ADMIN

2022

01

2022-01-01T12:00:00

Rechenzentrum und Netze verwalten

SCHWERPUNKT

070

Netzwerkinfrastruktur

Sicherheit

Industriekontrollsysteme schützen

Fremdgesteuert

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 01/2022 - SCHWERPUNKT

Vor kurzem feierte die Bezeichnung "Industrie 4.0" ihren zehnten Geburtstag. Seit ihrer Etablierung ist viel passiert – Industrieanlagen sind digitaler geworden und durch eine Einbindung der Steuerungen in die Computernetzwerke der Unternehmen von überall erreichbar, auch über das Internet. Die Liste erfolgreicher Cyberangriffe auf Industrial Control Systems, kurz ICS, in den letzten Jahren zeigt aber auch, dass ein dringendes Update auf Version 4.1 notwendig ist: Sichere ICS. In diesem Artikel zeigen wir Angriffsvektoren und Möglichkeiten zur Absicherungen auf.

Never change a running system – das Sprichwort gilt auch für viele Industrieanlagen, die heute zuverlässig Tag für Tag in Produktionen zum Einsatz kommen. Vor allem ältere Anlagen wurden im Zuge der Digitalisierung von Produktionsstandorten möglichst unverändert in die Computernetzwerke der Unternehmen eingebunden. Die Steuerung der Anlagen, Änderungen von Einstellungen oder Rezepten und die Überwachung der Anlage zur Laufzeit sollten vom virtuellen Arbeitsplatz der Verantwortlichen möglich sein, unabhängig vom tatsächlichen Standort.
Im Vordergrund der Entwicklungen von Industrie 4.0 steht die Produktionssicherheit, allerdings mehr im Hinblick auf Verfügbarkeit und physische Sicherheit, weniger aus informationstechnischer Sicht. Bereits vor der ersten Diskussion über Industrie 4.0 mahnten Experten der IT-Sicherheit vor den Gefahren umfänglich vernetzter Industrieanlagen. Der seit 2009 gepflegte Standard in ISA/IEC 62443 mit dem Titel "Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme" liefert hier eine erste Referenz zur Absicherung von ICS-Komponenten.
Die genannten Angriffsvektoren sind vielfältig: Neben veralteter Software und dem Betrieb der Geräte und Maschinen mit Standardkonfiguration finden sich fehlende Kommunikationsverschlüsselung, aber auch Schadsoftware, mangelnde Netzwerksegmentierung oder Social Engineering in der Liste der Gefährdungen von ICS. Zuletzt 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Übersicht der TOP-10-Bedrohungen veröffentlicht [1].
Never change a running system – das Sprichwort gilt auch für viele Industrieanlagen, die heute zuverlässig Tag für Tag in Produktionen zum Einsatz kommen. Vor allem ältere Anlagen wurden im Zuge der Digitalisierung von Produktionsstandorten möglichst unverändert in die Computernetzwerke der Unternehmen eingebunden. Die Steuerung der Anlagen, Änderungen von Einstellungen oder Rezepten und die Überwachung der Anlage zur Laufzeit sollten vom virtuellen Arbeitsplatz der Verantwortlichen möglich sein, unabhängig vom tatsächlichen Standort.
Im Vordergrund der Entwicklungen von Industrie 4.0 steht die Produktionssicherheit, allerdings mehr im Hinblick auf Verfügbarkeit und physische Sicherheit, weniger aus informationstechnischer Sicht. Bereits vor der ersten Diskussion über Industrie 4.0 mahnten Experten der IT-Sicherheit vor den Gefahren umfänglich vernetzter Industrieanlagen. Der seit 2009 gepflegte Standard in ISA/IEC 62443 mit dem Titel "Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme" liefert hier eine erste Referenz zur Absicherung von ICS-Komponenten.
Die genannten Angriffsvektoren sind vielfältig: Neben veralteter Software und dem Betrieb der Geräte und Maschinen mit Standardkonfiguration finden sich fehlende Kommunikationsverschlüsselung, aber auch Schadsoftware, mangelnde Netzwerksegmentierung oder Social Engineering in der Liste der Gefährdungen von ICS. Zuletzt 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Übersicht der TOP-10-Bedrohungen veröffentlicht [1].
Legacy-Systeme
Obwohl Windows XP bereits seit 2014 offiziell nicht mehr von Microsoft unterstützt wird, ist es noch nicht verschwunden. Zuletzt wurde Windows XP im Oktober 2020 ein Marktanteil von etwa einem Prozent bescheinigt [2], das war in etwa so viel wie der Marktanteil von Linux zu der Zeit. Doch im Gegensatz zu Linux findet sich Windows XP vorwiegend auf Legacy-Systemen in Produktionsumgebungen oder auf medizinischen Geräten in Krankenhäusern. Mit einer Lebensdauer von 20 bis 25 Jahren für diese Geräte ist das auch nicht ungewöhnlich. XP feierte im Oktober des letzten Jahres erst seinen 20. Geburtstag.
Insbesondere im medizinischen Umfeld gilt nämlich, dass Änderungen am Aufbau in der Regel durch den Hersteller oder eine durch diesen zertifizierte Firma erfolgen müssen und eine einmal erteilte Zulassung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auch das Betriebssystem einschließt. Ein Update birgt also neben der Gefahr, dass die Software der Herstellers nicht mehr läuft, auch das Problem, dass die Zulassung erlischt. Ein Einsatz in kritischen Umgebungen wäre dann nicht mehr möglich.
Schwachstelle Mensch
Bereits seit Jahren stehen Angriffsvektoren mit dem Faktor Mensch im Fokus von Cyberkriminellen. Attacken umfassen dabei sowohl Social Engineering und Phishing, aber auch gezielte Sabotage durch Innen- und Außentäter. Über diese Wege erhalten Angreifer dann entweder gültige Zugangsdaten, etwa für Fernwartungssoftware und Onlinedienste, oder liefern Schadsoftware oder manipulierte Dokumente aus. Der Schadcode wird entweder von entsprechenden Mitarbeitern selbst auf den Arbeitsplatzcomputern installiert oder erlangt beim Öffnen der Dokumente über Sicherheitslücken einen Zugang zum System.
Auch Malware-Angriffe über USB-Sticks sind immer noch verbreitet. Mitarbeiter nutzen dann betriebliche oder private USB-Datenträger an unterschiedlichen Geräten und tragen so ungewollt etwa die Schadsoftware vom privaten Computer oder dem privaten Smartphone in die Unternehmensnetzwerke hinein.
Angeschlossen an einen Steuerungscomputer, etwa zum Einspielen neuer Konfigurationsdaten, kann dies dazu führen, dass die Malware auch ohne Netzwerkzugang des Computers auf diesen gelangt und dort ihr Unheil anrichtet. Die Stuxnet-Schadsoftware, die 2010 durch einen erfolgreichen Angriff gegen ein Kernkraftwerk bekannt wurde, hat das sogenannte Air-Gap – also die physische und logische Trennung der Steuerungsanlage und des Unternehmensnetzwerks – mithilfe eines USB-Sticks überwunden. Allerdings gehen Experten hier von einem staatlichen Akteur als Urheber der Schadsoftware aus.
Moderne Anlagen mit Cloudanbindung
Die meisten modernen Produktionsanlagen verfügen bereits über Anschlussmöglichkeiten an eine Netzwerkinfrastruktur. Häufig kommunizieren einzelne Bestandteile großer Anlagen nicht mehr über proprietäre Protokolle, sondern verwenden TCP/IP-basierte Kommunikation und lassen sich damit sehr einfach in das bestehende Unternehmensnetzwerk einbinden. Durch einen kontinuierlichen Zugang zum Internet kann zwar der Hersteller der Anlage zu Servicezwecken schnell auf die Steuercomputer zugreifen, genauso schnell kann aber auch ein Angreifer mögliche Schwachstellen ausnutzen oder Standardpasswörter für den Service verwenden, um einen Zugriff zu erhalten.
Tatsächlich finden sich vor allem in etwas günstigeren ICS für kleine und mittelständige Unternehmen heutzutage auch Anbindungen an die Cloud des Herstellers. Damit haben Sie als Unternehmen die vermeintlich noch größere Flexibilität beim Zugriff und der Konfiguration Ihrer Anlagen und erhalten mögliche Updates unkritischer Systeme unmittelbar nach Erscheinen. Kommunikationsprobleme mit der Cloud, etwa durch einen Angriff auf den Clouddienstleister oder Probleme beim Anbieter Ihres Internetzugangs, führen mitunter zu einem kompletten Ausfall der Produktion, weil über den Steuercomputer unmittelbar keine Daten mehr an die Anlagen gesendet oder aktuelle Parameter abgefragt werden können.
Ein separater Netzbereich und ein eigenes VLAN suggerieren zunächst eine sinnvolle Trennung zwischen Information Technology (IT) und Operational Technology (OT). Leitet der Router oder Switch aber Anfragen aus der Büro-IT ohne weitere Prüfung in den anderen Netzbereich weiter, damit sich die Konfiguration auslesen oder aktualisieren lässt, wird natürlich auch der Zugriff durch einen unautorisierten Benutzer möglich.
Bereits bestehende Anlagen an die Netzwerkinfrastruktur des Unternehmens anzubinden ist eine Aufgabe, die seit der Kreation des Begriffs Industrie 4.0 den entsprechenden Fachabteilungen in den Unternehmen zuteilgeworden ist. Dabei stehen für die Umsetzung zunächst die einfache und barrierefreie Steuerung und Kontrolle sowie die Betriebssicherheit (Safety) im Fokus. Ebenso wie die Netzwerkfähigkeit dieser Legacy-Produktionsanlagen muss die IT-Sicherheit (Security) nachträglich in den Gesamtaufbau von Produktionsanlage und erweiterter Netzwerkfähigkeit integriert werden.
Risikoanalyse
Der erste Schritt bei der Absicherung von Produktionsanlagen ist die möglichst lückenlose Dokumentation der einzelnen Bestandteile. Hier unterscheiden sich SCADA-Anlagen von Prozessleitsystemen zwar im Aufbau und der Organisation der Anlagen selbst, bei der späteren Absicherung gibt es aber konzeptionell wenige Unterschiede. Haben Sie alle Bestandteile katalogisiert – dazu sollte auch geistiges Eigentum im Sinne von Programmen oder Daten gehören –, können Sie diesen entsprechende Kritikalitäten zuordnen. Diese Zuordnung arbeiten Sie in der Regel mit den verantwortlichen Kollegen aus der Produktion aus und finden gemeinsam eine entsprechende Einschätzung. Beachten Sie dabei auch mögliche Abhängigkeiten der Bestandteile untereinander.
Haben Sie die kritischen Bestandteile identifiziert, gilt es, für diese nun Schutzziele festzulegen. Dabei können Sie sich an den klassischen Zielen der IT-Sicherheit orientieren: Vertraulichkeit, Integrität und Verfügbarkeit. Erweitern Sie diese bei Bedarf um weitere wie Zurechenbarkeit, Authentizität oder Privatsphäre. Anschließend können Sie mögliche Gefährdungen für diese Schutzziele festlegen. Orientieren Sie sich zunächst an denselben Gefährdungen, die Sie auch bei der Risikobewertung Ihrer Office-IT berücksichtigt haben, diese gelten zumeist genau so auch für Ihre nun vernetzten Bestandteile der Produktionsumgebung.
Im Gegensatz zu Ihrer Büro-IT sind die Risiken eines erfolgreichen Cyberangriffs auf ICS häufig jedoch etwas anders gelagert. Ein Angriff auf Computersysteme gefährdet neben der Vertraulichkeit, etwa von Geschäftgeheimnissen oder Kunden- und Mitarbeiterdaten, vor allem die Geschäftsprozesse eines Unternehmens. Bei den physikalischen und materiellen Dimensionen einer Produktionsanlage müssen auch Gefährdungen von Personen oder Auswirkungen auf die Umwelt berücksichtigt werden.
Spezifische Absicherungen
Haben Sie die Gefährdungslage umfassend erfasst, ermitteln Sie die Gegenmaßnahmen und setzen sie Schritt für Schritt um. Dabei werden Sie feststellen, dass sich die definierten Schutzziele für Ihre Produktionsanlage zum Teil widersprechen. Offensichtlich ist dies etwa bei der Verfügbarkeit von Konfigurationsdiensten und der Vertraulichkeit Ihrer Konfiguration. Hier müssen Sie mögliche Konflikte auflösen und das Erreichen der Schutzziele vor allem durch organisatorische Maßnahmen sicherstellen.
Bei den Schutzmaßnahmen sind Sie im Vergleich zu Ihrer Office-IT an gewisse Einschränkungen gebunden. Das betrifft beispielsweise Aktionen wie Software-Updates, die in Office-Umgebungen auf modernen Betriebssystemen heute obligatorisch sind und meist ohne große Ausfälle automatisiert funktionieren. Wartungszyklen und regelmäßige Updates in der Produktion werden aber teilweise über Wochen oder Monate geplant und verursachen je nach Dauer des Stillstands der Produktion mitunter hohe Kosten. Teilweise können Sie selbst diese Maßnahmen gar nicht durchführen, sondern müssen sich an entsprechende Wartungsverträge halten und die Techniker Ihres Servicepartners sind verantwortlich für die Absicherung.
Innerhalb Ihres Unternehmens sollten Sie die individuellen Zugriffrechte Ihrer Kollegen auf die Steuerung und Überwachung jeder einzelnen Ihrer Anlagen regelmäßig hinterfragen und Änderungen umfassend dokumentieren. Das gilt auch für gemeinsam genutzte Passwörter von Standardlogins Ihrer Steuerungscomputer. Bestenfalls hinterlegen Sie dieses in einem gemeinsam genutzten Passwortmanager und ändern es, wenn Mitarbeiter mit Zugriff darauf ausscheiden oder zukünftig in einer anderen Abteilung tätig sind und das Passwort nicht mehr benötigen.
Generelle Absicherungen
Unabhängig von den einzelnen Bestandteilen Ihrer Produktionsanlage können Sie allgemeine Absicherungen zum Schutz Ihrer ICS vornehmen. Die richtige Umsetzung einer Netzwerksegmentierung ist dabei ein wichtiger Baustein. Bestenfalls verwenden Sie für das Netzwerk Ihrer Anlagensteuerung komplett eigene Netzwerkhardware und eigene Verkabelung.
Für den Zugriff aus Ihrer Office-IT heraus haben Sie anschließend nur noch wenige zu überwachende Zonenübergänge. An diesen setzen Sie sehr restriktive Firewall-Regeln ein. Passen Sie diese Regeln individuell an die Computer der verantwortlichen Mitarbeiter an. Im besten Fall berücksichtigen Sie dabei auch die Schichtpläne oder Informationen der Zeiterfassung Ihres Unternehmens. Ist etwa ein Produktionsleiter zu einem Zeitpunkt nicht im Dienst, sollten von seinem Computer auch keine Verbindungen zu den Steuerungen Ihrer Anlagen aufgebaut werden. So verhindern Sie schon mit einfachen Mitteln, dass ein Angreifer mit Zugriff auf einzelne Computer Ihrer Mitarbeiter außerhalb der Dienstzeiten auch Zugriff auf Ihre Produktionsanlage erhält.
Ähnlich restriktive Filterregeln sollten Sie auch für die Fernwartung durch den Hersteller oder Ihren Servicedienstleister umsetzen. Bestenfalls aktivieren Sie entsprechende Ausnahmen immer nur manuell, etwa bei einem von Ihnen initiierten Supportfall oder im Rahmen der regelmäßigen Servicetermine. Berücksichtigen Sie vor allem bei zentral gesteuerten Fernwartungswerkzeugen wie TeamViewer oder AnyDesk die Möglichkeit, dass auch diese Dienst möglicherweise Sicherheitslücken haben und ein Zugriff auf Ihre Systeme von der Sicherheit dieser abhängig ist. Starten Sie daher den Client nur dann, wenn Sie ihn wirklich benötigen und schränken Sie die Nutzung zeitlich möglichst ein.
Moderne Produktionsanlagen bieten mitunter auch eine drahtlose Einbindung der Anlagensteuerung in das Unternehmensnetzwerk. Wenn Sie diese nicht nutzen möchten, etwa weil Sie ein kabelgebundenes Netzwerk bevorzugen, stellen Sie sie in den Einstellungen wieder ab. Je nach Auslieferungszustand kann es Ihnen sonst passieren, dass darüber ein drahtloser Zugangspunkt zur Konfiguration bereitgestellt wird und Angreifer sich dort mit öffentlich bekannten Standard-Zugangsdaten der Komponenten anmelden können. In Kombination mit einem kabelgebundenen Netzwerkanschluss erlangt ein Angreifer anschließend mitunter Zugriff auf Ihre gesamten Produktionsanlagen in diesem Netzbereich.
Alles im Blick behalten
Für den Fall, dass trotz Ihrer Vorkehrungen ein Angreifer in Ihre Produktionsinfrastruktur eindringen kann, sollten Sie an zentralen Punkten den Netzwerkverkehr überwachen und auf Anomalien prüfen. Dafür müssen Sie natürlich vorab definieren, welcher Datenverkehr zu welchem Zeitpunkt als normal anzusehen ist und welche Abweichungen Sie akzeptieren können. Hierfür können Sie auf klassische Intrusion Detection Systeme (IDS) wie Snort zurückgreifen und diese um eigene Regeln erweitern.
Das Reporting dieses IDS sollten Sie an ein Information Security Management System (ISMS) weiterleiten, sodass Sie dort einen Alarm erhalten und der Ursache weiter auf den Grund gehen können. Wenn Sie Ihr IDS im Inline-Modus betreiben und planen, auf Basis Ihrer Anomalieerkennung auch Verbindungen zu verhindern, sollten Sie auch außergewöhnliche, aber reguläre Ereignisse berücksichtigen. Das kann der Upload bestimmter Daten oder von Programmen sein, das Laden von Updates oder die geplante oder ungeplante komplette Abschaltung der Produktion, etwa für Wartungsarbeiten.
Backups
Ein weiterer Aspekt der ICS-Sicherheit ist das Anfertigen von Backups. Hat ein Angreifer nachweislich Konfigurationsoptionen Ihres Kontrollsystems verändert, sollten Sie in der Lage sein, die letzte funktionierende Konfiguration wieder einzuspielen. Eine Backupstrategie mit Versionierung erlaubt Ihnen auch die Rekonstruktion Ihrer Produktionshistorie. Allerdings sollten Sie die angefertigten Sicherungen ebenfalls in die Risikobetrachtung Ihrer ICS einbeziehen und den Zugriff auf Backups möglichst restriktiv konfigurieren. Ihre Datensicherung lässt sich nämlich nur dann zuverlässig verwenden, wenn sie nicht ebenfalls durch einen Angreifer manipuliert werden konnte. Hier bieten sich nach Analyse der individuellen Sicherheit herstellerspezifischer Möglichkeiten unter Umständen auch Backups in Cloudsysteme an.
Fazit
Die Digitalisierung in der Produktion und das zuverlässige Absichern der Operational-Technology-Infrastruktur im Sinne von IT-Security ist eine Mammutaufgabe. Auch mehr als zehn Jahre nach der Geburt des Begriffs "Industrie 4.0" sind noch nicht alle Produktionsanlagen umfassend abgesichert in die Unternehmensnetzwerke eingebunden. Dieser Artikel hat grundlegende Konzepte und Möglichkeiten zum Schutz Ihrer digitalisierten ICS aufgezeigt.
(dr)
Link-Codes