OT-Security
06.01.2020, 09:07 Uhr
Industrie 4.0, aber sicher
OT und IT, also operationale Technik und Informationstechnik, waren bis vor Kurzem voneinander getrennt. Durch die Digitalisierung werden sie nun zusammengeführt, mit dramatischen Auswirkungen auf die Security.
Im Rahmen von Industrie 4.0 werden Steuerungssysteme von Industrieanlagen mit der IT verbunden. Damit öffnen die Betreiber den Hackern Tür und Tor
(Quelle: Shutterstock / Avigator Fortuner)
Jahrzehntelang durften sie ungestört ihrer Aufgabe nachgehen und in optimierten Prozessen produzieren, was zu produzieren war. Industrieanlagen und ihre sie steuernde operationale Technologie (OT) konnten – vorausgesetzt, in Sachen Betriebssicherheit und Produktqualität stimmte alles – somit eine relativ ruhigeKugel schieben. Das ändert sich nun schlagartig. Denn die Informationstechnologie (IT) kommt ins Spiel. Mit Schlagwörtern wie Digitalisierung und Industrie 4.0, mit digitalen Eindringlingen in das Industrielle Internet der Dinge (Industrial Internet of Things; IIoT) oder dem Management der Anlage aus der Cloud wird die Landschaft derzeit nachhaltig umgepflügt.
Bei all den wohlwollenden und ökonomisch durchaus wertvollen Konzepten wird aber oft einem Thema wenig Beachtung geschenkt, das aber für das Gelingen von Industrie 4.0 essenziell sein wird: die Cybersicherheit. Denn ohne ausreichende IT-Security wird der digitalisierte Industriehimmel schnell einmal zur Hölle. Nicht nur die Betreiber entsprechender Anlagen könnten so im Nu ausser Gefecht gesetzt werden, sondern – sollte es sich dabei um kritische Infrastrukturen handeln – auch ganze Staaten, ja Kontinente.
Erst getrennt, jetzt vereint
Wo aber liegt das Problem? Traditionell waren OT und IT voneinander getrennt und besassen sogar unterschiedliche Aufgaben und Rollen. Während die IT typischerweise Daten zwischen Computern und Menschen hin- und herschob, bestand die Aufgabe der OT, Daten und Informationen zwischen «Dingen» zu transportieren, also beispielsweise zwischen messenden Geräten wie Sensoren und ausführenden Geräten wie Antrieben. Dieser OT-Datenverkehr diente hauptsächlich der Steuerung und Optimierung eines einzigen Systems oder einer einzelnen industriellen Anlage. Zum Einsatz kommen hierfür sogenannte «Industrial Control Systems» (ICS) oder «Industrial Automation and Control Systems» (IACS), die meist von Scada-Systemen (Supervisory Control and Data Acquisition) als grafische Bedienoberfläche begleitet werden.
Zwischen den beiden Datenkreisläufen war bislang keine direkte oder temporäre Verbindung nötig. OT und IT waren durch einen sogenannten «Luftspalt» (englisch: «Air Gap») voneinander getrennt. Für Hacker und Cyberkriminelle war es in der Folge fast unmöglich, von der IT-Seite in die OT-Systeme einzudringen und dort Schaden anzurichten. Unmöglich war dies allerdings nicht, wie das Beispiel des Stuxnet-Wurms zeigte (vgl. letzte Seite dieses Artikels). Die beschriebene Trennung von OT und IT wird zunehmend aufgehoben, die zugegeben etwas überspitzte Beschreibung der Idylle des vordigitalen Industriezeitalters nimmt ein Ende. Denn der erwähnte Luftspalt wird zunehmend überwunden.
Handfeste Gründe für eine Verbindung
Dies geschieht allerdings nicht aus Jux und Tollerei. Vielmehr gibt es gute Gründe für die sukzessive Vereinigung von OT und IT; die meisten von ihnen sind ökonomischer Natur. «Generell lässt sich sagen, durch die Verbindung von IT und OT werden Daten nutzbar, die bislang nicht genutzt werden konnten», erklärt Markus Limacher, der bei der Baarer InfoGuard als Head of Security Consulting tätig ist. Kombiniert mit modernen Big-Data-Lösungen, liessen sich nunmehr Daten unterschiedlichster Quellen analysieren. «Damit können einerseits Probleme schneller erkannt, ‹vorhergesagt› und somit auch vermieden oder gelöst werden. Andererseits können Langzeittrends identifiziert und Produkte entsprechend angepasst werden», führt er aus.
Dank Fortschritten in der Maschine-zu-Maschine-Kommunikation, kombiniert mit Machine Learning, führt dies ihm zufolge dazu, dass die von den physischen Geräten produzierten Daten in Echtzeit analysiert werden können. Dies wiederum hat zum Ziel, die Anlagen durch Methoden wie Predictive Maintenance und Predictive Monitoring zu optimieren. Die Betreiber können schlussendlich effizienter und ökologischer produzieren. «Aber auch innerhalb einer Lieferkette verschmelzen IT und OT», ergänzt Limacher. Mit einer Kopplung von ERP-Systemen mit der Produktion könne bedarfsgerecht und kostenoptimiert hergestellt werden.«Durch eine Konvergenz von IT- und OT-Umgebungen können Unternehmen ihre Leistungsfähigkeit verbessern und die Total Cost of Ownership reduzieren», meint Limacher zusammenfassend.
Von ganz ähnlichem Optimierungspotenzial spricht auch Alain Sanchez, Chief Information Security Officer (CISO) und Security Evangelist bei Fortinet. Er nennt als Beispiel eine Grossmolkerei, die mithilfe von Datenaustausch via Regelkreise Parameter wie Tankinhalt, Qualität der Ware und Anzahl bereits abgefüllter Milchkartons ermittelt und diesen Prozess in einer Fabrik optimal eingestellt hat. «Nehmen wir an, ich habe fünf solcher Fabriken und eine von diesen ist schneller und liefert bessere Qualität als die anderen», führt Sanchez das Beispiel aus. «Als Management möchte ich natürlich nun die Produktionsprozesse der erfolgreichsten Fabrik auf die anderen übertragen. Dafür müssen die Anlagen miteinander kommunizieren», berichtet er. Immer häufiger werde in diesem Zusammenhang ein zentrales Management implementiert, über das mehrere Produktionsstandorte überwacht und optimiert werden können.
Die Folge ist in beiden Fällen eine Verbindung zwischen OT und IT. «Genau dann, wenn die internen Daten angezapft werden, handelt es sich nicht mehr um eine geschlossene Umgebung. Das gilt selbst dann, wenn wir von einer Verbindung sprechen, die wenige Millisekunden dauert», meint Sanchez und unterstreicht, dass dies in der Welt der Cyberkriminalität eine «lange Zeit» bedeute. Aber nicht nur bei der Optimierung des Herstellungsprozesses wird eine Verbindung zwischen den beiden Welten hergestellt, sondern auch, um die immer zahlreicher werdenden Regulierungen zu implementieren. «Um diese zu überprüfen oder deren Erfüllung nachzuweisen, muss ebenfalls ein Zugriff auf die Daten des Werks vorgenommen werden», berichtet Sanchez.
Top-10-Bedrohungen von OT-Systemen
Ein wertvolles Weissbuch über Gefahren und Absicherung eines ICS (Industrial Control System) hat das deutsche Bundesamt für die Sicherheit in der Informationstechnik (BSI) veröffentlicht. Darin werden zehn Top-Bedrohungen aufgelistet und entsprechende Gegenmassnahmen erläutert. Es sind dies:
- Einschleusen von Schad-Software über Wechseldatenträger und externe Hardware
- Infektion mit Schad-Software über Internet und Intranet
- Menschliches Fehlverhalten und Sabotage
- Kompromittierung von Extranet und Cloud-Komponenten
- Social Engineering und Phishing
- (D)DoS-Angriffe
- Internetverbundene Steuerungskomponenten
- Einbruch über Fernwartungszugänge
- Technisches Fehlverhalten und höhere Gewalt
- Kompromittierung von Smartphones im Produktionsumfeld
Unterschiedlichste Einfallstore
Es reichen also wenige Millisekunden an Verbindungszeit, um Hackern und Cyberkriminellen Tür und Tor zu Industrieanlagen zu öffnen. Somit wird das Netzwerk quasi zum Haupteingang. Dies sieht auch Udo Schneider, Security Evangelist bei Trend Micro, so: «Abgesehen von physischen Angriffen, die einen direkten Zugriff auf das Gerät erfordern, ist die Netzwerkanbindung der Geräte das Haupteinfallstor.» Allerdings sei dabei zwischen verschiedenen Geräten zu unterscheiden. Obwohl oft von Angriffen direkt auf industrielle Steuerungen, sogenannte speicherprogrammierbare Steuerungen (SPS, englisch: Programmable Logic Controller, PLC), gesprochen werde, seien diese Angriffe eher selten und in den wenigsten Fällen erfolgreich, berichtet Schneider.
«Dies ist unter anderem darauf zurückzuführen, dass das Wissen um solche Geräte fernab des normalen IT-Wissens ist und in vielen Fällen auch von der IT unabhängige Safety-Mechanismen greifen», führt er aus. Anders sehe es dagegen bei den nachgelagerten User-Interface-, Steuerungs- und Prozesssystemen aus. «Bei diesen handelt es sich häufig um Standard-Systeme mit Standard-Software und Betriebssystemen einschliesslich aller Lücken und Verwundbarkeiten, die aufgrund der fehlenden Updates ausgenutzt werden können», beschreibt er die Situation. Kurzum: Angriffe erfolgen nicht in erster Linie über die Steuerungs-Software der Anlage selbst, sondern eher über den angeschlossenen Windows-PC des Operateurs.
“Die OT-Systeme an sich und das darunter liegende Betriebssystem werden selten bis nie aktualisiert„
Thomas Uhlemann, Eset
Das bedeutet jedoch nicht, dass die Betreiber das Patchmanagement in den OT-Infrastrukturen selbst unterlassen sollten. Allerdings liegt hierin ein weiteres Problem, wie Thomas Uhlemann, Security Specialist bei Eset, betont. «Die Systeme an sich, also Scada, WinCC und das darunter liegende Betriebssystem werden selten bis nie aktualisiert, sodass eventuell bekannte Lücken oft jahrelang ungeschlossen bleiben», sagt er und ergänzt, dass dies auch dann gelte, wenn Patches zur Verfügung stünden. Darüber hinaus wird seiner Meinung nach der Malware-Schutz vernachlässigt. Zusammen mit der mangelnden Aktualisierung der Systeme und Software sind dies gern genutzte Einfallstore. «So sind in der jüngeren Vergangenheit verschiedene Attacken bekannt geworden wie etwa ‹Duqu›, ‹Flame›, ‹Gauss› und einige andere, die sich genau solche Schwachstellen zunutze machen», argumentiert Uhlemann.
Die erwähnten Löcher sind zudem relativ häufig und ständig kommen neue hinzu, wie Walter Jäger, Country Manager Austria & Switzerland bei Kaspersky, zu berichten weiss. «Unser ‹Kaspersky Industrial Control Systems Cyber Emergency Response Team› (Kaspersky ICS Cert) findet jährlich mehr als 60 neue Schwachstellen in IIoT-Komponenten und industriellen Steuerungssystemen», meint er. Ein Fakt, der offenbar noch nicht allzu bekannt ist. «Industrieunternehmen müssen wissen, wenn sich in ihrem ICS-Netzwerk Sicherheitslücken befinden, und in der Lage sein, Angriffe auf Schwachstellen zu erkennen und zu vermeiden», meint Jäger und folgert daraus, dass kritische Infrastrukturen – wie jedes herkömmliche Computersystem auch – entsprechend geschützt werden müssten.
“Wir finden jährlich mehr als 60 neue Schwachstellen in IIoT-Komponenten und industriellen Steuerungssystemen„
Walter Jäger, Kaspersky
Eines der Probleme bei der Absicherung von OT-Systemen ist offenbar das schlechte, wenn nicht komplett ausbleibende Patchmanagement der Betreiber. Dabei kann es vorkommen, dass eine Lücke in IT-Systemen längst gestopft wurde, während sie in OT-Einrichtungen weiterhin klafft. Von einem solchen Beispiel berichtet Trend Micros Udo Schneider. «Eines der Paradebeispiele ist inzwischen sicherlich die WannaCrySicherheitslücke ‹EternalBlue›»,führt er an. Diese nutze eine Lücke in der Version 1 von Server Message Block (SMB) aus, das unter anderem die Grundlage von Filesharing für Windows-Umgebungen bilde.
«Während in ‹modernen› Umgebungen längst Version 2 von SMB Standard ist und dort die erste Version unter anderem aufgrund von WannaCry nicht mehr genutzt wird, ist SMB v1 in industriellen Umgebungen zum Austausch von Daten immer noch weitverbreitet», weiss Schneider. Nicht ohne Grund, denn eine Vielzahl der industriellen Geräte sei gar nicht in der Lage, SMB v2 zu nutzen, da die installierte Software aufgrund ihres Alters dazu schlichtweg nicht in der Lage sei, doppelt er nach. Folglich werde weiterhin SMB v1 genutzt. «Damit sind und bleiben diese Umgebungen aber auch für EternalBlue bzw. WannaCry anfällig», meint Schneider.
“EternalBlue respektive WannaCry bleiben gefährlich„
Udo Schneider, Trend Micro
Immenses Schadenspotenzial
Werden industrielle Systeme angegriffen, sind unterschiedliche Schadensszenarien möglich. Neben der klassischen Industriespionage sind diverse Sabotagemöglichkeiten gegeben, die mit oder ohne erpresserische Absichten ausgeführt werden. In jedem Fall ist das Schadenspotenzial gross und vielfältig, besonders – aber nicht nur – in kritischen Infrastrukturen. «Störungen in OT-Systemen können kritische Infrastrukturbereiche gefährden oder zumindest zu Störungen in der Produktion, Minderung der Qualität, im Herbeiführen von physischen Schäden an Anlagen – bis hin zum Ausfall – führen», berichtet InfoGuards Limacher. Aber nicht nur das: Eine Kompromittierung der OT könne gegebenenfalls direkt die Sicherheit von Mitarbeitenden oder Kunden gefährden, fügt er an. «Würden Hacker zum Beispiel ein OT-Gerät manipulieren, das ein Temperatursteuerungssystem in einer chemischen Anlage überwacht, könnte das bedrohliche Konsequenzen haben», gibt Limacher zu bedenken.
Fortinets Alain Sanchez beschreibt in diesem Zusammenhang zwei Möglichkeiten der Sabotage, die aus einem Angriff auf OT-Systeme resultieren könnten. Da die Informationen innerhalb einer Anlage meist in Form von unverschlüsseltem Text ausgetauscht würden, hätten Angreifer relativ einfaches Spiel. «Als Hacker kann ich nun recht einfach – um bei unserem Beispiel des Molkereibetriebs zu bleiben – dem Tank eine falsche Information zusenden, etwa dass die Abfüllanlage mehr Verarbeitungskapazität hat, als dies in Wahrheit der Fall ist», berichtet er. Werde aus dem Tank mehr Milch geliefert, komme die Abfüllanlage mit der Menge nicht mehr klar. «In der Folge läuft der Rohstoff über und die Anlage wird spätestens hier gestoppt», führt Sanchez weiter aus. «Sabotage ist also recht einfach möglich», lautet daher sein Fazit.
Fortinets Alain Sanchez beschreibt in diesem Zusammenhang zwei Möglichkeiten der Sabotage, die aus einem Angriff auf OT-Systeme resultieren könnten. Da die Informationen innerhalb einer Anlage meist in Form von unverschlüsseltem Text ausgetauscht würden, hätten Angreifer relativ einfaches Spiel. «Als Hacker kann ich nun recht einfach – um bei unserem Beispiel des Molkereibetriebs zu bleiben – dem Tank eine falsche Information zusenden, etwa dass die Abfüllanlage mehr Verarbeitungskapazität hat, als dies in Wahrheit der Fall ist», berichtet er. Werde aus dem Tank mehr Milch geliefert, komme die Abfüllanlage mit der Menge nicht mehr klar. «In der Folge läuft der Rohstoff über und die Anlage wird spätestens hier gestoppt», führt Sanchez weiter aus. «Sabotage ist also recht einfach möglich», lautet daher sein Fazit.
“Sabotage ist recht einfach möglich„
Alain Sanchez, Fortinet
Allerdings ist der Schaden hier offensichtlich und kann durch Gegenmassnahmen der Betreiber in nützlicher Frist behoben werden, wenn auch grosser materieller Schaden entsteht. Es gibt daneben aber noch viel subtilere Sabotageformen, die vom betroffenen Unternehmen, wenn überhaupt, erst sehr spät oder zu spät bemerkt wird. Auch hier weiss Sanchez ein anschauliches Beispiel zu nennen, und zwar aus dem Bereich des Triebwerkbaus für Flugzeuge. Dort sei die Anordnung der einzelnen Schaufelblätter im Innern einer Turbine sehr heikel, kleine Abweichungen könnten zu Explosionen führen, gibt er zu bedenken. «Ein Hacker könnte nun in den Herstellungsprozess eindringen und die Form der einzelnen Schaufelblätter minim verändern», berichtet Sanchez. Diese Veränderung sei so gering, dass sie niemandem auffalle. «Werden diese Turbinen dann in Flugzeuge eingebaut, müssen diese öfters repariert werden», so Sanchez weiter. In der Folge sinke der Ruf des Produzenten als verlässlicher Hersteller. «Das geschieht sehr viel später und der eigentliche Grund kann kaum noch nachvollzogen werden», gibt Sanchez zu bedenken.
Ob offensichtliche oder subtile Sabotage: Es gab zahlreiche Vorfälle in den letzten Jahren, die das Gefährdungspotenzial durch die Attacke von OT-Systemen unter Beweis gestellt haben. Neben den recht bekannten und gut dokumentierten Fällen wie Stuxnet und Industroyer (vgl. Text zu Stuxnet und Industroyer am Schluss dieses Artikels) werden immer wieder auch Fälle in der Schweiz bekannt. Vor allem «geglückte» Ransomware-Attacken auf Spitäler und Altersheime kommen des Öftern ans Tageslicht.
Auch InfoGuards Limacher berichtet von einem «Fall aus dem Gesundheitswesen». Dabei war ihm zufolge ein neues Medizinalgerät mit einer Malware versehen, die sich bei der Installation auf alle Endpunkte verteilt hatte. «Die Malware war aber noch nicht ‹scharf›, wodurch weder Daten verschlüsselt noch weitere Aktionen ausgeführt wurden. Dadurch konnten wir diese rechtzeitig entfernen und weitere Massnahmen einleiten», berichtet Limacher und verweist darauf, dass er aus Vertraulichkeits- und Sicherheitsgründen keine weiteren Details zu diesem Vorfall bekannt geben könne.
Sehr häufig werden Betriebe mit präparierten Mails attackiert. «Bei vielen in den letzten Jahren bekannt gewordenen Angriffen dienten Spear-Phishing-Attacken und Spam als Einstieg in das Unternehmen», weiss Limacher zu berichten. Auf diese Weise werde eine Art «Brückenkopf» auf einem Rechner im Unternehmen errichtet. «Von diesem wird das Netzwerk dann ausgekundschaftet und weitere Systeme infiziert», beschreibt er den Ablauf.
Kulturen prallen aufeinander
Mit der Verknüpfung von IT und OT stossen nicht nur technisch gesehen unterschiedliche Systeme aufeinander. Auch zwei Kulturen mit unterschiedlichem Verständnis für das Thema Sicherheit prallen aufeinander. Ein Aspekt dabei ist die Zeit. IT-Systeme sind um einiges schnelllebiger als OT-Installationen. Das beobachtet auch Schneider von Trend Micro: «Während in der IT Betriebszeiten von unter drei Jahren nicht unüblich sind, werden OT-Systeme nicht selten mit Betriebszeiten von 15 bis 20 Jahren konzipiert.» Laut Schneider ist es daher in der IT durchaus Usus, ein fehlerhaftes und «suboptimal» konzipiertes System in der Regel nach drei Jahren «auszutauschen». «Diese Option besteht für OT-Systeme schlichtweg nicht», sagt Schneider.
Dass IT und OT in verschiedenen Geschwindigkeiten unterwegs sind, bejaht auch Limacher. «Der Planungs- und Zeithorizont bei OT-Technologien ist wesentlich länger», meint er zu den Unterschieden. Nicht selten habe man den Grundsatz «Never touch a running system». «Zudem hat die Verfügbarkeit einen sehr hohen Stellenwert», fügt Limacher an. Im OT-Bereich sei es üblich, dass die Systeme rund um die Uhr an sieben Tagen der Woche funktionieren und laufen müssen. Auch die Mitarbeitenden haben offenbar dieses Prinzip verinnerlicht. Unterbrüche, um Systeme zu patchen, sind quasi undenkbar.
“Der Planungs- und Zeithorizont bei OT-Technologien ist wesentlich länger als in der IT„
Markus Limacher, InfoGuard
Safety vs. Security
Schneider veranschaulicht die Unterschiede zwischen IT und OT mit der verschiedenen Bewertung der Schutzziele. «Im IT-Bereich ist eine Priorisierung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit oder englisch CIA, also Confidentiality, Integrity, Availability, der Standard», sagt er. Im OT-Bereich stehe dagegen die Verfügbarkeit an erster Stelle, gefolgt von Integrität und Vertraulichkeit. «Üblich ist auch das Einbringen von Safety als übergreifendes Schutzziel», führt Schneider weiter aus und folgert daraus, dass allein schon die Priorisierung der Schutzziele eine ganz andere Herangehensweise an das Design und den Betrieb der jeweiligen Systeme bedinge.
Auch Walter Jäger von Kaspersky betont, dass beide Seiten – noch – in gewisser Weise eine «unterschiedliche Sprache» sprechen würden. «Im Englischen wird dies bei den Begriffen ‹Security› und ‹Safety› deutlich. Daher gilt es, diese Unterschiede abzubauen – und da machen wir schon Fortschritte», fügt er an.
Ansätze zur OT-Absicherung
Die Kardinalfrage lautet nun: Wie lassen sich OT-Systeme schon heute oder in Zukunft schützen? Zunächst ist sicherlich eine Sensibilisierungskampagne der Mitarbeiter und der Betreiber von Anlagen wichtig. Sie müssen erkennen, dass ein Problem besteht und wo dieses zu verorten ist. Eine holistische Herangehensweise wird daher von Expertenseite empfohlen (vgl. Kasten unten). «Ein umfassender, vielschichtiger Ansatz, der technischen Schutz mit regelmässigen Schulungen von IT-Sicherheitsspezialisten und Betreibern industrieller Netzwerke kombiniert, stellt sicher, dass Netzwerke vor Bedrohungen geschützt und die Fähigkeiten der Mitarbeiter auf dem neusten Stand bleiben», bringt Kasperskys Jäger die Strategie auf den Punkt.
Danach kann man ans Eingemachte gehen, sprich: ans Technische. Dabei zeigt sich, dass viele aus der IT-Security bekannte sowie erprobte Ansätze und Verfahren auch in Sachen OT wirken und somit angewandt werden können. Bestes Beispiel ist hier die Aufteilung der Systemumgebung und des Netzwerks in Zonen oder Segmente. Dadurch werden zwischen den Einzelteilen einer Anlagensteuerung Schutzwälle errichtet, in die Schleusen eingelassen sind, die sich wiederum gut überwachen lassen. Wird ein einzelnes Segment oder Mikrosegment angegriffen oder verseucht, bleibt der Rest des OT-Systems zunächst unberührt. Die Attacke lässt sich so nicht nur eingrenzen, sondern auch besser bekämpfen. Zudem sollten die einzelnen Zonen und Teile eines OT-Systems eine eindeutige Identifikation und Authentisierung erhalten. Schliesslich kann nur etwas geschützt werden, von dem man von der Security-Seite her weiss, dass es existiert.
Mit der Vergabe eindeutiger Identitäten – einer aus der IT-Security bekannten und bewährten Methode – können sogenannte Chains of Trust oder Vertrauensketten aufgebaut werden. Diese dienen dann nicht nur für den Aufbau einer vertrauensvollen Umgebung innerhalb der eigenen Anlagen, sondern können und sollten auch auf die Lieferkette ausgeweitet werden. Denn schliesslich sind die Systeme der Zulieferer und Abnehmer ebenfalls ein mögliches Einfallstor für Cyberkriminelle. Steht einmal ein solches Inventar, lassen sich die Datenströme der OT-Umgebungen überwachen. Dies kann durchaus von aussen geschehen, sodass die eigentliche Funktionsweise des OT-Systems nicht verändert werden muss – etwa durch die Installation zusätzlicher Software. Wie wir bereits erfahren haben, wird das optimal laufende System und der akribisch eingestellte Prozess von den OT-Operateuren ungern geändert.
Stattdessen wird das Verhalten der Anlagenteile von einer IT-Security-Software beobachtet. Beispielsweise lässt sich anhand der Analyse des Datenstroms eines Sensors erkennen, ob alles rund läuft oder ob möglicherweise Cyberkriminelle ihr Unwesen treiben. Ein gewöhnlicher Drucksensor produziert nämlich in der Regel nur wenige Kilobyte an Daten. Schnellt diese Zahl in die Höhe, kann dies ein Indiz dafür sein, dass etwas nicht stimmt. In der Folge lassen sich Warnungen ausgeben respektive im Rahmen eines IT-Security-Systems entsprechende Gegenmassnahmen einleiten. Diese Überwachung und Bekämpfung von aussen ist derzeit für Anlagenbetreiber die beste Option, um den Security-Standard ihrer OT-Systeme zu heben. Denn bis die OT-Seite in Sachen Security nachgezogen und die Konzepte aus der IT-Security verinnerlicht haben wird, dürften analog zu den dort üblichen Erneuerungszyklen Jahrzehnte vergehen.
IEC 62443
Eine Norm für OT-Security
Ein wichtiges Instrument für die Betreiber von Industrieanlagen, um die Cybersecurity von industriellen Automatisierungssystemen (Industrial Automation and Control Systems; IACS) und kritischen Infrastrukturen zu erhöhen, ist die Normenreihe 62443 der International Electrotechnical Commission (IEC).
IEC 62443 verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Die Reihe besteht aus vier Hauptsegmenten. Der erste Teil liefert allgemeine Grundlagen wie Begriffserklärungen und die Vorstellung von Konzepten und Modellen. Im zweiten Teil werden Sicherheitsanforderungen und einzelne Verfahren zur Erhöhung der Cybersecurity in IACS vorgestellt, darunter beispielsweise ein Patchmanagement für OT-Umgebungen. Im dritten Teil werden Sicherheitsanforderungen an die Automatisierungssysteme selbst vorgestellt. Hier werden beispielsweise Security-Techniken für IACS präsentiert oder Verfahren zur Risikobeurteilung. Im vierten Abschnitt werden sodann Sicherheitsanforderungen an die einzelnen Komponenten von IACS besprochen.
Zwei Angriffsbeispiele: Stuxnet und Industroyer
Dass Industrieanlagen, die nicht direkt über ein Netzwerk an die IT gekoppelt sind, also noch über den berühmten «Air Gap» verfügen, dennoch das Opfer eines Cyberangriffs mit dem Ziel der gezielten Sabotage werden können, haben die Betreiber der Urananreicherungsanlage in Natanz im Iran 2010 bitter erfahren müssen. Sie wurden nämlich das Opfer des berüchtigten Stuxnet-Wurms, der über einen USB-Stick eingeschleust wurde.
Stuxnet gilt dabei als regelrechte Cyberwaffe, die ziemlich sicher von staatlicher Seite entwickelt und finanziert wurde, wobei die Urheberschaft bis heute nicht nachgewiesen werden konnte. Denn der Wurm ging einerseits ganz gezielt auf die Suche nach gewissen Komponenten einer ganz bestimmten Anlage. Andererseits legten die Autoren von Stuxnet alles daran, dass die Störung und schlussendlich Zerstörung der Anlagenkomponenten – konkret: der Gaszentrifugen – wie ein Unfall aussehen würden.
Erkennbar ist dies daran, dass der Wurm sich zunächst ab 2007 weltweit ausbreitete. Dies wurde zwar von Virenjägern bemerkt. Bei der Analyse der Malware konnte aber nicht wirklich festgestellt werden, was die Schadroutine (Payload) bezwecken soll. Stuxnet hat zwar das Potenzial, jede Anlage, die mit der attackierten speicherprogrammierbaren Steuerung von Siemens ausgerüstet ist, zu infiltrieren. Schaden wurde aber nur in den betroffenen Anlagen zugeführt, da die dort verwendeten «Low-tech»-Verfahren für die Sabotageaktion ausgenutzt wurden.
Wer mehr zu Stuxnet erfahren möchte, dem kann die Dokumentation «Stuxnet und die Folgen» empfohlen werden, die sich wie ein «Thriller» liest. Der Hamburger Security-Fachmann und Entschlüssler des Stuxnet-Wurms, Ralph Langner, legt hier detailliert dar, wie die Malware aufgebaut ist und wie sie die Anlage in Natanz so nachhaltig sabotieren konnte.
BlackEnergy, KillDisk und Industroyer
War mit Stuxnet schon ein Angriff auf eine Industrieanlage möglich, die über einen Luftspalt verfügte, wie viel einfacher muss es für Cyberkriminelle sein, solche Infrastrukturen anzugreifen, die vernetzt sind. Bestes Beispiel hierfür sind die beiden Angriffe auf die Stromversorgung der Ukraine, zunächst Ende 2015 mit einem Blackout von 250'000 Haushalten im Oblast Iwano-Frankiwsk und danach Ende 2016 mit einem grösseren Stromausfall in Teilen der Hauptstadt Kiew.
Beim ersten Angriff verwendeten die Hacker die BlackEnergy-Malware und KillDisk. Damit missbrauchten sie die Fernzugriffs-Software, die auf den Arbeitsrechnern der Stromversorger lief, um den Strom abzustellen. Im zweiten Fall kam seitens der Cyberkriminellen die sehr modular aufgebaute Malware Industroyer zum Einsatz. Hier wurde eine Backdoor eingerichtet, über die direkt auf die Steuerung von Umspannstationen zugegriffen werden konnte. Speziell bei Industroyer: Um die bösartigen Befehle zu erteilen, wurde die jeweilige «Steuerungssprache» der industriellen Komponenten benutzt. Zudem bauten die Industroyer-Urheber Methoden ein, die eine Entdeckung der Malware erschwerten sowie die Systeme unbrauchbar machten und eine forensische Analyse der Vorfälle verunmöglichen sollten. Wie der IT-Security-Spezialist Eset betont, ist Industroyer deshalb so gefährlich, da er relativ einfach abgewandelt werden und dann andere kritische Infrasturkturen oder Industrien angreifen kann.
Ausser dass jeweils die Ukraine das Opfer der beiden Cyberattacken war und dass der Zeitpunkt jeweils vor Weihnachten gewählt wurde, haben die verwendeten Angriffsmethoden mit BlackEnergy/Killdisk und Industroyer offenbar nichts miteinander zu tun. Beide Angriffe hat Eset in Papers und in Blog-Einträgen gut dokumentiert.