Stuxnet auf der Spur

Seit 2010 ist nicht mehr zu wiederlegen, was viele zuvor verdrängt haben. Durch Überwinden der etablierten ‚Industrial Security‘ mit intelligenter und fokussierter Software wurden mehrere Produktionsanlagen maßgeblich geschädigt. Dabei lassen sich die Risiken des Eintretens von Schadensfällen mit einigen Maßnahmen deutlich reduzieren.

Es kann davon ausgegangen werden, dass zukünftig vermehrt Unternehmen in den Fokus von Cyber-Angriffen rücken. Die Entwicklung wird dadurch befördert, dass sich die Investitionen für einen Angriff, etwa mit dem Ziel der Spionage, zur Zeit in Grenzen halten. Wie lassen sich diese Gefahren und somit Risiken für das Unternehmen in den Griff zu bekommen?

Intelligente und dauerhafte Cyber-Angriffe

Seit Stuxnet sind intelligente und dauerhafte Cyber-Angriffe in der Industrie angekommen. Gezielt entwickelte Schadsoftware für bestimmte Automatisierungen oder branchenübliche Lösungen finden fokussiert ihre Ziele, um Manipulation auszuführen. Dies erfolgt überwiegend sogar so gerissen, dass sie ihre eigene Verbreitung und hinterlassene Spuren verstecken. Überdies werden Schäden oft nicht unmittelbar als Cyber-Angriff erkannt. Seit Edward Snowden wissen wir weiterhin, dass nicht nur persönliche Daten ausspioniert werden, sondern das einige Staaten diese Vorgehensweise nutzen, um andere Staaten beziehungsweise deren ‚kritische Infrastrukturen‘ zu schädigen. Natürlich wurden auch in der Privatwirtschaft viele Fälle bekannt, in denen Unternehmen durch dedizierte Angriffe geschädigt wurden, Näheres findet sich im BSI Status Report 2014, Stahlwerk. Des Weiteren gibt es kriminelle Organisationen, die über einen solchen Hebel Geld erpressen wollen. Es geht nicht nur um Wirtschaftsspionage und das Ausspähen von Informationen, obwohl der Wissensvorsprung in Deutschland nach wie vor sehr attraktiv für andere Firmen und Staaten ist. Es geht auch immer stärker um das Initiieren von direkten Schäden in Anlagen und Produkten der Privatwirtschaft.

Anzeige

KI in Fertigungsbranche vorn

Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen

Produktionsverbesserungen sind die Angriffsfläche

Veränderungen und Verbesserung sind immer ein Spannungsbogen. Aktuell zählt darunter das, was als vertikale oder globale Integration bezeichnet werden kann. Automatisierungen und die genutzten Netzwerke in den Produktionsanlagen sind oft alt. Dabei sind zehn, 15 oder mehr Jahre keine Seltenheit. Die eingesetzten Feldbusse sind häufig sehr speziell und proprietär. Viele Steuerungen nutzen eigene Betriebssysteme und Steuerungslogik. Anlagen und Roboter nutzen einfache Betriebssysteme, zum Beispiel Vxshell oder RTOS. Diese Protokolle und Betriebssysteme kennen keine Funktionen zur Anmeldungen oder eine Verschlüsselung der Kommunikation. Für Arbeiten am System war es immer notwendig, vor Ort an der Anlage zu sein. Diese ‚alten‘ Protokolle und Systeme werden seit Jahren internetfähig gemacht. Die Feldbusse der Steuerung werden mit Profinet oder Industrial Ethernet erweitert oder vollständig abgelöst. Für die Flexibilität der Scada-Infrastrukturen werden meist Standard-IT-Komponenten eingesetzt. Konfigurationen der Steuerungsebene erfolgen mit Web-Oberflächen. In der Regel ist der direkte Zugriff auf ‚Historian‘-Daten vom Arbeitsplatz der Betriebsleitung oder Geschäftsführung aus gefordert und möglich. Viele Hersteller von Automatisierungen bieten zur Steuerung Web-basierte Human Machine Interfaces oder dedizierte Apps für Tablets und Smartphones. Das Ergebnis ist eine internetfähige Produktionsanlage mit wenigen Sicherheitsfunktionen. Die Erfahrungen zeigen zudem, dass selbst diese Sicherheitselemente oft ungenutzt bleiben. User ID und Passwort sind nicht gesetzt, mit Firmenname/Firmenname kombiniert, oder es wird das Standard-Passwort des Hersteller genutzt. Hier finden Stuxnet und andere Schadsoftware offene Türen und Ausbreitungswege. Zusammengefasst sind dies die maßgeblichen Entwicklungen und Tatsachen für erfolgreiche Cyber-Angriffe:

Anzeige

Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen

• die Standardisierung und offenen Kommunikationsverbindungen
• fehlende aktuelle Übersicht über alle Systeme der Produktionsanlage
• keine Kontrolle oder Überprüfung, wer mit wem Daten austauscht
• vorhandene Sicherheitsmechanismen werden nicht genutzt, etwa durch die Nutzung von Standard-Passworten

Kann Stuxnet gefunden werden?

Die Angriffsmethoden von Stuxnet und Co. sind durch eine hohe Flexibilität und Dynamik gekennzeichnet. Intensive Analysen von vorab beschafften Informationen der ausgewählten Ziele ist ebenso ein Merkmal dieser Angriffsmuster wie auch die folgende dauerhafte Attacke. Sie erfolgen durchaus wiederholend, bis der Erfolg erzielt wurde. Dieses Muster vermittelt jedoch zugleich Indizien, die das Auffinden der Schadprogramme ermöglichen. ‚Fortschrittliche, anhaltende Bedrohungen‘ oder ‚advanced persistent threat‘ (APT) wird diese Methode genannt. APTs finden sehr häufig nach folgendem Muster statt:

1. breite Verteilung des Schadcode
2. der Schadcode löscht sich selbst, wenn keine passenden Indizien auf dem infiltrierten System zu finden sind
3. weitere Verbreitung per direkten Datenverbindungen oder infizierten Datenträgern
4. gegebenenfalls Nachladen von weiterem Schadcode
5. Ausführung der Manipulation nur auf dem Zielsystem

Anfangs wird demzufolge ein System infiziert und danach verbreitet sich der Schadcode selbstständig. System A wird infiziert und baut dann eigene zusätzliche Verbindungen zu B und C und D und so weiter auf (auch als A-B B-C B-D B-E-Beispiel zu verstehen). Oft geht das mit einer Erhöhung des Datenvolumens einher. Die infizierten Systeme verbinden sich häufig mit ihrer Zentrale um Schadcode nachzuladen. Dieses Verhalten bei der Verbreitung und Kommunikation lässt sich identifizieren. Dabei kommt es häufig vor, dass die Schadsoftware ins Unternehmen getragen wird. Hier werden keine Firewalls umgangen, sondern der ‚Transport‘ erfolgt über andere Wege: Servicepersonal, USB-Sticks oder auch Servicezugänge der Lieferanten ziehen häufig den Einfall der Schadsoftware in das Unternehmen nach sich. Ist eine Schadsoftware im Unternehmen angekommen, spielen herkömmliche Schutzmechanismen keine große Rolle mehr. Würmer verteilen sich im Netzwerk und legen sich zum Beispiel auf einen Netzwerkdrucker, einem Teilnehmer, der von einem klassischen Virenscan nicht berücksichtigt wird. Hinzu kommt, das meistens die Kommunikation von innen nach außen keinen entsprechenden Sicherheitsmechanismen unterliegt.