Kein Allheilmittel gegen Sicherheitsrisiken

Hartnäckig hält sich im Bereich der Scada-Sicherheit sowie im Umfeld integrierter Kontrollsysteme (ICS) die Vorstellung, dass so genannte \’Air Gaps\‘ oder \’Luftspalten\‘ zwischen Steuernetzwerken und der Außenwelt existieren: Der Begriff bezeichnet die vollständige, physikalische Trennung des Steuernetzes vom Unternehmensnetzwerk in einem ausgereiften System. Digitale Informationen können diesen Schutzgraben nicht überwinden. Damit wären unternehmenskritische Steuersysteme absolut sicher vor Gefahren – z.B. im Fall von Hackerangriffen – durch die \’Würmer\‘ eingeschleust werden können. Daraus ergibt sich die Schlussfolgerung, dass Unternehmen, deren Systeme von Schadsoftware befallen werden, diesen Air Gap nicht ordentlich gestaltet haben und deshalb möglichen Befall selbst verschulden. Kein Allheilmittel gegen Sicherheitsbedenken Als Air Gaps werden mitunter Technologien wie unidirektionale Gateways oder Datendioden bezeichnet. Dabei handelt es sich allerdings nicht um eine physikalische Trennung, denn elektronische Informationen fließen weiterhin zwischen dem Steuersystem und dem Unternehmensnetz, wenn auch nur in eine Richtung. Dennoch vermitteln viele Systemanbieter den Eindruck, dass es diesen Air Gap tatsächlich gibt. So wird Woche für Woche eine neue Sicherheitslücke bei Scada und ICS gemeldet, und Anwender bekommen Stellungnahmen zu lesen, die vor allem auf nötige Schutzmaßnahmen zur Absicherung der Automatisierungsnetze vor unbefugtem Zugriff hinweisen – und dabei auch die Etablierung von Air Gaps empfehlen, die das System von anderen Netzwerken physikalisch trennen sollen. Interessanterweise preisen vor allem die Unternehmen, die Air Gaps in ihren Sicherheitshinweisen aufführen, Lösungssuites mit dem Produktmerkmal \’vollständige Anlagenintegration\‘ an. Sie legen dar, wie etwa Manufacturing Execution-Systeme oder Enterprise Resource Planning-Komponenten eine \’nahtlose Integration\‘ mit ihren Steuersystemen im Produktionsbereich ermöglichen. Es ist allerdings nur schwer vorstellbar, wie eine so tiefe Integration über einen Air Gap hinweg realisiert werden kann. Entsprechend sagte auch Stefan Woronka, Siemens-Geschäftsführer der Industrial Security Services, auf dem Siemens Summit im Juni 2011 in den USA: \“Vergessen Sie den Mythos vom Air Gap – das physikalisch vollständig getrennte Steuersystem ist Geschichte.\“ Auch beim Blick auf Entwicklungs- und Produktunterlagen zu Systemarchitekturen namhafter Automationsanbieter lässt sich die viel beschworene Systemlücke nicht ausmachen – ungeachtet des Systemherstellers. Digitale Kommunikation findet in jedem Fall statt Es gibt einen guten Grund, warum Air Gaps in Entwicklungsunterlagen nicht auftauchen: Für theoretische Betrachtungen ist dieser Ansatz zwar bestens geeignet. In der betrieblichen Praxis funktioniert diese Trennung jedoch nicht. Zwar lässt sich die Verbindung zwischen Steuersystem und Unternehmensnetz grundsätzlich trennen, doch eines Tages liefert ein technischer Berater eine neue Logik, mit der möglicherweise ein Designfehler behoben wird, der dem Anwenderunternehmen beträchtliche Ausfallzeiten gekostet hat. Nur wenig später trifft dann beispielsweise eine Software-Aktualisierung aus dem Office-Bereich ein, mit der vielleicht eine kritische Sicherheitslücke in der PDF-Lesesoftware der technischen Dokumentation geschlossen wird. Anschließend wird aus dem Labor ein Verfahrensrezept zur Verbesserung der Produktqualität übertragen. Diese Liste lässt sich weiter fortsetzen: Von Patches für das PC-Betriebssystem, Virenschutzsignaturen, Remote-Support- und System-Software – das alles muss beachtet werden. Als Ergebnis landen möglicherweise einige Dateien auf einem USB-Medium, mit dem der Techniker anschließend ins Werk geht. Genau diese Situation hat zur Verbreitung des Computer-Wurms Stuxnet geführt. Als Alternative bietet sich der Datentransport per Laptop an, doch auch Mobilcomputer können von Viren befallen sein. Selbst eine serielle Schnittstelle in Verbindung mit einem Modem verspricht wenig Abhilfe; schließlich drang so der Slammer-Wurm in einige Steuersysteme ein. Selbst die verlässliche CD lässt sich unbeabsichtigt in ein Medium mit Schadsoftware verwandeln. So sehr das Gegenteil auch wünschenswert wäre – moderne Steuersysteme benötigen einen ständigen Fluss von elektronischen Informationen aus der Außenwelt. Das Trennen der Netzwerkverbindung durch einen Air Gap schafft lediglich neue Übergänge wie beispielsweise durch mobile Laptops und USB-Sticks, die schwieriger zu beherrschen sind und leichter infiziert werden können. Absolute Sicherheit bleibt eine Wunschvorstellung Die häufig beschworenen Air Gaps in Steuersystemen finden sich daher in der Regel nur in trivialen Anwendungen: Ein digitaler Thermostat, der zu Haus die Wärmepumpe steuert, hat vielleicht einen echten Air Gap. Und möglicherweise sind Hochrisikosysteme, wie etwa Regelsysteme von Kernkraftwerken, tatsächlich durch einen Air Gap geschützt. Doch auf die Frage, ob eine verlässliche Systemtrennung bei allen Steuersystemen vorhanden ist, die unser Stromnetz, unsere Pipeline-Infrastruktur, unser Verkehrssystem, unser Wasser und unsere Fabriken verwaltet, gibt etwa Sean McGurk, Direktor des Zentrums für Internetsicherheit des US-Heimatschutzministeriums (NCCIC), im Mai des Jahres 2011 die folgende Antwort: \“Unsere Erfahrung bei der Bewertung von Hunderten von Sicherheitslücken in der Privatwirtschaft zeigt, dass wir bei keinem operativen Netzwerk, Scada-System oder Energiemanagementsystem eine Trennung vom Unternehmensnetzwerk feststellen konnten. Im Schnitt finden wir elf direkte Verbindungen zwischen diesen Netzwerken vor. In einigen Extremfällen haben wir bis zu 250 Verbindungen zwischen dem tatsächlichen Produktionsnetzwerk und dem Unternehmensnetzwerk identifiziert.\“ Gefahrenquelle ungeregelter Datentransport Das wirkliche Problem beim Air Gap-Konzept ist nicht die Technologie. Vielmehr sorgt die Erwartung, dass sich industrielle Netzwerke komplett abschotten lassen dafür, dass Unternehmen sich in einem falschen Gefühl von Sicherheit wiegen. Durch die Trennung der Systemwelten wird aber vielfach lediglich der Informationsfluss über das Netzwerk, das Möglichkeiten zur Überwachung und Steuerung bietet, auf ungeregelte \’Turnschuhnetzwerk\‘-Kanäle wie USB-Sticks, CDs und Laptops umgeleitet. Den meisten Unternehmen geht im Laufe dieser Entwicklung die Kontrolle bei der Übertragung digitaler Informationen verloren. Verlässt sich ein Unternehmen auf diesen manuellen Weg zur Übertragung von Patches und Informationen auf das Steuersystem, ist die Sicherheit daher tatsächlich geringer als bei einem System, das ohne den so genannten Air Gap auskommt. Die Anwender nicht \’außen vor\‘ lassen Mitunter wird in diesem Zusammenhang darauf hingewiesen, dass das Problem mit dem Air Gap ausschließlich ein menschliches Problem sei. Begründet wird dies damit, dass lediglich leichtsinniges Handeln verhindert werden müsse, wie z.B. das Verschieben von Dateien und Patches auf USB-Sticks – dann funktioniere die Trennung der Systeme gut. Diese Argumentation krankt allerdings daran, dass Fehler programmiert sind, wenn eine Technologie Handlungen vom Anwender verlangt, die ihm zu viel Aufwand abfordern. In diesem Zusammenhang weisen auch die Autoren des Papiers \’Users are not the Enemy\‘ auf die zentrale Rolle des Anwenders hin: \“Unsichere Geschäftspraktiken und geringes Sicherheitsdenken der Anwender kann durch Sicherheitsmechanismen und -richtlinien hervorgerufen werden, die Arbeitsmethoden, Organisationsstrategien und Anwenderfreundlichkeit außen vor lassen. Wenn in den Sicherheitsabteilungen nicht verstanden wird, wie die konzipierten Mechanismen in der Praxis umgesetzt werden, bleibt die Gefahr, dass Mechanismen, die auf dem Papier sicher erscheinen, in der Praxis versagen.\“ Die Forderung nach getrennten Systemen ist ein Paradebeispiel für diesen Konflikt. Entwickler und Betreiber verfolgen vordringlich das Ziel, den Betrieb ihrer Fabriken und Einrichtungen sicher, zuverlässig und effizient zu gestalten. Sind Patches, IT-Rezepte und neue Logiken vorhanden, die Prozesse sicherer oder effizienter machen, wird angestrebt, diese im Produktionsbetrieb zu integrieren. Steht das Werk still und wird ein Experte per Fernwartung mit der Fehlerbehebung beauftragt, wird er zu 99% der Zeit auf das Netzwerk zugreifen können. Probleme sind dann programmiert, wenn der Betrieb vom Fachpersonal per Sicherheitsanweisung eine Handlungsweise einfordert, die dessen Arbeitsziel entgegensteht. Den Kontakt zur Außenwelt in die Planung einbeziehen