Angriffe auf vernetzte Systeme
07.03.2019, 20:26 Uhr
Das IIoT hat Sicherheitsprobleme
Die zunehmende Vernetzung industrieller Systeme bringt neue Gefahren mit sich. Unternehmen, die sich für den Einsatz von IoT-Lösungen interessieren, sollten ganz genau auf die Sicherheit achten.
Für die Zukunft der deutschen Wirtschaft sind Themen wie Industrie 4.0 und die schnelle und breite Nutzung von IoT-Plattformen nach Ansicht des Digitalverbands Bitkom von elementarer Bedeutung. Nur wenn es weiter gelinge, die Erfolge der hiesigen Industrie in die digitale Welt zu überführen und mit IoT-Plattformen zu verknüpfen, könne die industrielle Wertschöpfung am Standort Deutschland auf Dauer gesichert werden, schreibt Bitkom in seinem im vergangenen Jahr veröffentlichten Whitepaper „IoT-Plattformen - aktuelle Trends und Herausforderungen“.
Der Einstieg in diese Plattformen zwinge viele Hersteller jedoch dazu, sich mit einem bislang zu wenig beachteten Gebiet auseinanderzusetzen - dem Schutz und der Absicherung ihrer Daten. Auch bestehe in vielen Unternehmen die Sorge, dass die in einer IoT-Plattform gespeicherten Daten nicht ausreichend vor Diebstahl geschützt werden können oder dass sie im Fall einer etwa durch einen Hackerangriff verursachten Downtime verloren gehen.
Sicherheitsbedenken
Wenn es um das Thema Datenschutz geht, sind deutsche Unternehmen traditionell eher vorsichtig. Das liegt auch an den strengen Vorgaben hierzulande. So nannten in einer von Bitkom Research in Deutschland durchgeführten Umfrage fast 58 Prozent der Unternehmen Bedenken hinsichtlich der Datensicherheit und -integrität als wichtige Gründe gegen einen möglichen Einsatz von IoT-Plattformen. Bei Unternehmen mit weniger als 500 Mitarbeitern lag die Zahl der Bedenkenträger sogar noch leicht höher. Grössere Firmen sahen das Thema dagegen naturgemäss etwas gelassener, da sie über mehr Ressourcen verfügen, um sich um die Absicherung ihrer Anlagen zu kümmern.
„Die enorme Anzahl vernetzter Dinge und damit verbundener Prozesse bringt mehr Schwachstellen mit sich“, kommentiert Kai Zobel, Regional Director bei Thales eSecurity. Das Tochterunternehmen des französischen Rüstungskonzerns Thales Group ist auf die Themen Datensicherheit und Vertraulichkeit in modernen IT-Umgebungen spezialisiert. In Zukunft seien nicht nur mehr Angriffe zu erwarten, sondern es zeichne sich auch eine grössere Bandbreite dieser Attacken ab. „Dass die Gefahr inzwischen real ist, haben wir in der jüngeren Vergangenheit schon mehrfach beobachten dürfen“, so Zobel weiter. So sei etwa eine Sicherheitslücke in einem Netzwerk-Controller identifiziert worden, den viele aktuelle Fahrzeugtypen verwenden. Kai Zobel: „Über diese Schwachstelle hatten Angreifer die Möglichkeit, Sicherheitsfunktionen wie etwa das ABS-Bremssystem, die Servolenkung oder die Airbags des betreffenden Pkw auszuhebeln.“
“„In einer datenzentrierten Welt ist es von enormer Wichtigkeit, diese Daten zu schützen, wo immer sie erzeugt, geteilt oder gespeichert werden.“„
Der dabei verwendete sogenannte CAN-Bus wird nicht nur in Fahrzeugen, sondern auch in der industriellen Produktion und zum Beispiel im Gesundheitswesen genutzt. Das ursprünglich von Bosch entwickelte System reduziert Kabelbäume und hilft auf diese Weise, Gewicht und Kosten einzusparen.
Zobel stuft die zunehmende Verbreitung des Industrial IoT (IIoT) als Paradigmenwechsel für die Wirtschaft ein. Die fortschreitende Technologie bringe „zwei bisher mehr oder weniger getrennt voneinander existierende Ebenen näher zusammen: die der betrieblichen Prozesse, die Operational Technology (OT), und die IT“. Ganze Produktionsanlagen und Fertigungsstrassen bestünden heute teilweise schon aus vernetzten Geräten.
Daraus ergeben sich nach Ansicht des Thales-Managers „hohe Anforderungen an die Cybersicherheit“. Verschlüsselung sei beim Schutz von IoT-Anwendungen unverzichtbar, denn sie gehöre zu den wichtigsten Technologien, um digitale Unternehmenswerte und persönliche Kundendaten vor Bedrohungen zu schützen und um Compliance-Anforderungen zu erfüllen. „In einer zunehmend datenzentrierten Welt ist es von enormer Wichtigkeit, diese Daten zu schützen, wo immer sie erzeugt, geteilt oder gespeichert werden“, so Zobel.
Trotzdem sind laut dem von IDC im Auftrag von Thales erstellten Bericht „2019 Thales Data Threat Report“ bisher erst etwas mehr als 42 Prozent der im IoT vorhandenen Daten durch Verschlüsselung geschützt.
Zu den Sicherheitsanbietern, die sich verstärkt auf das Thema Sicherheit im Industrial IoT ausrichten, gehört auch Trend Micro. Im vergangenen Jahr hat der japanische Antiviren-Spezialist zusammen mit Moxa, einem Hersteller von industrieller Kommunikations- und Netzwerktechnik, das Joint-Venture TXOne Networks gegründet. Das neue Unternehmen konzentriert sich auf Sicherheitslösungen für das Industrial IoT und will auch die Bereiche Smart Manufacturing, Smart City und Smart Energy abdecken.
“„Wir waren in der Lage, industrielles Gerät in voller Größe zu bewegen, das auf Baustellen, in Fabriken oder in der Logistik zum Einsatz kommt.“ „
In einem Anfang 2019 veröffentlichten Forschungsbericht hat sich Trend Micro zudem mit Funkfernsteuerungen beschäftigt, die in Kränen, Bohrern, Bergbaumaschinen und anderen Industriegeräten der sieben am weitesten verbreiteten Hersteller verwendet werden. Dabei wurden teils erschreckende Sicherheitslücken gefunden. „Bei der Prüfung der von unseren Forschern entdeckten Schwachstellen haben wir festgestellt, dass wir in der Lage sind, industrielles Gerät in voller Grösse zu bewegen, das auf Baustellen, in Fabriken oder in der Logistik zum Einsatz kommt“, betont Udo Schneider, Security Evangelist bei Trend Micro.
Angriffe auf die Schnittstellen
Das grösste Risiko für industrielle IoT-Umgebungen liegt nach Aussage von Martin Grauel, Pre-Sales Manager EMEA bei One Identity, bei den Schnittstellen zwischen Mensch und Maschine (Human Machine Interfaces, HMI). Sie ermöglichen es den Mitarbeitern, eine Maschine zu überwachen und in laufende Prozesse einzugreifen. Viele HMIs sind mit SCADA-Überwachungssystemen (Supervisory Control and Data Acquisition) verbunden. Oft handele es sich bei HMIs aber um „schlecht programmierte Software, die auf einem alten, ungepatchten System läuft“, die in einem nicht durch Segmentierung geschützten Netzwerk erreichbar sei.
Ein Beispiel für eine Malware, die es gezielt auf SCADA- und andere Steuerungssysteme abgesehen hat, ist Industroyer. Sie wurde unter anderem von dem slowakischen Sicherheitsanbieter Eset analysiert. Nach Angaben von Senior Malware Researcher Anton Cherepanov wurde Industroyer möglicherweise auch bei dem Cyberangriff auf das ukrainische Stromnetz 2016 eingesetzt. Damals gingen in
Kiew vorübergehend die Lichter aus. Laut Cherepanov kann Industroyer Schalter in Umspannwerken und Überstromeinrichtungen manipulieren.
Kiew vorübergehend die Lichter aus. Laut Cherepanov kann Industroyer Schalter in Umspannwerken und Überstromeinrichtungen manipulieren.
Vergleichbare Einrichtungen würden ausserdem in Verkehrsleitsystemen und anderen kritischen Infrastrukturen etwa für Wasser und Gas verwendet. Eine Störung solcher Systeme und Komponenten könne deswegen - direkt oder indirekt - das Funktionieren von lebenswichtigen Diensten beeinträchtigen.
Die immer noch für diese Anlagen verwendeten Industrieprotokolle wurden teilweise schon vor Jahrzehnten entwickelt. Damals waren die industriellen Systeme aber noch von der Aussenwelt abgeschnitten. Mit dem industriellen IoT ist das heute nicht mehr der Fall. Um Schaden anzurichten, müssen „Cyberkriminelle nicht nach Sicherheitslücken im Protokoll suchen, sondern ihrer Malware lediglich die Protokollsprache beibringen“, erläutert Anton Cherepanov.
Backdoors
Industroyer ist nach den Erkenntnissen von Eset modular aufgebaut und kann deswegen leicht um weitere Funktionen ergänzt werden. Die Kernkomponente der Schad-Software ist eine Backdoor, die sie auf infizierten Systemen einrichtet. Über diese kommuniziert Industroyer mit dem Steuer-Server der Angreifer. Ausserdem lassen sich neue Komponenten über die Hintertür herunterladen und installieren. Eset ist es gelungen, mehrere dieser Bestandteile abzufangen und zu untersuchen. Sie richten sich meist gegen bestimmte Kommunikationsprotokolle, die in industriellen Umgebungen verwendet werden. Andere dienen dazu, Daten auf dem verseuchten System zu löschen, oder um weitere potenzielle Ziele im jeweiligen Netzwerk zu identifizieren und anzugreifen.
Sogar für DDoS-Angriffe (Distributed Denial of Service) lässt sich Industroyer nach Aussage von Cherepanov einsetzen. Wer hinter der Malware steckt, ist immer noch unklar. Industroyer gilt als eine der grössten Gefahren für kritische Infrastrukturen und industrielle Anlagen seit Stuxnet. Der Stuxnet-Wurm infizierte 2010 unter anderem SCADA-Systeme von Siemens, die zur Steuerung von Frequenzumrichtern in iranischen Atomanlagen gedient haben. Nach Informationen des Whistleblowers Edward Snowden und des Aktivisten Jacob Appelbaum wurde Stuxnet gemeinsam von den USA und Israel entwickelt.
“„Die aus einem erfolgreichen Angriff resultierende Ausfallzeit hat verheerende wirtschaftliche Auswirkungen.“„
„Ein erfolgreicher Angriff auf Systeme, die physikalische und technische Prozesse steuern, beeinträchtigt unter Umständen die Funktionsfähigkeit der gesamten Anlage“, erläutert Will Stefan Roth, Regional Director DACH & EE bei Nozomi Networks. Das Unternehmen ist auf die Absicherung von Steuerungs- und SCADA-Systemen spezialisiert und hat Standorte in den USA und der Schweiz. „Die aus einem erfolgreichen Angriff resultierende Ausfallzeit hat verheerende wirtschaftliche Auswirkungen“, so Roth. Zahlreiche in der Industrie und von Versorgern eingesetzte Anlagen und Systeme stammen nach seinen Angaben noch aus der Vor-Internet-Ära, und seien damals nach dem Prinzip der physischen Nähe konzipiert worden. Inzwischen habe sich die Arbeitsweise jedoch stark geändert. „Heute sind diese historisch gewachsenen Systeme mit IT-Netzwerken oder mit der Aussenwelt verbunden, um Prozesse zu steuern und zu überwachen.“
Kosten runter, Gefahren rauf
Auf der einen Seite sinken dadurch die Kosten, die betriebliche Effizienz steigt, die Gesundheit der Mitarbeiter wird geschont, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen, so Roth. Auf der anderen Seite steigen dadurch aber auch die Gefahren. „Jede neu aufgemachte Verbindung fungiert als möglicher Eintrittspunkt ins Netzwerk, als versteckter Pfad oder sogar als Mechanismus, um automatisierte physikalische Systeme zu manipulieren“, erklärt der Nozomi-Manager.
„Ein wichtiger erster Schritt für die Entwickler von IoT-Geräten ist es, Sicherheit durch den gesamten vertikalen IoT-Plattform-Stack zu gewährleisten“, fordert Nisarg Desai, Leiter Produktmanagement IoT beim Zertifikatsanbieter GlobalSign. „Das erreicht man, indem man beim Transport der Daten durch die unterschiedlichen Schichten bei jedem einzelnen Schritt die Identität und Authentizität der betreffenden Partei kommuniziert.“
Mit einer PKI-Infrastruktur (Public Key Infrastructure) könne man die Daten schützen und ihre Integrität bewahren. Die Anbieter von IoT-Geräten sollten Authentifizierung und Autorisierung über die sichere Bereitstellung eines Zertifikats bereits in den Herstellungsprozess des jeweiligen Produkts integrieren.
“„Ein wichtiger erster Schritt für die Entwickler von IoT-Geräten ist es, Sicherheit durch den gesamten vertikalen IoT-Plattform-Stack zu gewährleisten.“„
Will Stefan Roth von Nozomi Networks weist noch auf eine weitere Gefahr hin. Die erst vor Kurzem entdeckte Malware Triton richte sich gegen sogenannte Safety Instrumented Systems (SIS). Diese Industriesysteme werden zum Beispiel in der Öl- und Gasindustrie eingesetzt, um gefährliche Ereignisse zu erkennen und geeignete Massnahmen einzuleiten. Auf diese Weise kann ein Prozess wieder in einen sicheren Zustand versetzt werden.
Triton eignet sich laut Roth dazu, falsche Positivmeldungen im SIS auszulösen, sodass ein Angreifer damit etwa eine Anlage oder ein verteiltes Leitsystem (DCS) abschalten kann. Ausserdem kann die Schad-Software die Funktionsweise des Sicherheitssystems so weit schädigen, dass es kritische Zustände nicht mehr erkennen und beenden kann. Auch ein Totalausfall könne damit ausgelöst werden, warnt Roth.
Fazit
Will Stefan Roth zufolge sind Angreifer von aussen und zielgerichtete Attacken aber nicht die einzigen Risiken, mit denen sich Industrieunternehmen auseinandersetzen müssen. Lücken bestünden auch durch schwache Passwörter und offene Ports.
Dabei spiele es keine Rolle, ob die Lücken absichtlich oder durch einen Fehler verursacht wurden. Roth: „So oder so wirken sie sich negativ auf die Produktivität aus.“
Für Martin Grauel von One Identity könnte die Abkürzung IoT deswegen auch für „Internet of Threats“ stehen. Die Hersteller würden vollmundig industrielle Clouds, vernetzte Geräte und Sensoren bewerben, um angeblich effizientere Prozesse zu unterstützen. „Nur Cybersicherheit kommt selten vor und wenn, dann eher allgemein“, so Grauel.
“„Cybersicherheit kommt selten vor und wenn, dann eher allgemein.“„
Interessierten Unternehmen rät er, sich unter anderem mit der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen, der sogenannten NIS-Richtlinie (Security of Network and Information System), zu beschäftigen. Sie enthält Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union und soll einen einheitlichen Rechtsrahmen bieten.
Darüber hinaus empfiehlt der One-Identity-Manager den Unternehmen unbedingt ein „umgehendes Patchen, mehr Netzwerksicherheit sowie bessere Zugriffskontrollen, insbesondere im Fall von Remote-Nutzern mit erweiterten Rechten“.