Anzeige
Anzeige
Anzeige
Beitrag drucken

‚Advanced persistant Threats‘ im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Seit 2010 ist nicht mehr zu wiederlegen, was viele zuvor verdrängt haben. Durch Überwinden der etablierten ‚Industrial Security‘ mit intelligenter und fokussierter Software wurden mehrere Produktionsanlagen maßgeblich geschädigt. Dabei lassen sich die Risiken des Eintretens von Schadensfällen mit einigen Maßnahmen deutlich reduzieren.

Productionsnetzwerk

Bild: VIDEC

Es kann davon ausgegangen werden, dass zukünftig vermehrt Unternehmen in den Fokus von Cyber-Angriffen rücken. Die Entwicklung wird dadurch befördert, dass sich die Investitionen für einen Angriff, etwa mit dem Ziel der Spionage, zur Zeit in Grenzen halten. Wie lassen sich diese Gefahren und somit Risiken für das Unternehmen in den Griff zu bekommen?

Intelligente und dauerhafte Cyber-Angriffe

Seit Stuxnet sind intelligente und dauerhafte Cyber-Angriffe in der Industrie angekommen. Gezielt entwickelte Schadsoftware für bestimmte Automatisierungen oder branchenübliche Lösungen finden fokussiert ihre Ziele, um Manipulation auszuführen. Dies erfolgt überwiegend sogar so gerissen, dass sie ihre eigene Verbreitung und hinterlassene Spuren verstecken. Überdies werden Schäden oft nicht unmittelbar als Cyber-Angriff erkannt. Seit Edward Snowden wissen wir weiterhin, dass nicht nur persönliche Daten ausspioniert werden, sondern das einige Staaten diese Vorgehensweise nutzen, um andere Staaten beziehungsweise deren ‚kritische Infrastrukturen‘ zu schädigen. Natürlich wurden auch in der Privatwirtschaft viele Fälle bekannt, in denen Unternehmen durch dedizierte Angriffe geschädigt wurden, Näheres findet sich im BSI Status Report 2014, Stahlwerk. Des Weiteren gibt es kriminelle Organisationen, die über einen solchen Hebel Geld erpressen wollen. Es geht nicht nur um Wirtschaftsspionage und das Ausspähen von Informationen, obwohl der Wissensvorsprung in Deutschland nach wie vor sehr attraktiv für andere Firmen und Staaten ist. Es geht auch immer stärker um das Initiieren von direkten Schäden in Anlagen und Produkten der Privatwirtschaft.

Produktionsverbesserungen sind die Angriffsfläche

Veränderungen und Verbesserung sind immer ein Spannungsbogen. Aktuell zählt darunter das, was als vertikale oder globale Integration bezeichnet werden kann. Automatisierungen und die genutzten Netzwerke in den Produktionsanlagen sind oft alt. Dabei sind zehn, 15 oder mehr Jahre keine Seltenheit. Die eingesetzten Feldbusse sind häufig sehr speziell und proprietär. Viele Steuerungen nutzen eigene Betriebssysteme und Steuerungslogik. Anlagen und Roboter nutzen einfache Betriebssysteme, zum Beispiel Vxshell oder RTOS. Diese Protokolle und Betriebssysteme kennen keine Funktionen zur Anmeldungen oder eine Verschlüsselung der Kommunikation. Für Arbeiten am System war es immer notwendig, vor Ort an der Anlage zu sein. Diese ‚alten‘ Protokolle und Systeme werden seit Jahren internetfähig gemacht. Die Feldbusse der Steuerung werden mit Profinet oder Industrial Ethernet erweitert oder vollständig abgelöst. Für die Flexibilität der Scada-Infrastrukturen werden meist Standard-IT-Komponenten eingesetzt. Konfigurationen der Steuerungsebene erfolgen mit Web-Oberflächen. In der Regel ist der direkte Zugriff auf ‚Historian‘-Daten vom Arbeitsplatz der Betriebsleitung oder Geschäftsführung aus gefordert und möglich. Viele Hersteller von Automatisierungen bieten zur Steuerung Web-basierte Human Machine Interfaces oder dedizierte Apps für Tablets und Smartphones. Das Ergebnis ist eine internetfähige Produktionsanlage mit wenigen Sicherheitsfunktionen. Die Erfahrungen zeigen zudem, dass selbst diese Sicherheitselemente oft ungenutzt bleiben. User ID und Passwort sind nicht gesetzt, mit Firmenname/Firmenname kombiniert, oder es wird das Standard-Passwort des Hersteller genutzt. Hier finden Stuxnet und andere Schadsoftware offene Türen und Ausbreitungswege. Zusammengefasst sind dies die maßgeblichen Entwicklungen und Tatsachen für erfolgreiche Cyber-Angriffe:

  • die Standardisierung und offenen Kommunikationsverbindungen
  • fehlende aktuelle Übersicht über alle Systeme der Produktionsanlage
  • keine Kontrolle oder Überprüfung, wer mit wem Daten austauscht
  • vorhandene Sicherheitsmechanismen werden nicht genutzt, etwa durch die Nutzung von Standard-Passworten

Kann Stuxnet gefunden werden?

Die Angriffsmethoden von Stuxnet und Co. sind durch eine hohe Flexibilität und Dynamik gekennzeichnet. Intensive Analysen von vorab beschafften Informationen der ausgewählten Ziele ist ebenso ein Merkmal dieser Angriffsmuster wie auch die folgende dauerhafte Attacke. Sie erfolgen durchaus wiederholend, bis der Erfolg erzielt wurde. Dieses Muster vermittelt jedoch zugleich Indizien, die das Auffinden der Schadprogramme ermöglichen. ‚Fortschrittliche, anhaltende Bedrohungen‘ oder ‚advanced persistent threat‘ (APT) wird diese Methode genannt. APTs finden sehr häufig nach folgendem Muster statt:

  1. breite Verteilung des Schadcode
  2. der Schadcode löscht sich selbst, wenn keine passenden Indizien auf dem infiltrierten System zu finden sind
  3. weitere Verbreitung per direkten Datenverbindungen oder infizierten Datenträgern
  4. gegebenenfalls Nachladen von weiterem Schadcode
  5. Ausführung der Manipulation nur auf dem Zielsystem

Anfangs wird demzufolge ein System infiziert und danach verbreitet sich der Schadcode selbstständig. System A wird infiziert und baut dann eigene zusätzliche Verbindungen zu B und C und D und so weiter auf (auch als A-B B-C B-D B-E-Beispiel zu verstehen). Oft geht das mit einer Erhöhung des Datenvolumens einher. Die infizierten Systeme verbinden sich häufig mit ihrer Zentrale um Schadcode nachzuladen. Dieses Verhalten bei der Verbreitung und Kommunikation lässt sich identifizieren. Dabei kommt es häufig vor, dass die Schadsoftware ins Unternehmen getragen wird. Hier werden keine Firewalls umgangen, sondern der ‚Transport‘ erfolgt über andere Wege: Servicepersonal, USB-Sticks oder auch Servicezugänge der Lieferanten ziehen häufig den Einfall der Schadsoftware in das Unternehmen nach sich. Ist eine Schadsoftware im Unternehmen angekommen, spielen herkömmliche Schutzmechanismen keine große Rolle mehr. Würmer verteilen sich im Netzwerk und legen sich zum Beispiel auf einen Netzwerkdrucker, einem Teilnehmer, der von einem klassischen Virenscan nicht berücksichtigt wird. Hinzu kommt, das meistens die Kommunikation von innen nach außen keinen entsprechenden Sicherheitsmechanismen unterliegt.


Das könnte Sie auch interessieren:

Der ERP-Anbieter Proalpha übernimmt Tisoware, ein Anbieter für Zeitwirtschaftssoftware. Gemeinsam wollen beide Unternehmen ihre Kunden noch besser bei der Digitalisierung unterstützen.‣ weiterlesen

Wenn Werkzeuge ihre Halter- und Werkzeugrevolver-Daten zielgerichtet erheben und austauschen würden, ließen sich viele Mängel, etwa infolge von Schwingungen, vermeiden. Eine digitale Lösung rund um die Auswerteeinheit IQ Box des Werkzeugträgerspezialisten Sauter soll das und mehr möglich machen.‣ weiterlesen

Wenn der weltweit agierende Softwarehersteller IFS sein größtes Kundentreffen der Welt organisiert, geht es um Strategien, neue Produkte und Releases. So zeigte der ERP-Anbieter mit schwedischen Wurzeln im Oktober in Boston die neue durchgängig gestaltete Benutzerführung, ein neues Schnittstellenpaket und ein gestärktes Portfolio für das Field Service Management - unter anderem durch die Akquisition des Konkurenten Astea. Skateboard-Legende Tony Hawk war auch dabei.‣ weiterlesen

Die Bandbreite an Analyseanwendungen reicht von klassischen Reports und Kennzahlen über Self Service Analytics bis hin zu künstlicher Intelligenz. Bei aller Vielfalt sollte der Zweck nicht aus dem Fokus geraten: transparenter und effizienter fertigen zu können. Zumal immer wieder neue Manufacturing-Analytics-Instrumente entwickelt werden.‣ weiterlesen

Trotz schwieriger Marktbedingungen befindet sich die Fertigungsindustrie weiter im Wachstum. Dies zeigt der Global Growth Index des Softwareanbieters Epicor. Demnach betrug das Wachstum im Vergleich zur Vorjahresbefragung ein Prozent.‣ weiterlesen

Mit der Inititative 'Industrie 4.0' versuchen Wirtschaft, Politik und Wissenschaft seit 2012, die hiesigen industriellen Wertschöpfungsnetzwerke wettbewerbs- und zukunftsfähig zu erhalten. KI und Machine Learning spielen dabei eine immer wichtigere Rolle.‣ weiterlesen

Die Richtlinie VDI/VDE/NAMUR 2658 Blatt 1 'Automatisierungstechnisches Engineering modularer Anlagen in der Prozessindustrie - Allgemeines Konzept und Schnittstellen' wurde im Oktober 2019 in deutsch und englisch veröffentlicht. Darin wird das Engineering der Automatisierungstechnik modularer Anlagen vorwiegend in der Verfahrenstechnik beschrieben.‣ weiterlesen

Rund 100Mrd.€ Schaden ist deutschen Unternehmen im vergangenen Jahr durch kriminelle Attacken entstanden. 75% der für eine Bitkom-Studie befragten Unternehmen waren von einer solchen Attacke betroffen.‣ weiterlesen

Das Forschungsprojekt ReInnovate soll kleinen und mittleren Unternehmen dabei helfen, eigene Forschungskompetenzen zu entwickeln, um daraus neue Arbeits- und Weiterbildungsmodelle zu generieren.‣ weiterlesen

Das Human Machine Interface: selbst programmieren, parametrieren oder etwas dazwischen? Stefan Niermann ist Vertriebsingenieur bei der Inosoft GmbH und berichtet über die Möglichkeiten aktueller Ansätze zum Erstellen eines HMI.‣ weiterlesen

Unternehmen sind sich bewusst, dass es in naher Zukunft zu Krisensituationen für den eigenen Betrieb kommen kann. Laut dem ‘PWC Global Crisis Survey‘, sind viele Unternehmen auf eine solche Situation aber nicht ausreichend vorbereitet.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige