Scada-Server im Visier

Die Verwundbarkeit von Industrienetzwerken gegen Angriffe mit ‚Würmern‘ genannter Schadsoftware wie Stuxnet oder Duqu hat gezeigt, dass bei der Entwicklung von Sicherheitslösungen für Scada-Systeme und -Steuerungen Nachholbedarf besteht. Im Hinblick auf veraltete Netzwerktopologien sollten Unternehmen dabei auch die Gefahr, die von klassischen Angriffsmethoden ausgeht, beachten.

Bild: Stonesoft

Mit Netzwerken für die Aufgabe der ‚Supervisory Control and Data Acquisition‘ (Scada), die vorwiegend bei kritischen Infrastruktureinrichtungen wie Wasser- oder Kernkraftwerken und in großen Industrienetzen zum Einsatz kommen, lassen sich komplexe technische Prozesse steuern und überwachen. Das Problem: Bei der Entwicklung der teils über Jahrzehnte eingesetzten Systeme spielten aktuelle Netzwerksicherheitsanforderungen vielfach keine Rolle. Zahlreiche Industrienetzwerke sind mittlerweile veraltet und können aktuellen Bedrohungsszenarien kaum standhalten. Zudem wurden sie ursprünglich nicht für die Anbindung an das Internet ausgelegt.

Im Rahmen der zügig voranschreitenden Vernetzung sind heute zudem immer mehr Scada-Netzwerke an das Internet gekoppelt, ohne dafür ausreichend abgesichert zu sein. Das erleichtert Angreifern den unbefugten Zugriff auf die Systeme, was je nach Einsatzzweck schwerwiegende Folgen für die Verfügbarkeit und Sicherheit von Produktionsanlagen und schlimmstenfalls die öffentliche Ordnung und Sicherheit haben kann. Dies zeigten in den vergangenen Jahren bereits der Computerwurm Stuxnet sowie der Trojaner Duqu.

Eine weit größere Gefahr für solche Systeme geht jedoch von Sicherheitslücken und klassischen Angriffsmethoden aus. Denn aufgrund veralteter Netzwerktopologien werden in Scada-Netzwerken häufig Server eingesetzt, die nur ein- oder zweimal jährlich gepatcht werden. Dadurch benötigen Angreifer nicht einmal einen auf Scada-Systeme spezialisierten Schadecode. Eine unter Umstände schon seit längerem bekannte Sicherheitslücke des Server-Betriebssystems oder eine vergleichsweise einfache Denial of Service (DoS)-Attacke genügt, um in das Netzwerk zu gelangen.

Grundschutz durch Intrusion-Prevention-Systeme

Eine Lösung für den Schutz von Scada-Systemen würde ihre ‚Entnetzung‘ bieten. Die Abkopplung von IT-Netzwerken reduziert dabei die Angriffswege. Eine vollständige Entnetzung ist in den meisten Fällen heute aber nicht möglich. Aus diesem Grund kommen häufig Sicherheitslösungen wie Intrusion Prevention Systeme (IPS) zum Einsatz, die den gesamten Datenverkehr überprüfen. Versucht ein Schädling ins Netzwerk zu gelangen, unterbricht das IPS automatisch die Datenverbindung und die Schadsoftware kann nicht ins Netzwerk eindringen. Gleichzeitig können so gefährdete Server beim virtuellen Patch von Servern und Diensten abgesichert werden, die erst während des nächsten Wartungsfensters gepatcht werden sollen.

Für den Schutz von Scada-Netzwerken sind IPS-Systeme deshalb ein Schritt in die richtige Richtung. Doch absolute Sicherheit bieten sie nicht. Denn die meisten Sicherheitsmechanismen von IPS-Geräten wie beispielsweise Fingerprinting, Protokollanalyse und Signaturerkennung reichen nicht aus. Um diese Funktionen zu umgehen, haben Hacker Methoden wie die so genannten Advanced Evasion Techniques (AET) entwickelt. Mit Hilfe von AET lassen sich Cyberangriffe so verschleiern, dass ein IPS diese nicht mehr erkennt.

Im Gegensatz zu einfachen Evasion-Techniken, gegen die es mittlerweile zuverlässige Schutzmöglichkeiten gibt, kombinieren beziehungsweise variieren AET bereits bekannte Angriffsmuster in einer nahezu unbegrenzten Vielzahl an Möglichkeiten. Eine minimale Veränderung, wie zum Beispiel des Segment-Offsets, reicht bereits aus, damit ein Datenpaket keinem der im IPS-System hinterlegten Angriffsmuster mehr ähnelt. Das hat zur Folge, dass das IPS die verschleierte Attacke im Datenpaket nicht aufspüren und den Datenverkehr nicht unterbrechen kann. Der Angreifer kann sich dann im Scada-Netzwerk ungestört nach möglichen Schwachstellen oder ungepatchten Servern umsehen, ohne Alarm auszulösen.





  • Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

    Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen…


  • MES und Lean-Management im Zusammenspiel

    Fertigungsunternehmen suchen stets nach Möglichkeiten, ihre Workflows zu optimieren, Verschwendung zu reduzieren und Ressourcen optimal einzusetzen. Der Lean-Ansatz ist hier ein bewährtes…


  • Mit KI und Plattform-Ansatz Potenziale heben

    Flexibilität wird im Qualitätsmanagement immer wichtiger. Der Zertifizierungsdruck steigt weiter an und Lieferkettenprobleme erfordern häufiger die Qualifizierung alternativer Zulieferer. Digitale QM-Plattformen können…


  • Die Digitalisierung in Deutschlands Industrie

    Eine aktuelle Studie von Reichelt Elektronik betrachtet den aktuellen Stand der Digitalisierung und stellt die Frage, wie Deutschland im Vergleich zu anderen…


  • Management-Tool für KI-Use Cases

    Im EU AI Act wurden kürzlich Regeln für die Anwendung und Entwicklung von künstlicher Intelligenz festgelegt. Spätestens jetzt sollten Unternehmen ihre KI-Use-Cases…