SCADA-Steuerungssysteme

Fünf Security-Mythen über Industrieanlagen

02.09.2015 von Holger Suhl
Cyberbedrohungen machen vor kritischen Infrastrukturen nicht Halt - auch nicht in Deutschland. Trotzdem existieren hierzulande noch immer viele falsche Wahrheiten, mit denen wir in diesem Beitrag aufräumen wollen.
 
  • Jede Industriesteuerung ist irgendwie mit dem Internet verbunden, meist über Umwege durch das Unternehmensnetz, und daher potenziell gefährdet.
  • Immer mehr Rechner, die SCADA-Software nutzen, sind von derselben Schadsoftware betroffen, denen auch die allgemeinen IT-Systeme von Unternehmen ausgesetzt sind.
  • Aktuelle Sicherheitssysteme können technische Fehler aufweisen.

Ende des vergangenen Jahres berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass ein deutsches Stahlwerk gehackt wurde - unter anderem fielen die Steuerelemente aus, ein Stahlofen ließ sich nicht mehr herunterfahren.

Obwohl generell das Bewusstsein für Internetattacken auf kritische Systeme wie industrielle Steuerungssysteme steigt, wird bei zahlreichen IT-Sicherheitsmodellen in diesem Bereich noch zu sehr auf die physische Isolation von Systemen und das Konzept "Sicherheit durch Unklarheit" gesetzt (Geheimhaltung der Funktionsweise / Obfuskation). Beide Ansätze bieten für Systeme, die meist ein besonders hohes Maß an Sicherheit benötigen, allerdings nur unzureichenden Schutz.

Industrie 4.0

Die Wachstumschancen durch Industrie 4.0 laut einer Fraunhofer/Bitkom-Studie.

Die historische Entwicklung: Von Industrie 1.0 zu Industrie 4.0

Eingebettete Systeme, Barcodes oder RFID-Chips sind ein Kernelement von Industrie 4.0.

Die Smart Factory ist ein Netzwerk von miteinander verknüpften und interagierenden Objekten.

In der Smart Factory interagieren alle Objekte miteinander – Maschinen, Produkte, IT-Systeme, Menschen.

Die horizontale und vertikale Integration sind eine große Herausforderung bei der Umsetzung von Industrie 4.0

Im Folgenden widerlegen wir fünf gängige Mythen zum Thema IT-Security für industrielle Systeme. Die Wichtigkeit des Themas ist evident: Denn sogenannte "Air-gap"- und Perimeter-basierte Ansätze sind für die Cybersicherheit von Industriesystemen längst nicht mehr ausreichend.

Mythos 1: Offline = sicher

Ein durchschnittliches industrielles Steuerungssystem hat elf direkte Verbindungen zum Internet - so eine Securelist-Untersuchung aus dem Oktober 2012. Darüber hinaus zeigte eine interne Umfrage bei einem großen Energiekonzern bereits 2006: Der Großteil der Bereichsleiter ist der Meinung, dass ihre Steuerungssysteme nicht mit dem Unternehmensnetzwerk verbunden seien. Ein Irrglaube, denn 89 Prozent der Systeme waren vernetzt. Zudem berücksichtigten die Sicherheitssysteme des Unternehmensnetzwerks nur die allgemeinen Unternehmensprozesse und nicht die kritischen Prozesssysteme. Es waren zahlreiche Verbindungen zwischen dem Unternehmensnetzwerk und dem Internet vorhanden - einschließlich Intranet, direkten Internetverbindungen, W-LAN- und Einwahlmodems.

Kritische Infrastrukturen wie Fabriken müssen besonders geschützt werden.
Foto: Kaspersky Lab

Derartige uneinheitliche Sicherheitskonzepte machen Unternehmen angreifbar. Der Wurm "Slammer" etwa attackierte kritische Infrastrukturen, genauso wie Notdienste, die Flugüberwachung und Geldautomaten. Dank dem Internet erreichte er seine volle Scan-Rate (55 Millionen Scans pro Sekunde) in unter drei Minuten. Ironischerweise konnte er nur durch die fehlende Bandbreite in den kompromittierten Netzwerken abgebremst werden. Folgende Einrichtungen waren betroffen:

Mythos 2: Eine Firewall schützt

Firewalls schützen bis zu einem gewissen Grad, sie sind jedoch nicht unüberwindbar. Eine Untersuchung von 37 Firewalls in Finanz-, Energie-, Telekommunikations-, Medien- und Automobilunternehmen aus dem Jahr 2004 durch Avishai Wood ergab, dass:

Mythos 3: Hacker verstehen nichts von SCADA

In der Hackerszene werden die Themenbereiche SCADA und Prozessleitsysteme diskutiert. Dafür gibt es einen guten Grund: Cyberkriminalität ist zu einem finanziell lukrativen Geschäft geworden. So werden Zero-Day-Exploits - also noch ungepatchte Programmschwachstellen - für 80.000 Dollar pro Exploit an Vertreter der organisierten Kriminalität verkauft. Folgende Gründe zeigen, dass die Annahme nicht der Wahrheit entspricht, Hacker hätten kein Interesse oder nicht das nötige Know-how, um industrielle Steuerungssysteme anzugreifen:

Produktionshallen müssen noch einmal gesondert abgesichert sein.
Foto: Kaspersky Lab

Mythos 4: Ein Angriff ist unwahrscheinlich

Zunächst einmal muss ein Unternehmen kein direktes Ziel einer Attacke sein, um Opfer davon zu werden - 80 Prozent der Sicherheitsvorfälle in Bezug auf Steuerungssysteme waren unbeabsichtigt, aber schädlich, so eine Untersuchung von securityincidents.net/RISI aus dem Jahr 2013. "Slammer" beispielsweise zielte darauf ab, so viele Systeme weltweit wie möglich anzugreifen. Obwohl der Wurm nicht darauf ausgelegt ist, speziell Energieunternehmen oder Notfalldienste zu attackieren, hatten verschiedenste Bereiche mit signifikanten Auswirkungen zu kämpfen: Notrufnummern von Polizei- und Feuerwehrbezirken sowie Webseiten von Kreditunternehmen und Geldautomaten wurden über Slammer außer Betrieb gesetzt.

Die Einsatzleitzentrale steuert industrielle Anlagen - das Thema IT-Security muss hier ganz oben auf der Agenda stehen.
Foto: Kaspersky Lab

Zudem sind viele Systeme bereits attackiert worden und generell angreifbar - aufgrund der unsicheren Betriebssysteme, auf denen sie basieren. Umfangreiche Studien von Kaspersky Lab, basierend auf Daten des Kaspersky Security Network, zeigen folgendes Bild: Immer mehr Rechner, die SCADA-Software nutzen, sind von derselben Schadsoftware betroffen, denen auch die allgemeinen IT-Systeme von Unternehmen ausgesetzt sind - wie zum Beispiel Trojaner, Würmer, potenziell unerwünschte und gefährliche Programme (PUPs) sowie andere Exploits, die Schwachstellen im Windows-Betriebssystem ausnutzen. Hier ein Vergleich, wie viele der untersuchten "klassischen" IT-Geräte und wie viele der SCADA-Systeme von bestimmten Schädlingen befallen waren:

Malware IT vs. SCADA

IT

SCADA

Trojaner

65,45%

43,44%

PUPs

(ungewollte Programme)

11,17%

37,03%

Würmer

7,52%

13,43%

Viren

15,86%

6,1%

Mythos 5: Sicherheitssysteme schützen vor Angriffen

Aktuelle Sicherheitssysteme können technische Fehler aufweisen. Dies sind einige der größten Sicherheitsprobleme derzeitiger Systeme: