Ende vergangenen Jahres berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass ein deutsches Stahlwerk gehackt wurde - unter anderem fielen die Steuerelemente aus, ein Stahlofen ließ sich nicht mehr herunterfahren.
Obwohl generell das Bewusstsein für Internetattacken auf kritische Systeme wie industrielle Steuerungssysteme steigt, wird bei zahlreichen IT-Sicherheitsmodellen in diesem Bereich noch zu sehr auf die physische Isolation von Systemen und das Konzept "Sicherheit durch Unklarheit" gesetzt (Geheimhaltung der Funktionsweise / Obfuskation). Beide Ansätze bieten für Systeme, die meist ein besonders hohes Maß an Sicherheit benötigen, allerdings nur unzureichenden Schutz.
Im Folgenden widerlegen wir fünf gängige Mythen zum Thema IT-Security für industrielle Systeme. Die Wichtigkeit des Themas ist evident. Denn sogenannte "Air-gap"- und perimeterbasierte Ansätze sind für die Cyber-Sicherheit von Industriesystemen längst nicht mehr ausreichend.
Mythos 1: Offline = sicher
Ein durchschnittliches industrielles Steuerungssystem hat elf direkte Verbindungen zum Internet - so eine Securelist-Untersuchung aus dem Oktober 2012. Darüber hinaus zeigte eine interne Umfrage bei einem großen Energiekonzern bereits 2006: Der Großteil der Bereichsleiter ist der Meinung, dass ihre Steuerungssysteme nicht mit dem Unternehmensnetzwerk verbunden seien. Ein Irrglaube, denn 89 Prozent der Systeme waren vernetzt. Zudem berücksichtigten die Sicherheitssysteme des Unternehmensnetzwerks nur die allgemeinen Unternehmensprozesse und nicht die kritischen Prozesssysteme. Es waren zahlreiche Verbindungen zwischen dem Unternehmensnetzwerk und dem Internet vorhanden - einschließlich Intranet, direkter Internetverbindungen, WLAN- und Einwahlmodems.
Foto: Kaspersky Lab
Derartige uneinheitliche Sicherheitskonzepte machen Unternehmen angreifbar. Der Wurm "Slammer" etwa attackierte kritische Infrastrukturen, genauso wie Notdienste, die Flugüberwachung und Geldautomaten. Dank Internet erreichte er seine volle Scan-Rate (55 Millionen Scans pro Sekunde) in weniger als drei Minuten. Ironischerweise konnte er nur durch die fehlende Bandbreite in den kompromittierten Netzwerken abgebremst werden. Folgende Einrichtungen waren betroffen:
Die Prozessrechner und Anzeigen des Sicherheitssystems des Kernkraftwerks Davis-Besse wurden über eine T1-Leitung zu einem Auftragnehmer infiziert. Die Sicherheitsüberwachungssysteme waren für fünf Stunden offline.
Die nordamerikanische Non-Profit-Organisation North American Electric Reliability Council (NERC) fand heraus, dass die Infektion bei den von "Slammer" betroffenen Elektrounternehmen über eine VPN-Verbindung zu einem Remote-Computer erfolgte. Der Computer wurde wiederum über das Unternehmensnetzwerk infiziert. Der Wurm verbreitete sich und blockierte den SCADA-Datenverkehr.
Harrisburg Water Systems in den USA wurde über einen infizierten Mitarbeiter-Laptop infiltriert. Cyber-Kriminelle nutzten den Remote-Zugang des Mitarbeiters, um eine SCADA-HMI zu kompromittieren und Schadprogramme sowie Spyware zu installieren.
Mythos 2: Eine Firewall schützt
Firewalls schützen bis zu einem gewissen Grad, sie sind jedoch nicht unüberwindbar. Eine Untersuchung von 37 Firewalls in Finanz-, Energie-, Telekommunikations-, Medien- und Automobilunternehmen aus dem Jahr 2004 durch Avishai Wood ergab, dass:
fast 80 Prozent beliebige Dienste auf Basis der Inbound-Regeln sowie den ungesicherten Zugang zur Firewall und demilitarisierten Zonen erlauben und
fast 70 Prozent Maschinen außerhalb der Netzwerkperimeter den Zugang und die Verwaltung der Firewall gewährten.
Mythos 3: Hacker verstehen nichts von SCADA
In der Hacker-Szene werden die Themenbereiche SCADA und Prozessleitsysteme diskutiert. Dafür gibt es einen guten Grund: Cyber-Kriminalität ist zu einem finanziell lukrativen Geschäft geworden. So werden Zero-Day-Exploits - also noch ungepatchte Programmschwachstellen - für 80.000 Dollar pro Exploit an Vertreter der organisierten Kriminalität verkauft. Folgende Gründe zeigen, dass die Annahme nicht der Wahrheit entspricht, Hacker hätten kein Interesse oder nicht das nötige Know-how, um industrielle Steuerungssysteme anzugreifen:
Zielgerichtete Würmer und andere Exploits werden zurzeit auf spezifische Anwendungen und Ziele zugeschnitten.
Handelsübliche SCADA-Spezifikationen können online gekauft werden oder sind online zugänglich. Eine gute Lektüre für Hacker, um diese Systeme mitsamt ihren Schwächen besser verstehen zu können.
Die Suchmaschine Shodan ermöglicht eine einfache Suche nach ungesicherten Industriegeräten und -systemen weltweit. Kriminelle wissen nur allzu gut, dass viele dieser Geräte mit Werkseinstellungen, generischen Passwörtern und Zugangsdaten wie "admin" oder "1234" genutzt werden.
Das Basecamp-Projekt, Nessu Plugins und Metasploit-Module helfen bei Penetrationstests, können aber auch für kriminelle Zwecke genutzt werden.
Foto: Kaspersky Lab
Mythos 4: Ein Angriff ist unwahrscheinlich
Zunächst einmal muss ein Unternehmen kein direktes Ziel einer Attacke sein, um Opfer davon zu werden - 80 Prozent der Sicherheitsvorfälle in Bezug auf Steuerungssysteme waren unbeabsichtigt, aber schädlich, so eine Untersuchung von securityincidents.net/RISI aus dem Jahr 2013. "Slammer" beispielsweise zielte darauf ab, so viele Systeme weltweit wie möglich anzugreifen. Obwohl der Wurm nicht darauf ausgelegt ist, speziell Energieunternehmen oder Notfalldienste zu attackieren, hatten verschiedenste Bereiche mit signifikanten Auswirkungen zu kämpfen: Notrufnummern von Polizei- und Feuerwehrbezirken sowie Webseiten von Kreditunternehmen und Geldautomaten wurden über Slammer außer Betrieb gesetzt.
Foto: Kaspersky Lab
Zudem sind viele Systeme bereits attackiert worden und generell angreifbar - aufgrund der unsicheren Betriebssysteme, auf denen sie basieren. Umfangreiche Studien von Kaspersky Lab, basierend auf Daten des Kaspersky Security Network, zeigen folgendes Bild: Immer mehr Rechner, die SCADA-Software nutzen, sind von derselben Schadsoftware betroffen, der auch die allgemeinen IT-Systeme von Unternehmen ausgesetzt sind - wie zum Beispiel Trojaner, Würmer, potenziell unerwünschte und gefährliche Programme (PUPs) sowie andere Exploits, die Schwachstellen im Windows-Betriebssystem ausnutzen. Hier ein Vergleich, wie viele der untersuchten "klassischen" IT-Geräte und wie viele der SCADA-Systeme von bestimmten Schädlingen befallen waren:
IT | SCADA | |
Trojaner | 65,45% | 43,44% |
PUPs (ungewollte Programme) | 11,17% | 37,03% |
Würmer | 7,52% | 13,43% |
Viren | 15,86% | 6,1% |
Mythos 5: Sicherheitssysteme schützen vor Angriffen
Aktuelle Sicherheitssysteme können technische Fehler aufweisen. Dies sind einige der größten Sicherheitsprobleme derzeitiger Systeme:
Die Zertifizierung IEC 61508 (SIL) bewertet nicht das Maß an Sicherheit.
Moderne Sicherheitssysteme basieren auf Mikroprozessoren und sind programmierbare Systeme, die über Windows-PCs konfiguriert werden.
Es ist üblich geworden, Kontroll- und Sicherheitssysteme zu integrieren, indem man Ethernet-Kommunikation mit offenen, unsicheren Protokollen (Modbus TCP, OPC) nutzt.
Viele Module der Kommunikationsschnittstellen von Sicherheitssystemen nutzen eingebettete Betriebssysteme und Protokollstapel, die bekannte Schwachstellen haben.
LOGIIC SIS Project (ICSJWG): Die Integration von SIS-ICS birgt Risiken, die Standardeinstellungen sind nicht sicher. (sh)