SCADA-Steuerungssysteme

Fünf Security-Mythen über Industrieanlagen

02.09.2015
Von Holger Suhl

Mythos 3: Hacker verstehen nichts von SCADA

In der Hackerszene werden die Themenbereiche SCADA und Prozessleitsysteme diskutiert. Dafür gibt es einen guten Grund: Cyberkriminalität ist zu einem finanziell lukrativen Geschäft geworden. So werden Zero-Day-Exploits - also noch ungepatchte Programmschwachstellen - für 80.000 Dollar pro Exploit an Vertreter der organisierten Kriminalität verkauft. Folgende Gründe zeigen, dass die Annahme nicht der Wahrheit entspricht, Hacker hätten kein Interesse oder nicht das nötige Know-how, um industrielle Steuerungssysteme anzugreifen:

  • Zielgerichtete Würmer und andere Exploits werden zurzeit auf spezifische Anwendungen und Ziele zugeschnitten.

  • Handelsübliche SCADA-Spezifikationen können online gekauft werden oder sind online zugänglich. Eine gute Lektüre für Hacker, um diese Systeme mit samt ihren Schwächen besser verstehen zu können.

  • Die Suchmaschine Shodan ermöglicht eine einfache Suche nach ungesicherten Industriegeräten und -systemen weltweit. Kriminelle wissen nur allzu gut, dass viele dieser Geräte mit Werkseinstellungen, generischen Passwörtern und Zugangsdaten wie "admin" oder "1234" genutzt werden.

  • Das Basecamp-Projekt, Nessu Plugins und Metasploit-Module helfen bei Penetrationstests, können aber auch für kriminelle Zwecke genutzt werden.

Produktionshallen müssen noch einmal gesondert abgesichert sein.
Produktionshallen müssen noch einmal gesondert abgesichert sein.
Foto: Kaspersky Lab

Mythos 4: Ein Angriff ist unwahrscheinlich

Zunächst einmal muss ein Unternehmen kein direktes Ziel einer Attacke sein, um Opfer davon zu werden - 80 Prozent der Sicherheitsvorfälle in Bezug auf Steuerungssysteme waren unbeabsichtigt, aber schädlich, so eine Untersuchung von securityincidents.net/RISI aus dem Jahr 2013. "Slammer" beispielsweise zielte darauf ab, so viele Systeme weltweit wie möglich anzugreifen. Obwohl der Wurm nicht darauf ausgelegt ist, speziell Energieunternehmen oder Notfalldienste zu attackieren, hatten verschiedenste Bereiche mit signifikanten Auswirkungen zu kämpfen: Notrufnummern von Polizei- und Feuerwehrbezirken sowie Webseiten von Kreditunternehmen und Geldautomaten wurden über Slammer außer Betrieb gesetzt.

Die Einsatzleitzentrale steuert industrielle Anlagen - das Thema IT-Security muss hier ganz oben auf der Agenda stehen.
Die Einsatzleitzentrale steuert industrielle Anlagen - das Thema IT-Security muss hier ganz oben auf der Agenda stehen.
Foto: Kaspersky Lab

Zudem sind viele Systeme bereits attackiert worden und generell angreifbar - aufgrund der unsicheren Betriebssysteme, auf denen sie basieren. Umfangreiche Studien von Kaspersky Lab, basierend auf Daten des Kaspersky Security Network, zeigen folgendes Bild: Immer mehr Rechner, die SCADA-Software nutzen, sind von derselben Schadsoftware betroffen, denen auch die allgemeinen IT-Systeme von Unternehmen ausgesetzt sind - wie zum Beispiel Trojaner, Würmer, potenziell unerwünschte und gefährliche Programme (PUPs) sowie andere Exploits, die Schwachstellen im Windows-Betriebssystem ausnutzen. Hier ein Vergleich, wie viele der untersuchten "klassischen" IT-Geräte und wie viele der SCADA-Systeme von bestimmten Schädlingen befallen waren:

Malware IT vs. SCADA

IT

SCADA

Trojaner

65,45%

43,44%

PUPs

(ungewollte Programme)

11,17%

37,03%

Würmer

7,52%

13,43%

Viren

15,86%

6,1%

Mythos 5: Sicherheitssysteme schützen vor Angriffen

Aktuelle Sicherheitssysteme können technische Fehler aufweisen. Dies sind einige der größten Sicherheitsprobleme derzeitiger Systeme:

  • Die Zertifizierung IEC 61508 (SIL) bewertet nicht das Maß an Sicherheit.

  • Moderne Sicherheitssysteme basieren auf Mikro-Prozessoren und sind programmierbare Systeme, die über Windows-PCs konfiguriert werden.

  • Es ist üblich geworden, Kontroll- und Sicherheitssysteme zu integrieren, indem man Ethernet-Kommunikation mit offenen, unsicheren Protokollen (Modbus TCP, OPC) nutzt.

  • Viele Module der Kommunikationsschnittstellen von Sicherheitssystemen nutzen eingebettete Betriebssysteme und Protokollstapel, die bekannte Schwachstellen haben.

  • LOGIIC SIS Project (ICSJWG): Die Integration von SIS-ICS birgt Risiken, die Standardeinstellungen sind nicht sicher. (sh)

Zur Startseite