Absicherung von Produktionssystemen im Zeitalter von Industrie 4.0

Zunehmende Vernetzung bringt auch Gefahren mit sich

Von unserem Gastautor Karl Schrade, CISSP, Executive Solution Manager – Industrial Security bei NTT Com Security

[datensicherheit.de, 23.09.2015] Industrie 4.0 ist eines der Schlagworte im Jahr 2015, das auf verschiedenen Ebenen für die Zukunftssicherung der deutschen Industrie verwendet wird. Zentrales Merkmal der vierten industriellen Revolution ist die Verbindung von Industriesteuerungen sowie einzelner Produktionsprozesse über IT-Netzwerke mit Intranet, Internet oder Daten-Clouds. Doch die immer stärkere Verknüpfung von Produktionsanlagen mit den Unternehmensnetzwerken bringt nicht nur Vorteile, sondern zugleich Probleme und Gefahren mit sich, die die Sicherheit der Produktion in Frage stellen, wie prominente Beispiele aus der jüngeren Vergangenheit belegen.

Im Fall von Havex/Dragonfly, der im Frühsommer 2014 aufgedeckt wurde, manipulierten die Angreifer gezielt Softwarekomponenten, die im Bereich Fernwartung von Industriesteuerungen zum Einsatz kommen. Offensichtlich erfolgte die Manipulation über einen Zeitraum von mindestens 15 Monaten hinweg. Vermutlich infizierte der Remote-Access-Trojaner Havex, hinter dessen Entwicklung mutmaßlich eine Gruppe namens Dragonfly steht, hunderte von Produktionsumgebungen verschiedenster Branchen in mindestens neun Ländern. Unter anderem zielten die Angriffe auf Anlagen von Energieversorgern. Durch die Manipulation konnten die Angreifer ein infiziertes System unter ihre administrative Kontrolle bringen und fernsteuern. Bei mindestens drei europäischen Herstellern aus dem ICS/SCADA (Fernwartungs)-Umfeld enthielten auf der Downloadseite des Unternehmens verfügbare Softwarekomponenten diesen Trojaner. Außerdem wurde die Malware über andere Wege, beispielsweise Spearfishing- und Waterholing-Attacken, verbreitet. Während die Art und Weise der Infektionen sowie die Arbeitsweise des Trojaners detailliert analysiert sind, konnten Urheber und Intention des Angriffs bis heute allerdings nicht vollständig geklärt werden.

Produzierende Unternehmen, vor allem aus dem Bereich der kritischen Infrastrukturen (KRITIS), sind von elektrischem, mechanischem oder hydraulischem Equipment, das von Controllern, Sensoren und Aktoren kontrolliert, gesteuert und überwacht wird, abhängig. Immer öfter zielen auch Angriffe aus dem Cyberspace auf Produktionsanlagen und kritische Infrastrukturen:

Neben Havex sorgte der Ende 2014 bekannt gewordene Angriff auf den Hochofen eines deutschen Stahlwerks für Schlagzeilen. Hierbei wurden verschiedene Systeme des Werks derart kompromittiert, dass sich der Hochofen nicht kontrolliert herunterfahren lies. Verbreitet wurde die Malware wiederum über Spearfishing sowie zudem über ausgefeilte Social Engineering Attacken. In diesem Fall legten die Angreifer ihren Fokus zunächst auf Systeme im Büronetzwerk, von dort aus erfolgte dann die sukzessive Verbreitung in die Steuerungsnetze.

Warum aber zielen Angriffe heutzutage vermehrt auf Supervisory Control and Data Acquisition (SCADA)- und Industrial Control Systems (ICS)? Industriesteuerungen sind auf Kontrolle und unkomplizierte Bedienung bei größtmöglicher Zuverlässigkeit ausgelegt und können aufgrund ihrer Stabilität über einen langen Zeitraum eingesetzt werden. Allerdings entspricht die Absicherung von SCADA- und ICS-Systemen nur selten aktuellen Sicherheitsstandards, weshalb potentiellen Angreifern die Schwachstellen in den genutzten Standardkomponenten oft bekannt sind. Weitere Möglichkeiten, um sich unrechtmäßig Zugang zum System zu verschaffen, bieten unzureichende Authentifizierung und Verschlüsselung sowie eine schlecht abgesicherte und kontrollierte Wartung der Anlagen, vor allem in Bezug auf Softwarewartung.

Dank Sensoren und IT-Schnittstellen können heutzutage Industriesteuerungen und Produktionsanlagen miteinander kommunizieren und mittels der Zuführung von Big Data den Produktionsprozess weitgehend eigenständig organisieren, ein Trend, der auch bei der Fernwartung abzusehen ist. Erfolgt die Überwachung der Prozesse bereits heutzutage aus der Ferne, wobei die Maschinen von menschlicher Hand bedient werden, liefert ein Blick in die Zukunft folgendes Szenario: „Als sogenannte Social Machines verbinden sich die Produktionssysteme zu ihrer Cloudbasierten Telepräsenz-Plattform und erweitern selbstständig ihre Fähigkeiten, indem sie benötigte Funktionen und Daten automatisch nachladen.“ [1]

Foto: NTT Com Security

Gerade im Bereich der Produktion öffnet die Wartung von Anlagen aus der Ferne Angreifern eine Hintertür in ansonsten geschützte Umgebungen. Um die Kommunikationsströme zu regeln und zu überwachen, werden Sicherheitstechnologien eingesetzt, die am Perimeter, dem Übergang zu Fremdnetzen wie Internet, Telefon- oder Mobilfunknetzen, greifen. Bei falscher Konfiguration oder unzureichender Überwachung sind es aber genau diese Sicherheitsmechanismen, die per Fernwartung umgangen werden und Angreifern den Zugang zu Produktionsumgebungen öffnen können.

Trotz aller Vorteile, die die zunehmende Vernetzung der globalen Welt mit sich bringt, dürfen die Risiken nicht aus den Augen verloren werden. Mangelhaft abgesicherte Produktionsanlagen sind ein begehrtes Angriffsziel für Cyber-Kriminelle. Unzureichende Authentifizierungen und Verschlüsselungen bieten darüber hinaus weitere Einfallstore, die den Zugang zu Systemen sowie den Zugriff auf sensible Daten ermöglichen. Ein aktueller Maßnahmenkatalog, um Lücken in Sicherheits- und Produktionssystemen nicht nur zu stopfen, sondern von vorherein zu vermeiden, sollte für Unternehmen daher an erster Stelle stehen. Auf diesem Weg kann das Sicherheitsniveau erhöht und ein reibungsloser Produktionsablauf garantiert werden, so dass Unternehmen Cyber-Bedrohungen im Bereich ICS/SCADA nicht mehr schutzlos ausgeliefert sind.

Weitere Informationen zum Thema:

[1] Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0, S.71: http://www.plattform-i40.de/sites/default/files/Abschlussbericht_Industrie4%200_barrierefrei.pdf.