- IT&Production - https://www.it-production.com -

Stuxnet auf der Spur

‚Advanced persistant Threats‘ im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Seit 2010 ist nicht mehr zu wiederlegen, was viele zuvor verdrängt haben. Durch Überwinden der etablierten ‚Industrial Security‘ mit intelligenter und fokussierter Software wurden mehrere Produktionsanlagen maßgeblich geschädigt. Dabei lassen sich die Risiken des Eintretens von Schadensfällen mit einigen Maßnahmen deutlich reduzieren.

Productionsnetzwerk

Bild: VIDEC

Es kann davon ausgegangen werden, dass zukünftig vermehrt Unternehmen in den Fokus von Cyber-Angriffen [1] rücken. Die Entwicklung wird dadurch befördert, dass sich die Investitionen für einen Angriff, etwa mit dem Ziel der Spionage, zur Zeit in Grenzen halten. Wie lassen sich diese Gefahren und somit Risiken für das Unternehmen in den Griff zu bekommen?

Intelligente und dauerhafte Cyber-Angriffe

Seit Stuxnet sind intelligente und dauerhafte Cyber-Angriffe in der Industrie angekommen. Gezielt entwickelte Schadsoftware für bestimmte Automatisierungen oder branchenübliche Lösungen finden fokussiert ihre Ziele, um Manipulation auszuführen. Dies erfolgt überwiegend sogar so gerissen, dass sie ihre eigene Verbreitung und hinterlassene Spuren verstecken. Überdies werden Schäden oft nicht unmittelbar als Cyber-Angriff erkannt. Seit Edward Snowden wissen wir weiterhin, dass nicht nur persönliche Daten ausspioniert werden, sondern das einige Staaten diese Vorgehensweise nutzen, um andere Staaten beziehungsweise deren ‚kritische Infrastrukturen‘ zu schädigen. Natürlich wurden auch in der Privatwirtschaft viele Fälle bekannt, in denen Unternehmen durch dedizierte Angriffe geschädigt wurden, Näheres findet sich im BSI Status Report 2014, Stahlwerk. Des Weiteren gibt es kriminelle Organisationen, die über einen solchen Hebel Geld erpressen wollen. Es geht nicht nur um Wirtschaftsspionage und das Ausspähen von Informationen, obwohl der Wissensvorsprung in Deutschland nach wie vor sehr attraktiv für andere Firmen und Staaten ist. Es geht auch immer stärker um das Initiieren von direkten Schäden in Anlagen und Produkten der Privatwirtschaft.

Produktionsverbesserungen sind die Angriffsfläche

Veränderungen und Verbesserung sind immer ein Spannungsbogen. Aktuell zählt darunter das, was als vertikale oder globale Integration bezeichnet werden kann. Automatisierungen und die genutzten Netzwerke in den Produktionsanlagen sind oft alt. Dabei sind zehn, 15 oder mehr Jahre keine Seltenheit. Die eingesetzten Feldbusse sind häufig sehr speziell und proprietär. Viele Steuerungen nutzen eigene Betriebssysteme und Steuerungslogik. Anlagen und Roboter nutzen einfache Betriebssysteme, zum Beispiel Vxshell oder RTOS. Diese Protokolle und Betriebssysteme kennen keine Funktionen zur Anmeldungen oder eine Verschlüsselung der Kommunikation. Für Arbeiten am System war es immer notwendig, vor Ort an der Anlage zu sein. Diese ‚alten‘ Protokolle und Systeme werden seit Jahren internetfähig gemacht. Die Feldbusse der Steuerung werden mit Profinet oder Industrial Ethernet erweitert oder vollständig abgelöst. Für die Flexibilität der Scada-Infrastrukturen werden meist Standard-IT-Komponenten eingesetzt. Konfigurationen der Steuerungsebene erfolgen mit Web-Oberflächen. In der Regel ist der direkte Zugriff auf ‚Historian‘-Daten vom Arbeitsplatz der Betriebsleitung oder Geschäftsführung aus gefordert und möglich. Viele Hersteller von Automatisierungen bieten zur Steuerung Web-basierte Human Machine Interfaces oder dedizierte Apps für Tablets und Smartphones. Das Ergebnis ist eine internetfähige Produktionsanlage mit wenigen Sicherheitsfunktionen. Die Erfahrungen zeigen zudem, dass selbst diese Sicherheitselemente oft ungenutzt bleiben. User ID und Passwort sind nicht gesetzt, mit Firmenname/Firmenname kombiniert, oder es wird das Standard-Passwort des Hersteller genutzt. Hier finden Stuxnet und andere Schadsoftware offene Türen und Ausbreitungswege. Zusammengefasst sind dies die maßgeblichen Entwicklungen und Tatsachen für erfolgreiche Cyber-Angriffe:

Kann Stuxnet gefunden werden?

Die Angriffsmethoden von Stuxnet und Co. sind durch eine hohe Flexibilität und Dynamik gekennzeichnet. Intensive Analysen von vorab beschafften Informationen der ausgewählten Ziele ist ebenso ein Merkmal dieser Angriffsmuster wie auch die folgende dauerhafte Attacke. Sie erfolgen durchaus wiederholend, bis der Erfolg erzielt wurde. Dieses Muster vermittelt jedoch zugleich Indizien, die das Auffinden der Schadprogramme ermöglichen. ‚Fortschrittliche, anhaltende Bedrohungen‘ oder ‚advanced persistent threat‘ (APT) wird diese Methode genannt. APTs finden sehr häufig nach folgendem Muster statt:

  1. breite Verteilung des Schadcode
  2. der Schadcode löscht sich selbst, wenn keine passenden Indizien auf dem infiltrierten System zu finden sind
  3. weitere Verbreitung per direkten Datenverbindungen oder infizierten Datenträgern
  4. gegebenenfalls Nachladen von weiterem Schadcode
  5. Ausführung der Manipulation nur auf dem Zielsystem

Anfangs wird demzufolge ein System infiziert und danach verbreitet sich der Schadcode selbstständig. System A wird infiziert und baut dann eigene zusätzliche Verbindungen zu B und C und D und so weiter auf (auch als A-B B-C B-D B-E-Beispiel zu verstehen). Oft geht das mit einer Erhöhung des Datenvolumens einher. Die infizierten Systeme verbinden sich häufig mit ihrer Zentrale um Schadcode nachzuladen. Dieses Verhalten bei der Verbreitung und Kommunikation lässt sich identifizieren. Dabei kommt es häufig vor, dass die Schadsoftware ins Unternehmen getragen wird. Hier werden keine Firewalls umgangen, sondern der ‚Transport‘ erfolgt über andere Wege: Servicepersonal, USB-Sticks oder auch Servicezugänge der Lieferanten ziehen häufig den Einfall der Schadsoftware in das Unternehmen nach sich. Ist eine Schadsoftware im Unternehmen angekommen, spielen herkömmliche Schutzmechanismen keine große Rolle mehr. Würmer verteilen sich im Netzwerk und legen sich zum Beispiel auf einen Netzwerkdrucker, einem Teilnehmer, der von einem klassischen Virenscan nicht berücksichtigt wird. Hinzu kommt, das meistens die Kommunikation von innen nach außen keinen entsprechenden Sicherheitsmechanismen unterliegt.

Welche Unternehmen werden zum Opfer – und warum?

Es gibt vor allem zwei typische Situationen, bei denen ein Unternehmen auf dem Radar eines Angreifers auftauchen kann. Diese sind:

Auch die Angreifer lassen sich kategorisieren. Zum Beispiel nach den Motivationen, denen die Angriffe zugrunde liegen:

 

 

 

Stuxnet hätte gefunden werden können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt: „Zwar gibt es keinen absoluten Schutz, jedoch können Cyber-Angriffe durch geeignete Maßnahmen deutlich erschwert und in ihren Auswirkungen abgeschwächt werden. Neben den präventiven Maßnahmen kommt es dabei auch auf das möglichst frühe Erkennen und auf das professionelle Reagieren im Falle eines Cyber-Angriffs an.“ Für die Automatisierung in der Fertigung, die IT-Infrastruktur in der Produktion und die angebundenen Netzwerke ist es nicht ausreichend, die Funktion der einzelnen Netzwerk-, Steuerungs- und Automatisierungskomponenten zu überwachen. Stuxnet hinterlassen, wie auch andere APTs, Spuren im Netzwerk. Hinweise liefern zusätzliche Verbindungen zwischen zwei oder mehreren Systemen, wo keine Verbindungen sein sollte. Auch Datenkommunikation mit verändertem Volumen, zusätzliche genutzte Protokolle zwischen Systemen, neue ausgehende Verbindungen und andere Indizien für einen Cyber-Angriff lassen sich identifizieren.

Indem Industrieunternehmen kontinuierlich und über alle Netzwerke und Systeme hinweg die Produktionsanlage automatisiert überwachen, lässt sich Stuxnet ausfindig machen. Diese Daten müssen dann als Informationen im Kontext eines Cyber-Angriffes übersichtlich aufbereitet werden, um als Unternehmen handlungsfähig zu sein. Oft fehlt es an dieser Vorgehensweise. Dann wird unter Umständen erst sehr spät in Betracht gezogen, dass eine intelligente Manipulation der Produktionssteuerung der Grund für verzeichnete Ausfälle war. Eine Herausforderung stellt es häufig bereits dar, dass es keine aktuelle Übersicht über alle IT-Systeme gibt. Das lässt sich mit einer IT-Sicherheitsanwendung ändern, die entsprechende Funktionen bereitstellt. Sie sollte in der Lage sein, kontinuierlich und selbständig alle System des Netzwerkes zu identifizieren. Die übergreifende Kontrolle mit einem Logging des Netzwerkverkehrs ist die Grundlage, um Angriffsmuster dieser Ausprägung zu erkennen.

Das passende Konzept entwickeln

Wie läuft die Erkennung von Stuxnet? Eine IT-Sicherheitslösung erfasst zu Beginn automatisch und kontinuierlichen alle ‚Systeme‘ wie Produktionsanlagen, die per Ethernet verbunden sind. Folgend werden das Kommunikationsverhalten der Systeme aufgenommen und überwacht. Es wird nicht in hochkritische, kritische oder normale Systeme unterschieden, da jedes System initial infiziert und somit das Einstiegstor für einen Angriff sein kann. Wichtig ist bei alldem, neue und veränderte Systeme umgehend zu validieren. Wie im A-B B-C B-D B-E-Beispiel dargestellt ist die Vorgehensweise eines APT-Angriffes einerseits davon geprägt, weitere Informationen zu sammeln und andererseits sich weiter zu verbreiten. Dies führt immer zu zusätzlichen und erweiterten Verbindungen, die sich durch eine Sicherheitslösung erkennen lassen. Erkennt die Lösung etwas Auffälliges, löst sie Alarm aus. Eine Herausforderung vieler Angriffe liegt jedoch darin, das die auffällige Kommunikation oft erst mittelbar erfolgt. Nach einer Infektion können Tage vergehen, bis die nächsten Schritte des Angriffes erfolgen. Für Überwachungslösungen stellt dies jedoch in der Regel kein Problem dar. Ist der Schädling erst einmal erkannt, lassen sich Gegenmaßnahmen einleiten und der Eintritt eines weiteren Schadens in vielen Fällen verhindern.