23.07.2014

Industrial Security:

Security-Lösungen für eine sichere 4. Industrielle Revolution

Industrieanlagen in Automation und Energietechnik bieten zunehmend Angriffsflächen für Cyber-Attacken. Angriffe werden immer gezielter, wie schon der Stuxnet-Angriff im Juli 2010 gezeigt hat. Auch benötigen Angreifer immer weniger Spezialwissen. Sie haben stattdessen effektive Tools und eine vernetzte Community.


Bild 1:
Bild: Hoffmann Engineering GmbH

Technik und Infrastruktur sind in steigendem Maße Gefahren und Risiken ausgesetzt. Auch dürfen neue innovative Konzepte und Flexibilisierungspotentiale wie Industrie 4.0 nicht an Security-Gefahren scheitern. So wird für die Fertigungsautomation oft behauptet, dass sie keine direkte Verbindung mit dem Internet hat und dadurch nicht gefährdet ist. Doch dies ist ein Trugschluss: Vielmehr kommen Angriffe immer häufiger vom Inneren der Anlage wie z.B. über offene USB-Ports oder Engineering Laptops, die zumindest zeitweise eine Verbindung zum Internet haben.

Gummienten

Manipulierte USB-Sticks beispielsweise, sogenannte Rubber Duckys [1], gaukeln dem Rechner eine angeschlossene Tastatur vor, die dann ein Öffnen der Ausführungsebene und Zugang zum Betriebssystem oder z.B. zu Firewall-Einstellungen ermöglicht. So laufen Angriffe auch mehrstufig ab. Schadcode wird von einem Rechner zum nächsten im Netz übertragen, bis am Ende eine Verbindung zu einem Boot-Netzwerk über das Internet hergestellt wird.

Social-Engineering-Angriffe

Ebenso verbreitet sind sogenannte Social-Engineering-Angriffe. Suchen z.B. Servicemitarbeiter bei einem technischen Problem einer Industrie-Steuerung in sogenannten Chat-Rooms im Internet nach einer Lösung, können Sie sich z.B. durch Anklicken eines Links Schadcode durch einen sogenannten Driveby-download auf den Rechner laden, der meist nicht vom Virenscan des Rechners erkannt wird.

Zero Day Vulnerabilities und andere Angriffsszenarien

Besonders kritisch wird es, wenn der Angreifer sogenannte Zero Day Vulnerabilities nutzt, also Schwachstellen im Rechner System, die offiziell noch nicht bekannt sind. Hier leisten sich Hacker ein Kopf-an-Kopf-Rennen mit Software- und Schutzmechanismen der Hersteller. Wegen der Zero Day Vulnerabilities verlieren auch in der IT-Branche klassische Virenscanner immer mehr an Bedeutung. Andere Maßnahmen wie Whitelisting, SIEM, Network Traffic Inspection und Deep Packet Inspektion gewinnen hingegen zunehmend an Bedeutung.

Empfehlungen der Redaktion

Honeyport-Studien zeigen das Ausmaß der Bedrohung

Die Schutzmechanismen der IT-Branche sind jedoch nur zum Teil auf Energie- und Produktionsanlagen anwendbar. Sie sind zwar einerseits notwendig, bieten aber in der Industrie keinen hinreichenden Schutz. So lassen sich nicht alle Anlagen in der Industrie zu jeder Zeit Patchen, da hier oft rund um die Uhr produziert wird (24/7/52). Sowohl ein Produktionsausfall als auch ein Ausfall der Energieversorgung sind ernstzunehmende Szenarien. Direkte wirtschaftliche Schäden als auch Gefahren für die Sicherheit von Mensch und der Bevölkerung sind die Folge. Dass Cyber-Angriffe nicht nur Gespenster sind, die verbreitet werden, um Angst zu erzeugen, haben sogenannte Honeyport-Studien gezeigt. Hier werden sehr wohl gezielte Angriffe auf Industrieanlagen durchgeführt. Bei Honeyport-Studien werden attraktive Ziele für den Angreifer simuliert und getätigte Angriffe aufgezeichnet und ausgewertet (z.B. Trendmicro Report, August 2013, Ergebnis über vier Monate Beobachtung: zehn gezielte kritische Angriffe von insgesamt 1.200 oder RISI Organistation, Security Incident Organisation 2013).

Whitelisting

So hat sich gezeigt, dass bei Angriffen auf Industrial Control Systems (ICS) oft neue Programme, sogenannte Exploids, gestartet werden, um den Schadcode, den sogenannten Payload, auszuführen. Nun kann ein PC-System aber feststellen, wenn neue, eventuell unbekannte Programme gestartet werden. Bei den sogenannten Whitelisting-Tools wird genau dies getan [2]. Direkt nach der Installation wird der Zustand der ausgeführten Programme dokumentiert und eingefroren. Der mögliche Schadcode kann keine anderen Programme starten als die vorgesehenen. Eine Ausbreitung und Infizierung kann dadurch verhindert werden. Whitelisting eignet sich besonders für Industrie PC-Systeme, da hier im Gegensatz zu dem sonst üblichen Blacklisting keine Patches oder Virenpattern nachgeladen werden müssen und auch die Sicherheitslücke durch Zero Day Vulnerabilities, für die es noch keine Patches gibt, geschlossen wird. Whitelisting eignet sich für Industrie-Rechner deshalb mehr als für Office-Rechner, da hier nur selten neue Programme installiert werden und die sogenannte Whitelist sich selten ändert. Jedoch können Angriffe auf ICS nicht gänzlich verhindert werden.

Netzwerk-Kommunikation

Eine andere erfolgreiche Methode Payload-Ausbreitung zu verhindern, ist über die Netzwerkkommunikation. So benutzen Payloads für ihre Ausbreitung mit Schwachstellen behaftete TCP/IP-Kommunikationsprotokolle, um sich im Netzwerk auszubreiten. Wendet man die gleiche Logik wie beim Programm Whitelisting auch auf das Netzwerk an, dürfen nur noch zugelassene Protokolle und zugelassen Teilnehmer miteinander kommunizieren. Am einfachsten und effektivsten sind sogenannte Level 3 Switches, bei denen die Kommunikation von Quell-IP bis Ziel-IP, Richtung, Port und Protokoll genauestens in sogenannten Access Control Lists geregelt ist.

Deep Packet Inspection

Die Deep Packet Inspection geht noch weiter. Hier wird z.B. für ein Modbus-Protokoll genauestens definiert, welche Teilnehmer welchen anderen Teilnehmern welche Register senden oder empfangen dürfen. Deep Packet Inspection bietet nicht nur Schutz vor der Ausbreitung von Malware, sondern verhindert auch Angriffe auf die größte Schwachstelle in der Industrieapplikation, der Integrität der Daten. Auch die Netzwerkkommunikation kann whitegelistet werden. So kann es beim Aufkommen neuer Protokolle im Netzwerk bzw. bei Veränderungen der Häufigkeit des Aufkommens bestehender Protokolle Hinweise für den Administrator geben, der diesen nachgehen kann. So hätte man das Eindringen des Stuxnet-Virus daran erkennen können, dass die Häufigkeit des in der Siemens-Welt üblichen RPC-Protokolls erheblich zunimmt. Ebenso verhindert die Einteilung des Netzwerkes in Segmente und Übergangspunkte mit Firewalls (Conduits) Cyber-Angriffe. So werden nur die im Subnetzwerk benötigten Protokolle und Verbindungen vom Conduit freigegeben. Alle anderen werden geblockt [3]. Ratsam ist es auch, grundsätzlich auf allen Industriegeräten im Netzwerk nur die notwendigen Funktionen, Dienste und Protokolle freizugeben, um die Möglichkeiten der Angreifer einzugrenzen. Auch das Management von Benutzerkonten und Passwörtern gehört zur Installation sicherer ICS-Systeme (Systemhärtung). So können nicht verwendete Benutzerzugänge ggf. mit Standard-Passwörtern der Hersteller, die im Internet auffindbar sind, schnell zum einfachen Einfallstor für Angreifer werden. Tools wie Qualys sind da sehr hilfreich. [4]

Security-Information-and EventManagement (SIEM)-Lösungen

Wenn in verteilten Applikationen zwingend auch über das Internet kommuniziert werden muss, wie das bei Smart-Grid-Applikationen oft der Fall ist, empfiehlt sich die Anwendung von SIEM-Lösungen (Security Information and Event Management) [2]. Hierbei werden hauptsächlich Daten bezüglich des Netzwerks, der Geräte, der Applikationen, der Vulnerabilitys und der Policys aufgezeichnet und ausgewertet. So kann z.B. festgestellt und verhindert werden, wenn das Netzwerk plötzlich Kontakt zu einem Bootnetzwerk aufbauen möchte, in dem die Zieladressen ausgehender IP-Pakete geprüft und verglichen werden. Die Infektion des Netzwerks wird zwar dadurch nicht verhindert, jedoch gelingt es dem Angreifer auch nicht, eine Verbindung zur Anlage aufzubauen.

Open Source

Bei Open-Source-Produkten muss in Zukunft ein größeres Augenmerk auf Security gelegt werden. Als Beispiel ist hier die Heartbleed Vulnerability bei Open SSL zu nennen. Notwendige Tests und Zertifizierungen müssen in Zukunft auch auf Open-Source-Produkte verstärkt angewendet werden. Grundsätzlich müssen Open-Source-Produkte aber nicht unsicherer sein als herstellergetriebene Lösungen, wie die Vulnerabilty-Veröffentlichungen auf ICS-Cert beweisen [5]. Der hohe Verbreitungsgrad und die Vielzahl der erfolgreichen und sicheren Applikationen sprechen nach wie vor für Open-Source-Produkte. Auch werden z.B. die bekannt gewordenen Sicherheitslücken in der Open Source Engineering Plattform ROS Industrial durch geeignete Maßnahmen geschlossen [6]. Die Vorteile von Open-Source-Lösungen werden nicht an Security-Anforderungen scheitern.

Ausblick

Die vielversprechenden SIEM-Lösungen müssen hinsichtlich ihrer Industrietauglichkeit noch verbessert werden. So haben beispielsweise Industrienetzwerke auch eventgetriebene Kommunikationsmechanismen, mit denen die in der Office-welt übliche Detektion von Netzwerk-Anomalien nicht unbedingt zurechtkommt. In Zukunft können Anomalie-Detektionsmechanismen mit sogenannten Selbstorganisierenden Merkmalskarten (SOM) [7] zum Einsatz kommen. Der Grund für den Erfolg von SOM-Methoden liegt in der Umwandlung komplexer Zusammenhänge in eine einfache zweidimensionale Matrix. Detektionsverfahren werden in der Industrie erfolgreich eingesetzt werden, weil eine Infektion nicht gänzlich ausgeschlossen werden kann. Die Konsequenzen einer Detektion in Industrieanlagen werden jedoch unterschiedlich sein. Von Quarantäne und Isolation vom Netz bis hin zu Abschaltung der Station ist alles möglich. Auch sind nicht alle feldbusspezifischen Conduits zur Deep-Packet-Inspektion heute schon verfügbar. Zur Einschätzung, welche Geräte trotz 24/7/52-Stunden-Betrieb gepached und eventuell redundant ausgeführt werden müssen, können Risikoeinschätzungen und Berechnungen gemäß IEC62443 weiterhelfen. Damit Geräte in Zukunft sicher kommunizieren können, muss auch die Identität der Geräte durch Integritätsprüfung sicher sein. Der Trusted-Computing-Ansatz für Embedded-Geräte liefert hier einen vielversprechenden Ansatz. Zukünftige Geschäftsmodelle und technologische Ansätze, die durch Industrie 4.0, also der Öffnung zum Internet, erreicht werden, funktionieren nur mit entsprechender Beachtung der Security-Anforderungen. Dies ist jedoch eine lösbare Aufgabe, die dem Fortschritt nicht im Wege stehen darf.

Anzeige