterlegten Angriffsmuster mehr ähnelt. Das hat zur Folge, dass das IPS die verschleierte Attacke im Datenpaket nicht aufspüren und den Datenverkehr nicht unterbrechen kann. Der Angreifer kann sich dann im Scada-Netzwerk ungestört nach möglichen Schwachstellen oder ungepatchten Servern umsehen, ohne Alarm auszulösen.

google plus


Das könnte Sie auch interessieren:

Der Gedanke hinter dem Internet of Things ist im Grunde einfach: Ansonsten 'stumme' Geräte werden mittels Sensorik und Datenübertragung zum Sprechen gebracht. Das Potenzial ist enorm, wenn etwa Maschinen, Halbzeuge und fertige Produkte ihren Produzenten Hinweise darauf liefern, was sich künftig besser machen ließe.‣ weiterlesen

Das Potenzial des Internet der Dinge für Fertigungsunternehmen ist riesig. Der Prozessverbesserungsansatz DevOps kommt aus der IT-Welt, lässt sich aber hervorragend auf die industrielle IT übertragen, um das IoT-Leistungsversprechen in wertorientierte innovative Services umzusetzen.‣ weiterlesen

Anzeige
Anzeige
Anzeige