Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

02.09.2015 - 

SCADA-Steuerungssysteme

Fünf Security-Mythen über Industrieanlagen

Holger Suhl ist General Manager DACH bei Kaspersky Lab.
Cyberbedrohungen machen vor kritischen Infrastrukturen nicht Halt - auch nicht in Deutschland. Trotzdem existieren hierzulande noch immer viele falsche Wahrheiten, mit denen wir in diesem Beitrag aufräumen wollen.

Ende des vergangenen Jahres berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass ein deutsches Stahlwerk gehackt wurde - unter anderem fielen die Steuerelemente aus, ein Stahlofen ließ sich nicht mehr herunterfahren.

Obwohl generell das Bewusstsein für Internetattacken auf kritische Systeme wie industrielle Steuerungssysteme steigt, wird bei zahlreichen IT-Sicherheitsmodellen in diesem Bereich noch zu sehr auf die physische Isolation von Systemen und das Konzept "Sicherheit durch Unklarheit" gesetzt (Geheimhaltung der Funktionsweise / Obfuskation). Beide Ansätze bieten für Systeme, die meist ein besonders hohes Maß an Sicherheit benötigen, allerdings nur unzureichenden Schutz.

Im Folgenden widerlegen wir fünf gängige Mythen zum Thema IT-Security für industrielle Systeme. Die Wichtigkeit des Themas ist evident: Denn sogenannte "Air-gap"- und Perimeter-basierte Ansätze sind für die Cybersicherheit von Industriesystemen längst nicht mehr ausreichend.

Mythos 1: Offline = sicher

Ein durchschnittliches industrielles Steuerungssystem hat elf direkte Verbindungen zum Internet - so eine Securelist-Untersuchung aus dem Oktober 2012. Darüber hinaus zeigte eine interne Umfrage bei einem großen Energiekonzern bereits 2006: Der Großteil der Bereichsleiter ist der Meinung, dass ihre Steuerungssysteme nicht mit dem Unternehmensnetzwerk verbunden seien. Ein Irrglaube, denn 89 Prozent der Systeme waren vernetzt. Zudem berücksichtigten die Sicherheitssysteme des Unternehmensnetzwerks nur die allgemeinen Unternehmensprozesse und nicht die kritischen Prozesssysteme. Es waren zahlreiche Verbindungen zwischen dem Unternehmensnetzwerk und dem Internet vorhanden - einschließlich Intranet, direkten Internetverbindungen, W-LAN- und Einwahlmodems.

Kritische Infrastrukturen wie Fabriken müssen besonders geschützt werden.
Kritische Infrastrukturen wie Fabriken müssen besonders geschützt werden.
Foto: Kaspersky Lab

Derartige uneinheitliche Sicherheitskonzepte machen Unternehmen angreifbar. Der Wurm "Slammer" etwa attackierte kritische Infrastrukturen, genauso wie Notdienste, die Flugüberwachung und Geldautomaten. Dank dem Internet erreichte er seine volle Scan-Rate (55 Millionen Scans pro Sekunde) in unter drei Minuten. Ironischerweise konnte er nur durch die fehlende Bandbreite in den kompromittierten Netzwerken abgebremst werden. Folgende Einrichtungen waren betroffen:

  • Die Prozessrechner und Anzeigen des Sicherheitssystems des Kernkraftwerks Davis-Besse wurden über eine T1-Leitung zu einem Auftragnehmer infiziert. Die Sicherheitsüberwachungssysteme waren für fünf Stunden offline.

  • Die nordamerikanische Non-Profit-Organisation North American Electric Reliability Council (NERC) fand heraus, dass die Infektion bei den von "Slammer" betroffenen Elektrounternehmen über eine VPN-Verbindung zu einem Remotecomputer erfolgte. Der Computer wurde wiederum über das Unternehmensnetzwerk infiziert. Der Wurm verbreitete sich und blockierte den SCADA-Datenverkehr.

  • Harrisburg Water Systems in den USA wurde über einen infizierten Mitarbeiter-Laptop infiltriert. Cyberkriminelle nutzten den Remotezugang des Mitarbeiters, um eine SCADA-HMI zu kompromittieren und Schadprogramme sowie Spyware zu installieren.

Mythos 2: Eine Firewall schützt

Firewalls schützen bis zu einem gewissen Grad, sie sind jedoch nicht unüberwindbar. Eine Untersuchung von 37 Firewalls in Finanz-, Energie-, Telekommunikations-, Medien- und Automobilunternehmen aus dem Jahr 2004 durch Avishai Wood ergab, dass:

  • fast 80 Prozent beliebige Dienste auf Basis der Inbound-Regeln sowie den ungesicherten Zugang zur Firewall und demilitarisierten Zonen erlauben.

  • fast 70 Prozent gewährten Maschinen außerhalb der Netzwerkperimeter den Zugang und die Verwaltung der Firewall.