Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

‚Advanced persistant Threats‘ im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Seit 2010 ist nicht mehr zu wiederlegen, was viele zuvor verdrängt haben. Durch Überwinden der etablierten ‚Industrial Security‘ mit intelligenter und fokussierter Software wurden mehrere Produktionsanlagen maßgeblich geschädigt. Dabei lassen sich die Risiken des Eintretens von Schadensfällen mit einigen Maßnahmen deutlich reduzieren.

Productionsnetzwerk

Bild: VIDEC

Es kann davon ausgegangen werden, dass zukünftig vermehrt Unternehmen in den Fokus von Cyber-Angriffen rücken. Die Entwicklung wird dadurch befördert, dass sich die Investitionen für einen Angriff, etwa mit dem Ziel der Spionage, zur Zeit in Grenzen halten. Wie lassen sich diese Gefahren und somit Risiken für das Unternehmen in den Griff zu bekommen?

Intelligente und dauerhafte Cyber-Angriffe

Seit Stuxnet sind intelligente und dauerhafte Cyber-Angriffe in der Industrie angekommen. Gezielt entwickelte Schadsoftware für bestimmte Automatisierungen oder branchenübliche Lösungen finden fokussiert ihre Ziele, um Manipulation auszuführen. Dies erfolgt überwiegend sogar so gerissen, dass sie ihre eigene Verbreitung und hinterlassene Spuren verstecken. Überdies werden Schäden oft nicht unmittelbar als Cyber-Angriff erkannt. Seit Edward Snowden wissen wir weiterhin, dass nicht nur persönliche Daten ausspioniert werden, sondern das einige Staaten diese Vorgehensweise nutzen, um andere Staaten beziehungsweise deren ‚kritische Infrastrukturen‘ zu schädigen. Natürlich wurden auch in der Privatwirtschaft viele Fälle bekannt, in denen Unternehmen durch dedizierte Angriffe geschädigt wurden, Näheres findet sich im BSI Status Report 2014, Stahlwerk. Des Weiteren gibt es kriminelle Organisationen, die über einen solchen Hebel Geld erpressen wollen. Es geht nicht nur um Wirtschaftsspionage und das Ausspähen von Informationen, obwohl der Wissensvorsprung in Deutschland nach wie vor sehr attraktiv für andere Firmen und Staaten ist. Es geht auch immer stärker um das Initiieren von direkten Schäden in Anlagen und Produkten der Privatwirtschaft.

Produktionsverbesserungen sind die Angriffsfläche

Veränderungen und Verbesserung sind immer ein Spannungsbogen. Aktuell zählt darunter das, was als vertikale oder globale Integration bezeichnet werden kann. Automatisierungen und die genutzten Netzwerke in den Produktionsanlagen sind oft alt. Dabei sind zehn, 15 oder mehr Jahre keine Seltenheit. Die eingesetzten Feldbusse sind häufig sehr speziell und proprietär. Viele Steuerungen nutzen eigene Betriebssysteme und Steuerungslogik. Anlagen und Roboter nutzen einfache Betriebssysteme, zum Beispiel Vxshell oder RTOS. Diese Protokolle und Betriebssysteme kennen keine Funktionen zur Anmeldungen oder eine Verschlüsselung der Kommunikation. Für Arbeiten am System war es immer notwendig, vor Ort an der Anlage zu sein. Diese ‚alten‘ Protokolle und Systeme werden seit Jahren internetfähig gemacht. Die Feldbusse der Steuerung werden mit Profinet oder Industrial Ethernet erweitert oder vollständig abgelöst. Für die Flexibilität der Scada-Infrastrukturen werden meist Standard-IT-Komponenten eingesetzt. Konfigurationen der Steuerungsebene erfolgen mit Web-Oberflächen. In der Regel ist der direkte Zugriff auf ‚Historian‘-Daten vom Arbeitsplatz der Betriebsleitung oder Geschäftsführung aus gefordert und möglich. Viele Hersteller von Automatisierungen bieten zur Steuerung Web-basierte Human Machine Interfaces oder dedizierte Apps für Tablets und Smartphones. Das Ergebnis ist eine internetfähige Produktionsanlage mit wenigen Sicherheitsfunktionen. Die Erfahrungen zeigen zudem, dass selbst diese Sicherheitselemente oft ungenutzt bleiben. User ID und Passwort sind nicht gesetzt, mit Firmenname/Firmenname kombiniert, oder es wird das Standard-Passwort des Hersteller genutzt. Hier finden Stuxnet und andere Schadsoftware offene Türen und Ausbreitungswege. Zusammengefasst sind dies die maßgeblichen Entwicklungen und Tatsachen für erfolgreiche Cyber-Angriffe:

  • die Standardisierung und offenen Kommunikationsverbindungen
  • fehlende aktuelle Übersicht über alle Systeme der Produktionsanlage
  • keine Kontrolle oder Überprüfung, wer mit wem Daten austauscht
  • vorhandene Sicherheitsmechanismen werden nicht genutzt, etwa durch die Nutzung von Standard-Passworten

Kann Stuxnet gefunden werden?

Die Angriffsmethoden von Stuxnet und Co. sind durch eine hohe Flexibilität und Dynamik gekennzeichnet. Intensive Analysen von vorab beschafften Informationen der ausgewählten Ziele ist ebenso ein Merkmal dieser Angriffsmuster wie auch die folgende dauerhafte Attacke. Sie erfolgen durchaus wiederholend, bis der Erfolg erzielt wurde. Dieses Muster vermittelt jedoch zugleich Indizien, die das Auffinden der Schadprogramme ermöglichen. ‚Fortschrittliche, anhaltende Bedrohungen‘ oder ‚advanced persistent threat‘ (APT) wird diese Methode genannt. APTs finden sehr häufig nach folgendem Muster statt:

  1. breite Verteilung des Schadcode
  2. der Schadcode löscht sich selbst, wenn keine passenden Indizien auf dem infiltrierten System zu finden sind
  3. weitere Verbreitung per direkten Datenverbindungen oder infizierten Datenträgern
  4. gegebenenfalls Nachladen von weiterem Schadcode
  5. Ausführung der Manipulation nur auf dem Zielsystem

Anfangs wird demzufolge ein System infiziert und danach verbreitet sich der Schadcode selbstständig. System A wird infiziert und baut dann eigene zusätzliche Verbindungen zu B und C und D und so weiter auf (auch als A-B B-C B-D B-E-Beispiel zu verstehen). Oft geht das mit einer Erhöhung des Datenvolumens einher. Die infizierten Systeme verbinden sich häufig mit ihrer Zentrale um Schadcode nachzuladen. Dieses Verhalten bei der Verbreitung und Kommunikation lässt sich identifizieren. Dabei kommt es häufig vor, dass die Schadsoftware ins Unternehmen getragen wird. Hier werden keine Firewalls umgangen, sondern der ‚Transport‘ erfolgt über andere Wege: Servicepersonal, USB-Sticks oder auch Servicezugänge der Lieferanten ziehen häufig den Einfall der Schadsoftware in das Unternehmen nach sich. Ist eine Schadsoftware im Unternehmen angekommen, spielen herkömmliche Schutzmechanismen keine große Rolle mehr. Würmer verteilen sich im Netzwerk und legen sich zum Beispiel auf einen Netzwerkdrucker, einem Teilnehmer, der von einem klassischen Virenscan nicht berücksichtigt wird. Hinzu kommt, das meistens die Kommunikation von innen nach außen keinen entsprechenden Sicherheitsmechanismen unterliegt.

google plus


Das könnte Sie auch interessieren:

In der Fertigung trägt ein Maschinendaten-Erfassungssystem von Werma zur Produktivität bei. Dabei werden die Informationen der Signalsäulen per Funk erfasst und in einer Software digital aufbereitet. Die Maschinendaten werden dann auf großen Bildschirmen in der Produktion ausgegeben.‣ weiterlesen

Im Maschinenbau und somit auch in der Automatisierungstechnik spielen Markteinführungszeiten heute eine Schlüsselrolle für den Unternehmenserfolg. Eine möglichst einfache Implementierung von Feldbusanbindungen und virtuelle Inbetriebnahmen helfen dabei, Abläufe zu beschleunigen.‣ weiterlesen

Die rapide wachsende Zahl an Anwendungen zu steuern, zu optimieren und zu schützen, wird für Unternehmen immer schwieriger. Zu diesem Ergebnis kommt eine von F5 in Auftrag gegebene Studie des Ponemon Institute.‣ weiterlesen

Cloudanwendungen sind nicht nur in großen Unternehmen anzutreffen, auch kleine Mittelständler setzen mittlerweile auf die Cloud. Dass die erhöhte Akzeptanz auch vor ERP aus der Cloud keinen Halt macht, zeigen die Ergebnisse des ITK-Budget-Benchmarks von Techconsult und Cancom Pironet.‣ weiterlesen

Mehr künstliche Intelligenz und mehr Funktionen - im Mai hat SAP Details zur neuen Version der Anwendung S/4Hana Cloud bekanntgegeben. Künftig sind Machine Learning- und Predictive Analytics-Werkzeuge in zentrale Geschäftsprozesse der Business-Anwendung integriert.‣ weiterlesen

Zum Portfolio des Kunststoffschweißspezialisten Munsch gehört auch die Reparatur der eigenen Erzeugnisse. Den Arbeitsfortschritt an den eingeschickten Geräten von Peakboard stellten die Werker lange auf einem Card-Board dar, das in der Praxis aber so gut wie nie den aktuellen Stand in der Werkstatt spiegelte.‣ weiterlesen

Anzeige
Anzeige
Anzeige