Beitrag drucken

‚Advanced persistant Threats‘ im Produktionsnetzwerk erkennen

Stuxnet auf der Spur

Seit 2010 ist nicht mehr zu wiederlegen, was viele zuvor verdrängt haben. Durch Überwinden der etablierten ‚Industrial Security‘ mit intelligenter und fokussierter Software wurden mehrere Produktionsanlagen maßgeblich geschädigt. Dabei lassen sich die Risiken des Eintretens von Schadensfällen mit einigen Maßnahmen deutlich reduzieren.

Productionsnetzwerk

Bild: VIDEC

Es kann davon ausgegangen werden, dass zukünftig vermehrt Unternehmen in den Fokus von Cyber-Angriffen rücken. Die Entwicklung wird dadurch befördert, dass sich die Investitionen für einen Angriff, etwa mit dem Ziel der Spionage, zur Zeit in Grenzen halten. Wie lassen sich diese Gefahren und somit Risiken für das Unternehmen in den Griff zu bekommen?

Intelligente und dauerhafte Cyber-Angriffe

Seit Stuxnet sind intelligente und dauerhafte Cyber-Angriffe in der Industrie angekommen. Gezielt entwickelte Schadsoftware für bestimmte Automatisierungen oder branchenübliche Lösungen finden fokussiert ihre Ziele, um Manipulation auszuführen. Dies erfolgt überwiegend sogar so gerissen, dass sie ihre eigene Verbreitung und hinterlassene Spuren verstecken. Überdies werden Schäden oft nicht unmittelbar als Cyber-Angriff erkannt. Seit Edward Snowden wissen wir weiterhin, dass nicht nur persönliche Daten ausspioniert werden, sondern das einige Staaten diese Vorgehensweise nutzen, um andere Staaten beziehungsweise deren ‚kritische Infrastrukturen‘ zu schädigen. Natürlich wurden auch in der Privatwirtschaft viele Fälle bekannt, in denen Unternehmen durch dedizierte Angriffe geschädigt wurden, Näheres findet sich im BSI Status Report 2014, Stahlwerk. Des Weiteren gibt es kriminelle Organisationen, die über einen solchen Hebel Geld erpressen wollen. Es geht nicht nur um Wirtschaftsspionage und das Ausspähen von Informationen, obwohl der Wissensvorsprung in Deutschland nach wie vor sehr attraktiv für andere Firmen und Staaten ist. Es geht auch immer stärker um das Initiieren von direkten Schäden in Anlagen und Produkten der Privatwirtschaft.

Produktionsverbesserungen sind die Angriffsfläche

Veränderungen und Verbesserung sind immer ein Spannungsbogen. Aktuell zählt darunter das, was als vertikale oder globale Integration bezeichnet werden kann. Automatisierungen und die genutzten Netzwerke in den Produktionsanlagen sind oft alt. Dabei sind zehn, 15 oder mehr Jahre keine Seltenheit. Die eingesetzten Feldbusse sind häufig sehr speziell und proprietär. Viele Steuerungen nutzen eigene Betriebssysteme und Steuerungslogik. Anlagen und Roboter nutzen einfache Betriebssysteme, zum Beispiel Vxshell oder RTOS. Diese Protokolle und Betriebssysteme kennen keine Funktionen zur Anmeldungen oder eine Verschlüsselung der Kommunikation. Für Arbeiten am System war es immer notwendig, vor Ort an der Anlage zu sein. Diese ‚alten‘ Protokolle und Systeme werden seit Jahren internetfähig gemacht. Die Feldbusse der Steuerung werden mit Profinet oder Industrial Ethernet erweitert oder vollständig abgelöst. Für die Flexibilität der Scada-Infrastrukturen werden meist Standard-IT-Komponenten eingesetzt. Konfigurationen der Steuerungsebene erfolgen mit Web-Oberflächen. In der Regel ist der direkte Zugriff auf ‚Historian‘-Daten vom Arbeitsplatz der Betriebsleitung oder Geschäftsführung aus gefordert und möglich. Viele Hersteller von Automatisierungen bieten zur Steuerung Web-basierte Human Machine Interfaces oder dedizierte Apps für Tablets und Smartphones. Das Ergebnis ist eine internetfähige Produktionsanlage mit wenigen Sicherheitsfunktionen. Die Erfahrungen zeigen zudem, dass selbst diese Sicherheitselemente oft ungenutzt bleiben. User ID und Passwort sind nicht gesetzt, mit Firmenname/Firmenname kombiniert, oder es wird das Standard-Passwort des Hersteller genutzt. Hier finden Stuxnet und andere Schadsoftware offene Türen und Ausbreitungswege. Zusammengefasst sind dies die maßgeblichen Entwicklungen und Tatsachen für erfolgreiche Cyber-Angriffe:

  • die Standardisierung und offenen Kommunikationsverbindungen
  • fehlende aktuelle Übersicht über alle Systeme der Produktionsanlage
  • keine Kontrolle oder Überprüfung, wer mit wem Daten austauscht
  • vorhandene Sicherheitsmechanismen werden nicht genutzt, etwa durch die Nutzung von Standard-Passworten

Kann Stuxnet gefunden werden?

Die Angriffsmethoden von Stuxnet und Co. sind durch eine hohe Flexibilität und Dynamik gekennzeichnet. Intensive Analysen von vorab beschafften Informationen der ausgewählten Ziele ist ebenso ein Merkmal dieser Angriffsmuster wie auch die folgende dauerhafte Attacke. Sie erfolgen durchaus wiederholend, bis der Erfolg erzielt wurde. Dieses Muster vermittelt jedoch zugleich Indizien, die das Auffinden der Schadprogramme ermöglichen. ‚Fortschrittliche, anhaltende Bedrohungen‘ oder ‚advanced persistent threat‘ (APT) wird diese Methode genannt. APTs finden sehr häufig nach folgendem Muster statt:

  1. breite Verteilung des Schadcode
  2. der Schadcode löscht sich selbst, wenn keine passenden Indizien auf dem infiltrierten System zu finden sind
  3. weitere Verbreitung per direkten Datenverbindungen oder infizierten Datenträgern
  4. gegebenenfalls Nachladen von weiterem Schadcode
  5. Ausführung der Manipulation nur auf dem Zielsystem

Anfangs wird demzufolge ein System infiziert und danach verbreitet sich der Schadcode selbstständig. System A wird infiziert und baut dann eigene zusätzliche Verbindungen zu B und C und D und so weiter auf (auch als A-B B-C B-D B-E-Beispiel zu verstehen). Oft geht das mit einer Erhöhung des Datenvolumens einher. Die infizierten Systeme verbinden sich häufig mit ihrer Zentrale um Schadcode nachzuladen. Dieses Verhalten bei der Verbreitung und Kommunikation lässt sich identifizieren. Dabei kommt es häufig vor, dass die Schadsoftware ins Unternehmen getragen wird. Hier werden keine Firewalls umgangen, sondern der ‚Transport‘ erfolgt über andere Wege: Servicepersonal, USB-Sticks oder auch Servicezugänge der Lieferanten ziehen häufig den Einfall der Schadsoftware in das Unternehmen nach sich. Ist eine Schadsoftware im Unternehmen angekommen, spielen herkömmliche Schutzmechanismen keine große Rolle mehr. Würmer verteilen sich im Netzwerk und legen sich zum Beispiel auf einen Netzwerkdrucker, einem Teilnehmer, der von einem klassischen Virenscan nicht berücksichtigt wird. Hinzu kommt, das meistens die Kommunikation von innen nach außen keinen entsprechenden Sicherheitsmechanismen unterliegt.


Das könnte Sie auch interessieren:

Automatisierter Schutz fürkritische Infrastrukturen

Die Vernetzung industrieller Infrastrukturen über das Internet birgt unbestreitbar viel Potenzial und ermöglicht die Steuerung und Überwachung von Produktionsanlagen mit deutlich geringerem Aufwand. Allerdings stellt jedes zusätzlich verknüpfte Element ein potenzielles Einfallstor für Hacker dar. Die Folgen sind vielfältig und reichen vom Diebstahl geistigen Eigentums bis zum Kappen lebensnotwendiger Güter wie Wasser oder Strom. Daher muss ein wirksamer Schutz in der Industrie oberste Priorität haben. Automatisierte Sicherheitslösungen und herstellerübergreifender Austausch stellen einen effektiven Schutz bereit und verbessern die angespannte Situation durch den wachsenden Fachkräftemangel.‣ weiterlesen

3D-Druck in 16 Millionen Farben

XYZ Printings hat den 3D-Drucker da Vinci Color vorgestellt, der die 3DColorJet-Technologie beherrscht. Das Gerät kann CMYK-Farben miteinander vermischen und sie auf PLA-Filamente aufbringen können. ‣ weiterlesen

Dell rüstet sein robustes Tablet auf

Dell hat Version 7212 des Latitude Rugged Extreme-Tablet vorgestellt. Die Geräte kommen mit neuen Prozessoren, Speicherupgrades, längerer Akkulaufzeit und weniger Gewicht. ‣ weiterlesen

Lehre mit Robotern

Das Ramtec Career Center in Ohio ist die Heimat des größten Ausbildungszentrums für Robotertechnik in den USA. Hier werden qualifizierte Arbeitskräfte für den Fertigungsbereich aus- und weitergebildet – mit kollaborierenden Leichtbaurobotern von Universal Robots. ‣ weiterlesen

Daten für die vierte industrielle Revolution

Mit seinem Technologieprogramm ‚Smart Data – Innovationen aus Daten‘ will das Bundesministerium für Wirtschaft und Energie die intelligente Nutzung von Daten in Deutschland fördern. Hierfür forschen aktuell vier Projekte an innovativen Lösungen für die Industrie. Ein Überblick. ‣ weiterlesen

IIRA-konforme Konnektivitätssoftware für das IIoT

Real-Time Innovations (RTI) veröffentlicht heute die erste Konnektivitätssoftware, die dafür entwickelt wurde, geschichtete Datenbus-Architekturen für IIoT-Systeme von Systemen zu konstruieren: RTI Connext DDS 5.3.‣ weiterlesen