Best-Practice-Leitfaden für das Management privilegierter Benutzerkonten
1. Ermittlung der wichtigsten Systeme, Anwendungen und Datenbanken und deren zugrunde liegenden privilegierten Konten.
2. Bestimmung der Personen, die Zugriff auf privilegierte Konten haben sollen.
3. Definition von Richtlinien und Workflows für einen privilegierten Zugang zu den wichtigsten Systemen.
4. Einrichtung von Prozessen, die automatisch die Security-Richtlinien umsetzen.
5. Sicherung von Passwörtern in einer Art virtuellem Tresor.
6. Isolierung von kritischen Geräten mit Hilfe eines Proxy-Servers, der das Abfangen von Passwörtern vermeidet und so verhindert, dass Malware auf das Zielgerät gelangt.
7. Überwachung der Accounts und privilegierten Aktivitäten mit Warnmeldungen, wenn die Richtlinien nicht eingehalten werden.
Lahmgelegte Fabriken in der Automobilindustrie, Engpässe bei Medikamenten wegen Attacken auf die Pharmaindustrie oder flächendeckende Stromausfälle – die denkbaren Szenarien für Hackerangriffe auf Industrieanlagen sind vielfältig. Die Manipulation der iranischen Urananreicherungsanlage in Natanz 2010 durch den Wurm Stuxnet hat die Gefahr, die für Industrieanlagen, Strom- und Wasserversorgungssysteme oder die Zug- und Flugsicherung besteht, deutlich aufgezeigt. Hacker haben mit Stuxnet einen Wurm geschaffen, den Nachahmer mit wenig Know-how ohne großen Aufwand portieren und damit fast jedes Unternehmen angreifen können. Dass dadurch Anlagen zum Stillstand kommen, wäre nicht ungewöhnlich. Würmer wie Stuxnet suchen meist nach Schwachstellen in speicherprogrammierbaren Steuerungen (SPS) von Scada-Systemen, die Industrieanlagen überwachen, steuern und optimieren. Sie werden in der Wasseraufbereitung, Stromerzeugung, in Telekommunikationseinrichtungen, chemischen Betrieben oder der PKW-Produktion eingesetzt. Der Stuxnet-Vorfall zeigt, dass Systeme zur Prozesssteuerung und Fertigungsautomatisierung genauso angreifbar sind wie Webserver oder Endanwender-PCs – mit potenziell verheerenden Folgen. Erst im Oktober 2012 warnten das US-amerikanische Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) sowie das Bundesamt für Sicherheit und Informationstechnik (BSI) vor speziellen Tools und Suchmaschinen, die Attacken auf Industrieanlagen oder die Steuerungseinheiten von Stromnetzen vereinfachen. So meldeten Forscher an das ICS-CERT, dass sie mit der Suchmaschine Shodan Computer Location Service mehr als 500.000 ungesicherte Geräte entdeckten. Anfang 2012 wurden auch Werkzeuge veröffentlicht, mit denen sich die digitalen Steuerungssysteme von Firmen wie Koyo und Schneider Electric manipulieren lassen.
Sicherheitslücken bei Passwörtern
Industrial Control Systems (ICS) basieren zwar im Wesentlichen auf branchen- und anwendungsspezifischen Technologien, dennoch wächst die Anlagenwelt heute in immer stärkerem Maße mit der IT-Welt zusammen. Doch im Gegensatz zur IT, in der Sicherheitsupdates, Virenschutz und Firewall Standard sind, gibt es bei den digitalen Steuerungssystemen (noch) keinen derartigen Schutz. Denn beim Entwurf der Industrieanlagen mussten sich die Konstrukteure noch wenig Gedanken über die Sicherheit der Daten machen, es gab schließlich keine Bedrohung. Erst durch die Digitalisierung und die Vernetzung über das Internet entstanden Probleme. Viele Scada-Protokolle kennen weder Verschlüsselung noch Authentifizierung. Und Scada-Systeme haben keine oder nur eine mangelhafte Zugriffskontrolle beziehungsweise Zugangsbeschränkung. Das bedeutet, wenn eine SPS mit einem Webserver und dem Internet verbunden ist, kann jeder, der die IP-Adresse entdeckt, Steuerbefehle an das Gerät schicken und dieses manipulieren.
Mangelnder Passwortschutz als Sicherheitsleck
Ermöglicht wird dies, da in der Regel Standardpasswörter nicht geändert werden oder überhaupt kein Passwort-Schutz existiert. Bei den Passwörtern gibt es mehrere Einfallstore. Als Erstes sind die Default-Passwörter zu nennen, die in den Systemen vorhanden und manchmal nur dem Hersteller bekannt sind. Laut BSI setzen viele Hersteller diese Default-Passwörter ein, damit die Maschinen, die oft jahrzehntelang im Einsatz sind und zuverlässig laufen müssen, auch nach einem Personalwechsel administriert werden können, falls Zugangsdaten verloren gehen. Der neue Administrator kann dann die Zugangsdaten zurücksetzen, das Default-Passwort nutzen und so auf die Steuerung der Maschine zugreifen. Der Haken: Über das Default-Passwort können auch Angreifer auf das System zugreifen; Stuxnet hat das deutlich gezeigt. Ein weiteres Sicherheitsproblem besteht bei den eingebetteten Passwörtern von Application Accounts, sprich bei den Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Diese Passwörter liegen in der Regel im Klartext vor und werden selten oder nie geändert, da ein manuelles Passwort-Management hier sehr zeitaufwändig und zudem fehlerbehaftet wäre.
Privilegierte Benutzerkonten beachten
Besonders achten sollten Unternehmen zudem auf das Management von privilegierten Benutzerkonten, wie sie Administratoren besitzen. Zu den \’Privilegien\‘ gehören beispielsweise der Zugriff auf vertrauliche Informationen, die Installation und Ausführung von Applikationen und die Veränderung von Konfigurationseinstellungen. Eine typische IT- und Produktionsumgebung besteht aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten sowie Scada-Systemen, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Dazu zählen Accounts wie \’Root\‘ bei Unix und Linux oder \’Administrator\‘ bei Windows. Die Passwörter dieser Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen und Systemen. Ein verantwortungsvoller Umgang mit den privilegierten Benutzerkonten ist aber heute in vielen Unternehmen noch die Ausnahme. Auf den Systemen finden sich identische, oftmals leicht zu entschlüsselnde Passwörter, die nur selten oder überhaupt nicht geändert werden. Problematisch sind dabei insbesondere die Shared-Accounts. Wenn eine größere Gruppe von Administratoren Zugriff auf dieselben Passwörter hat, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat. Das heißt, dass eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene nicht möglich ist.
