Anlagen und Maschinen in Gefahr

Cyberattacken abfangen

Im Zuge der zunehmenden industriellen Vernetzung – Stichwort Industrie 4.0 –steigt die Gefahr von Cyberattacken auf kritische Infrastrukturen, Anlagen und Maschinen. Für die Verantwortlichen gilt es, potentielle Einfallstore möglichst schnell zu identifizieren und sicher zu verschließen.

Boxen, Bildquelle: Thinkstock/iStockphoto

Cyberkriminelle nehmen heutzutage nicht mehr nur Unternehmensnetze und Webseiten ins Visier, sondern konzentrieren sich zunehmend auf die Sabotage industrieller Infrastrukturen. Mögliche Ziele könnten sein: die Anlagen von Energie- und Wasserversorgern, Logistik- und Transportunternehmen oder die Maschinenparks in der Fertigungsbranche. Experten wie Ralph Kreter, Director Central Europe bei Logrhythm, bestätigen diese Einschätzung. Seiner Ansicht nach hat sich der Fokus von Cyberattacken in den letzten Jahren bedenklich verschoben. „Neben dem Diebstahl von Informationen und Finanzdelikten werden immer häufiger wichtige und kritische Infrastruktursysteme Ziel von Angriffen – mit negativen globalen Auswirkungen“, so Kreter. Dies sei in hohem Maße besorgniserregend, auch da die Kontrolle vieler Dinge des täglichen Lebens zunehmend über das Internet erfolge – von Verkehrssystemen über Bankautomaten bis hin zu intelligenten Stromzählern oder anderen Infrastrukturkomponenten. „Damit steigt die Zahl potentieller Schwachstellen in den nächsten Jahren kontinuierlich an. Hinzu kommt, dass viele der landesweit eingesetzten Infrastrukturen noch aus der Zeit vor der großen Kommerzialisierung des Internets stammen und die Kontrolle der Systemsicherheit oft auf physikalische Komponenten beschränkt ist“, ergänzt Kreter.

Dass solche Beschreibungen weit mehr als bloße Panikmache sind, bestätigen einige in der Vergangenheit durchgeführte Angriffe. Bestehende Schadprogramme wie Duqu, Flame oder Stuxnet beweisen laut Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn, dass Attacken auf die IT-Infrastruktur kritischer Systeme kein Einzelfall mehr sind. „Auch die Angriffe auf Qatar Rasgas und den saudischen Ölkonzern Saudi Aramco im vergangenen August durch den Virus Shamoon verdeutlichen die Gefahr, die für Industrieanlagen, Strom- und Wasserversorgungssysteme oder die Zug- und Flugsicherung besteht“, so Koehler. Denn wie Aramco erst kürzlich bestätigte, war es das Hauptziel der Attacke, die Öl- und Gasproduktion des Unternehmens zu stoppen.

Während die saudischen Verantwortlichen Wind von dem Angriff bekamen, laufen eine Vielzahl der Attacken im Verborgenen ab: Sie werden überhaupt entweder gar nicht oder wenn, dann erst mit deutlicher Zeitverzögerung entdeckt. Zu diesem Ergebnis kommt der „Global Security Report 2013“ von Trustwave, wie John Yeo, Director EMEA bei dem Sicherheitsspezialisten, erklärt: „Unsere Untersuchung brachte zutage, dass Unternehmen Sicherheitsverletzungen häufig nur unzureichend selbst entdecken. So lag die durchschnittliche Zeit, die die Verantwortlichen im letzten Jahr vom Eindringen bis zur Behebung des Problems benötigten, bei 210 Tagen. Das heißt, sie brauchten ganze 35 Tage länger als noch im Jahr 2011.“ Fehlende, effektive Kontrollen zur Datenerfassung und zur Überwachung seien dabei die häufigsten Gründe, warum Sicherheitsverletzungen nicht rechtzeitig entdeckt würden. Um dies zu vermeiden, rät Yeo zur Anwendung eines kombinierten Sicherheitsansatzes, der Mitarbeiter, Prozesse und Technologien umfasst. Denn damit könnten Aktivitäten auf Netzwerk- und Systemebene überwacht und abweichendes Verhalten erkannt werden.

Das Ausmaß der Cyberattacken wird überdies in den jährlichen Berichten zur Sicherheitslage diverser IT-Anbieter offensichtlich. So informiert HP in seinem „Cyber Security Risk Report“ aktuell über die Bedrohungslage für verschiedene IT-Systeme. Dabei ermittelte man u.a. folgendes: Die Schwachstellen in maschinellen Steuerungssystemen nahmen von nur 22 im Jahr 2008 um 768 Prozent auf 191 Schwachstellen im Jahr 2012 zu. Desweiteren wagte der Anbieter Trend Micro kürzlich ein kühnes Experiment, um die zur Sicherheit von ICS-Systemen (Industrial Control Systems) sowie Scada-Netzen (Supervisory Control and Data Acquisition Networks) auf den Prüfstein zu stellen.

Für den Praxistest wählten die Bedrohungsforscher eine Kleinstadt in den USA mit 8.000 Einwohnern. Dort erstellten sie in einer – fiktiven – Pumpstation ein Wasserdruckkontrollsystem, das im Internet sichtbar ist. Lediglich die Wasserpumpen selbst existierten nicht, alle anderen Komponenten waren vorhanden. Dazu zählten neben den Steuerungseinheiten für die Wasserpumpen und den Computern auch die online abrufbaren technischen Dokumentationen der Pumpstationen, die entsprechend präpariert waren und angeblich von der Stadtverwaltung stammten.

Im Rahmen des Modellversuchs wurde eine sogenannte Honeypot-Architektur erstellt, die solche ICS- und Scada-Geräte nachahmt, die am häufigsten mit dem Internet verbunden sind. Um eine realistische Umgebung abzubilden, enthielten die drei Honeypots herkömmliche Schwachstellen, wie sie bei Systemen dieser Art des öfteren vorkommen. Konkret ging es den Forschern darum, zu prüfen, wer welche Teile der mit dem Internet verbundenen ICS-/Scada-Geräte angreift und wozu dies geschieht. Zudem wollte das Team herausfinden, ob die Angriffe auf diese Systeme zielgerichtet ausgeführt werden. Das Ergebnis: Innerhalb eines knappen Monats verzeichnete man 39 Angriffe aus 14 Ländern. Aus China kamen mit 35 Prozent die meisten, gefolgt von den USA mit 19 Prozent und Laos mit zwölf Prozent. Zwölf Angriffe lassen sich als „gezielt“ klassifizieren, 13 wurden von einem oder mehreren Absendern an mehreren Tagen wiederholt ausgeführt. Diese könne man als „gezielt“ und/oder „automatisiert“ beschreiben. Die restlichen 14 Angriffe, allesamt ebenfalls gezielt, werden derzeit noch weiter untersucht. „Über die Motive der Angreifer können wir nur spekulieren. Es zeigt sich aber, dass ein buchstäblich weltweites Interesse an einer so harmlosen Sache wie Wasserpumpen besteht. Während manche Angreifer vor allem an den technischen Details interessiert waren, versuchten andere, die Systeme zu beeinflussen oder zu zerstören“, kommentiert Udo Schneider, PR-Manager bei Trend Micro, die Ergebnisse.

Industriesysteme als leichte Beute

Bei den untersuchten ICS- und Scada-Systemen handelt es sich um Automatisierungs-, Prozesssteuerungs- und -leitsysteme, die in nahezu allen Infrastrukturen eingesetzt werden, die physische Prozesse abwickeln – von der Stromerzeugung und -verteilung über Gas- und Wasserversorgung bis hin zur Produktion, Verkehrsleittechnik oder im modernen Gebäudemanagement. Doch warum stellen diese Systeme für Angreifer gemeinhin eine leichte Beute dar? Die Gründe sind vielfältig. „Die Lebensdauer von Industrieanlagen kann deutlich über zehn Jahre hinausgehen, was bedeutet, dass diese oft von veralteter Hard- und Software gesteuert werden, inklusive der bekannten und öffentlich verfügbaren Informationen über kritische Schwachstellen“, berichtet Marco Preuß, Head of Global Research and Analysis Team bei Kaspersky Lab DACH.

In diesem Zusammenhang verweist John Yeo von Trustwave darauf, dass die Sicherheit bei Industriesteuerungen bis vor einigen Jahren als unwichtig eingeschätzt wurde. „Traditionell waren diese Systeme nicht mit anderen verbunden. Mittlerweile basieren sie jedoch auf weitverbreiteten Betriebssystemen und stützen sich auf gewöhnliche Netzwerkprotokolle wie TCP/IP“, so Yeo. Der Wechsel vieler Scada-Systeme von proprietären Betriebssystemen zu Windows oder anderen erfolgt zumeist, um Kosten zu sparen. „Dies erhöht das Risiko für Angriffe jedoch, insbesondere da es für Angreifer leichter ist, eine Methode mit nur kleinen Anpassungen wiederzuverwenden“, berichtet Jason Steer, Produktmanager bei Fire Eye.

Da Steuerelemente laut John Yeo ursprünglich vom Internet abgekoppelt waren, wurde bereits bei deren Design kaum Rücksicht auf Sicherheitsanforderungen genommen – was sich mittlerweile durchaus rächen kann. „Hinzukommt, dass auf Industrieanlagen standardisierte Sicherheitsmechanismen wie Virenscanner oder lokale Firewalls häufig gar nicht installiert werden dürfen“, ergänzt Olav Strand, Director Deutschland, Schweiz und Österreich bei Splunk. Überdies bemerkt Strand, dass Patchzyklen in vielen Betrieben oftmals nicht in die bestehenden Produktionsprozesse einbezogen werden.

Ein weiteres Problem spricht Jason Steer mit den sogenannten „Air Gaps“ an. Dabei handelt es sich um die bewusste Nichtvernetzung bestimmter Systeme, d.h. um einen Prozess, der zwei IT-Systeme voneinander physisch und logisch trennt, aber dennoch die Übertragung von Nutzdaten zulässt. In der Regel wird der Datenaustauch durch ein Speichermedium wie USB-Stick oder CD realisiert. Dabei wird das transportable Medium in das Quellsystem eingelegt, dort beschrieben, aus diesem entfernt und in das Zielsystem eingelegt, wo der Inhalt gelesen und verarbeitet wird. „Doch selbst diese Vorgehensweise schließt Angriffe nicht vollends aus, da spezielle Attacken angewandt werden, die Air Gaps umgehen“, so Steer. Dies kann über die fast schon klassische Social-Engineering-Methode erfolgen, einen USB-Stick oder eine CD/DVD an einem allgemein zugänglichen Ort wie dem Parkplatz oder an der Rezeption zu platzieren. „Der Reiz für den Finder, solch einen Datenträger mit dem eigenen Computer zu verbinden, ist groß – zumal dann, wenn er mit einer Aufschrift wie „Bitte umgehend der IT-Abteilung aushändigen“ versehen ist“, glaubt Ralph Kreter.

Viel zu sorglos

Generell unterscheidet Marco Preuß zwischen externen und internen Gefahrenquellen im industriellen Umfeld. So können Angriffe auf Hardware- und Softwaresysteme von kriminellen Gruppen ausgehen, die auf die Integrität von Informationen in Anlagennetzwerken abzielen und ihren Ursprung im Internet haben. Daneben entstehen interne Bedrohungen gewöhnlich durch Mängel oder Unkenntnis administrativer Sicherheitsmaßnahmen. „Ein interner Angriff kann durch einen infizierten USB-Stick oder durch das Ausnutzen netzinterner Mechanismen ausgelöst werden. Schadsoftware kann sich beispielsweise verbreiten, indem gemeinsam genutzte Ordner oder Schwachstellen in Netzwerkdiensten missbraucht werden. Darüber hinaus führen ineffiziente Sicherheitsrichtlinien häufig dazu, dass Anlagenbetreiber zu sorglos agieren oder beispielweise Scada-Knotenpunkte direkt mit dem Internet verbinden, etwa um bequemere Remote-Control-Funktionen einsetzen zu können. Leider sind solche großen Sicherheitsprobleme in diesem Bereich sehr typisch“, betont Preuß.

Apropos Remote-Zugriff. Hier schlummert großes Bedrohungspotential, wie John Yeo bemerkt. So kam der eingangs erwähnte Sicherheitsreport von Trustwave zu dem Ergebnis, dass Angreifer sehr oft Lösungen für den Remote-Zugriff attackieren, um in der Systemumgebung Fuß fassen zu können. Anschließend starten von diesem Ausgangspunkt dann weitere Angriffe. „Häufig werden zunächst Schwächen wie einfach zu erratende bzw. voreingestellte Passwörter, neudeutsch Default-Passwort, oder eine fehlende Zwei-Faktor Authentifizierung ausgenutzt. Im Anschluss daran erfolgt dann die schwerwiegendere Attacke“, so Yeo. Gemäß dem Report waren bei 47 Prozent der 450 im Jahre 2012 analysierten Sicherheitsverletzungen, Lösungen für Remote-Zugriff die Stelle, an der Angreifer zuerst eindringen konnten.

Zudem kristallisieren sich unsichere Passwörter als beliebtes Einfallstor für Cyberkriminelle heraus. Von daher sollten die Verantwortlichen laut Jochen Koehler von Cyber-Ark vor allem auf die Nutzung privilegierter Benutzerkonten, wie sie Administratoren besitzen, achten. Eine typische IT- und Produktionsumgebung besteht aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten sowie Scada-Systemen, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. „Die Passwörter dieser Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen und Systemen“, ist sich Koehler sicher. Diese Passwortproblematik bekommt man zum Beispiel mit Privileged-Identity-Management-Plattformen (PIM) in den Griff. Mit ihrer Hilfe können privilegierte Benutzerkonten automatisch verwaltet, regelmäßig geändert und überwacht werden. „Mit einer PIM-Lösung kann jeder Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden. Superuser-Accounts werden vollautomatisch verwaltet, in Anwendungscodes eingebettete Klartext-Passwörter gänzlich eliminiert und Admin-Sessions vollständig protokolliert“, fasst Koehler zusammen.

Nicht zuletzt identifiziert Ralph Kreter von Logrhythm weitere Gefahrenquellen: „Neben E-Mail- oder webbasierten Attacken ist es besonders einfach, digitale Geräte direkt an der Quelle – sprich beim Hersteller oder Händler – zu manipulieren, um sich dort einen Zugang zu dem Gerät zu verschaffen.“ Denkbar sei, dass Malware direkt in den Computerchips abgelegt wird, die bei der Produktion einer Klimatisierungslösung zum Einsatz kommen oder bei einem Lesegerät für digitale Berechtigungsausweise, die für die Zugangs- und Zugriffskontrolle genutzt werden. „Wenn solch ein System installiert und in das Netzwerk eines Unternehmens eingebunden ist, kann die Malware versuchen, sich innerhalb des Netzes zu verbreiten“, so Kreter.

Angriffe eindämmen

Doch was ist zu tun, wenn eine Attacke auf die eigenen Industriesysteme erfolgte? Für diesen Fall hat Olav Strand von Splunk einige Tipps parat: „Im ersten Schritt sollten die betroffenen Systeme vom Internetzugriff getrennt werden. Zudem sollte man jeglichen Maschinen-Output überprüfen und das Verhalten der Maschinen im Auge behalten.“ Im Anschluss daran müssten auch andere Systeme auf wiederkehrende Muster hin überprüft und gegebenenfalls Spezialisten zur genauen Untersuchung herangezogen werden. Letztlich gilt es für Olav Strand auch abzuwägen, ob die Systeme komplett abgeschaltet werden können.

Um Angriffe bereits im Keim zu ersticken, sollten die Verantwortlichen ihre Sicherheitsmaßnahmen hinterfragen und bei Bedarf auf den neuesten Stand bringen. So lohnen sich laut Marco Preuß Investitionen in ein zuverlässiges Monitoring der Anlagen: „Betreiber solcher Systeme müssen präzise Informationen über ihre Systemknotenpunkte haben, wie beispielsweise die Telemetrie (Übertragung von Messwerten) bestimmter Kontrollsysteme.“ Dies allein könne die Attacken zwar nicht vermeiden, allerdings könnten die Ursachen von Vorfällen erkannt und Gegenmaßnahmen eingeleitet werden. Kaspersky Lab selbst forscht in diesem Bereich bereits seit Jahren und kündigte bereits im Herbst 2012 ein eigens entwickeltes Betriebssystem für kritische Industrieanlagen an. „Damit lösen wir das Problem des unzuverlässigen Monitorings durch ein zusätzliches, stark geschütztes Kontroll-Level“, ergänzt Preuß. Kombiniert mit traditionellen Sicherheitstechnologien wie exakten Risiko-Evaluationsystemen, Entwicklung von Säuberungsfunktionen, der Einführung von Sicherheitsrichtlinien sowie zeitnahen Software-Updates soll das Betriebssystem einen effektiveren Schutz für kritische Infrastruktursysteme bieten.

Der Sicherheitsanbieter Cisco versucht ebenfalls potentielle Lücken in ICS- und Scada-Systemen zu schließen. „Wir stellen pro Monat fünf bis acht spezielle Intrusion-Prevention-System-Signaturen (IPS) für Scada und ICS bereit, die wir auch in Kooperation mit anderen Anbietern wie Wurldtech entwickeln. Dabei besitzt unser IPS eine eigene Klasse für Industriesysteme etwa von ABB, GE, Honeywell, Schneider oder Siemens. Zudem stellen wir Netzwerk-Management-Systeme bereit, die IT-Experten aufzeigen, was im Netz geschieht, zum Beispiel über die Prüfung der Traffic-Profile durch Netflow“, berichtet Thorsten Rosendahl, Sicherheitsberater bei Cisco Deutschland.

Nationale und internationale Kampfansagen

Die Vorstellung, dass sich Cyberkriminelle zu Anlagen wie Atomkraftwerken unentdeckt Zugang verschaffen könnten, ist alles andere als beruhigend. Die Regierungen dieser Welt schätzen diese Situation ähnlich ein und versuchen, dem Cyberterrorismus möglichst einen Riegel vorzuschieben, „Die Bemühungen stehen erst am Anfang, doch zumindest ist den Verantwortlichen – national wie international – inzwischen die Gefahr durch digitale Angriffe auf Industrieanlagen und Infrastrukturen bewusst“, erklärt Thomas Rosendahl. So gebe es in immer mehr Ländern Cyber-Sicherheitsbeauftragte und -behörden. Hierzulande zählen dazu die Beauftragte der Bundesregierung für Informationstechnik, Cornelia Rogall-Grothe, sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Auf europäischer Ebene arbeitet beispielsweise Interpol gemeinsam mit der Europäischen Union an Strategien, die sowohl Unternehmen als auch Individuen vor Angriffen über das Internet schützen sollen. „Überdies hat die EU gerade ein Cybercrime-Zentrum eingerichtet, das dem Schutz kritischer Infrastruktursysteme gegen Cyberangriffe dienen soll“, ergänzt Jason Steer von Fire Eye. Und erst jüngst veröffentlichte die Nato in einem neuen Handbuch einen Verhaltenskodex für die Kriegsführung im Cyberspace. In dem Dokument wird unter anderem vor Cyberangriffen auf kritische Infrastruktureinrichtungen wie Krankenhäuser oder Atomkraftwerke gewarnt, die zwar als militärische Ziele festgelegt sein können, bei deren Abschaltung, Beschädigung oder Zerstörung aber mit hohen Opferzahlen zu rechnen ist. Zusammengestellt wurde der erstmalige Regelentwurf von einer 20-köpfigen Expertenkommission des „Cooperative Cyber Defence Center of Excellence“ mit Sitz in der estnischen Hauptstadt Tallinn. Das Kompetenzzentrum wurde 2008 nach einer Serie an Cyberangriffen auf Estland ins Leben gerufen, die vermutlich von Russland aus gestartet worden waren.

Neben diesen internationalen Bemühungen gibt es auch einige nationale Aktivitäten. So startete im November 2012 die „Allianz für Cyber-Sicherheit“, mit dem Ziel, aktuelle Informationen zur Cybersicherheit in Deutschland bereitzustellen sowie ein umfassendes Bild der aktuellen Gefährdungslage – auch für ICS- und Scada-Systeme – zu ermöglichen. Die Initiative richtet sich an IT- und Sicherheitsverantwortliche in Unternehmen und Organisationen jeglicher Größe und wurde gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) ins Leben gerufen.

Nicht zuletzt fördert der Branchenverband eine weitere Initiative. So gibt es seit 2011 eine Sicherheitskooperation zwischen dem Bitkom und dem Landeskriminalamt Nordrhein-Westfalen (LKA NRW), der Anfang März auch das LKA Baden-Württemberg beitrat. Ziel der Aktion ist es, den Informations- und Wissensaustausch zwischen Wirtschaft und Sicherheitsbehörden über technologische Entwicklungen und aktuelle kriminelle Phänomene zu fördern sowie Präventionsmaßnahmen zu entwickeln und umzusetzen. Damit will man neuen Erscheinungsformen des Cyber Crime frühzeitig begegnen und Angreifern von vorneherein das Garaus machen.


Top-10-Bedrohungen für industrielle Kontrollsysteme

  • 1. Unberechtigte Nutzung von Fernwartungszugängen
  • 2. Online-Angriffe über Office-/Enterprise-Netze
  • 3. Angriffe auf im ICS-Netz (Industrial Control Systems) eingesetzte Standardkomponenten
  • 4. (D)DoS-Angriffe
  • 5. Menschliches Fehlverhalten und Sabotage
  • 6. Einschleusen von Schadcode über Wechseldatenträger und externe Hardware
  • 7. Lesen und Schreiben von Nachrichten im ICS-Netz
  • 8. Unberechtigter Zugriff auf Ressourcen
  • 9. Angriffe auf Netzwerkkomponenten
  • 10. Technisches Fehlverhalten und höhere Gewalt

Quelle: www.allianz-fuer-cybersicherheit.de


Sicherheitsmaßnahmen

Um das Risiko einer Cyberattacke so weit wie möglich zu minimieren, sollten Anwender ein Abwehrsystem aus mehreren Komponenten aufbauen. Dazu gehören beispielsweise:

  • SIEM-Systeme (Security information and event management), um Korrelationen zwischen den Informationen verschiedener Sicherheitssysteme (Intrusion-Prevention-System, Firewall, Antivirensoftware etc.) herzustellen.
  • Eine entsprechende Lösung zur Abwehr von Advanced Persistent Threats (APT)
  • Malware-Analyse-Tools, um Schadsoftware, die versucht ins System einzudringen, zu erkennen und ihre Wirkungsweise zu analysieren
  • Umfassende forensische Analysesysteme, um USB-Sticks und andere Speichermedien, die zur Überbrückung von „Air Gaps“ verwendet werden können, zu scannen.

Ad-hoc-Maßnahmen

Für den Fall, dass Cyberangriffe auf Anlagen entdeckt werden, hat die Minimierung des weiteren Risikos oberste Priorität. Das bedeutet, dass man das infizierte System vom Netzwerk trennt und nachvollzieht, wie die Attacke abgelaufen ist. Hierzu gehören Schritte, wie:

  • Analyse von Logs und forensischen Daten aus dem System, um den Tathergang zu rekonstruieren
  • Sicherstellen von Schadcodes, die während des Angriffs eingesetzt wurde, um das System gegen diese Art Malware in Zukunft sichern zu können
  • Empfehlenswert ist es, alle gesammelten Informationen mit der IT-Security-Community zu teilen – denn dadurch kann man gemeinsam an einem erhöhten Sicherheitslevel für kritische Infrastrukturen arbeiten.

Quelle: Jason Steer, EMEA Product Manager bei unserem Kunden Fire Eye

 

Bildquelle: Thinkstock/iStockphoto

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok