Hochvernetzte Industrieanlagen laden zu Cyber-Angriffen ein

Unternehmen sollten aktiv ihre Sicherheitsstrategie an zunehmende Digitalisierung anpassen

[datensicherheit.de, 04.02.2015] Unbekannte Hacker drangen 2013 in das Netzwerk eines deutschen Stahlwerks ein, entrissen dem Betreiber die Kontrolle und verursachten große Schäden in der Anlage. Bei diesem Angriff sollen sich die Kriminellen Zugriff auf das Netzwerk verschafft haben, indem sie des Know-Hows und der Expertise der Mitarbeiter über Social Engineering habhaft wurden.

Besondere kriminelle Raffinesse

Dieser Fall zeige die Professionalität und die neue Qualität von Cyber-Angriffen, so Christine Schönig, Technical Managerin bei der Check Point Software Technologies GmbH. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe ihn publik gemacht, um Unternehmen und die Öffentlichkeit auf die steigende Gefahr durch Cyber-Attacken hinzuweisen.
Der Vorfall werde als APT-Attacke („Advanced Persistent Thread“) mit überdurchschnittlichem Ausmaß und besonderer krimineller Raffinesse angesehen. Solche Angriffe auf Infrastrukturen wirkten sich erheblich auf Betriebszeit und Datenintegrität aus und sorgten für Sicherheitsbedenken. Der Exploit sei dem Schema des 2010 entdeckten „Stuxnet“-Angriffs auf die Nuklearanlagen im Iran gefolgt. Im Falle des Stahlwerks sei es nicht nur zu einem Betriebsausfall und einem Kontrollverlust gekommen, sondern auch zu einer Beschädigung der Anlage und dem Verlust von Betriebsgeheimnissen. In anderen Bereichen sei sogar eine Gefährdung der Öffentlichen Sicherheit möglich, warnt Schönig.

SCADA/ICS-Netzwerke kaum geschützt

Moderne Industrie- und Produktionsanlagen nutzen digitale Steuerungssysteme und können wie Server oder PCs angegriffen werden. Diese Anlagen werden von speziellen Computersystemen – Steuergeräten und Sensoren – gesteuert und überwacht. Die Management-Systeme bauen auf SCADA– (Supervisory Control and Data Acquisition) und ICS-Lösungen (Industrial Control System) auf und erlauben eine effektive Analyse von Daten. Die Systeme sind dazu gedacht, Management und Kontrolle bei maximaler Zuverlässigkeit in anspruchsvollen Umgebungen zu ermöglichen und erlauben die Automatisierung von Kontrollprozessen und Effizienzsteigerungen.
SCADA/ICS-Netzwerke hielten nun in der Regel keine oder nur einfache Mechanismen zur Verhinderung des unbefugten Zugriffs oder zur Bewältigung der sich entwickelnden Sicherheitsbedrohungen vor, sagt Schönig. Diese nähmen in der Regel den Weg über externe oder interne Netzwerke. Tatsächlich seien SCADA-Steuerungen aber kleine Computer, die Betriebssysteme (oft eingebettetes „Windows“ oder „Unix“), Software-Anwendungen, Accounts und Logins, Kommunikationsprotokolle usw. verwendeten. Schwachstellen würden mitübernommen und in ein ursprünglich abgeschlossenes System integriert. Spezielle oder unternehmenseigene Sicherheitssysteme seien oft nicht ausreichend gegen unberechtigte Zugriffe gesichert.

Multilaterale Sicherheitsmechanismen anwenden!

Um das für industrielle und kritische Netzwerke erforderliche Maß an Schutz sicherzustellen, müsse die Sicherheitsstrategie abnormales Verhalten erkennen und Angriffe abwehren. „Multi-Layer-Security“-Ansätze böten hierzu ein Höchstmaß an Sicherheit, da verschiedene Abwehrmechanismen kombiniert eingesetzt würden. Alle Aktivitäten würden in einem unabhängigen „Out-of-Band“-Verfahren, das nicht mit der Konfiguration der SCADA-Geräte zusammenhänge, protokolliert. Es sei notwendig, multilaterale Sicherheitsmechanismen zur Sicherstellung des ausschließlich befugten Zugriffs anzuwenden. Dazu gehörten Anwendungskontrolle und Identitätsbewusstsein.
Über eine Basis von Firewall-, Intrusion-Prevention- und AntiViren-Technologie hinaus sollte ebenfalls über ein virtuelles „Sandboxing“-Verfahren nachgedacht werden, empfiehlt Schönig. Zum Schutz gegen Drive-by-Downloads könnten neben dem erwähnten virtuellen „Sandboxing“-Verfahren weitere Bedrohungspräventionen wie URL-Filterung und eine Kontrolle der eingesetzten Applikationen im Unternehmen installiert und durch DLP („Data Loss Prevention“ zum Schutz vor dem Verlust von sensiblen Daten) ergänzt werden. Dies biete einen weiteren Schutz vor bereits bekannten und entsprechend als gefährdend eingestuften URLs bzw. Anwendungen. Wichtig hierbei sei, dass die Sicherheitsrichtlinien den Businessprozess optimal und sicher ergänzen. Zu den Schlüsselkomponenten einer mehrschichtigen Abwehr für SCADA-Geräte sollte eine zusätzliche Art der „Threat Intelligence“ gehören, um Informationen über neue und aufkommende Bedrohungen für kritische Infrastrukturen sowohl erfassen als auch teilen zu können. Dies gewährleiste einen weiteren proaktiven Schutz der Umgebung.

Aktiv Sicherheitsstrategie an zunehmende Digitalisierung anpassen!

Über die Hintermänner dieses Hacker-Angriffs sei bislang nicht viel bekannt und es sei unwahrscheinlich, dass der Cyber-Angriff je aufgeklärt werden könne. Unternehmen sollten aktiv ihre Sicherheitsstrategie an die wachsende Digitalisierung anpassen. Netzwerke von Produktions- und Steuerungsanlagen könnten leicht kompromittiert und müssten entsprechend geschützt werden. Beim Betrieb von Infrastruktur und in der Wirtschaft würden vermehrt Technologien zur Virtualisierung eingesetzt – dadurch wüchsen diese Bereiche immer stärker zusammen. Unternehmen und Anbieter sollten ihre Sicherheitsstrategie anpassen, und dabei interne Netzwerke und proprietäre Protokolle wie sie in SCADA/ICS-Umgebungen häufig zum Einsatz kommen miteinbeziehen, da diese oft über keine ausreichenden Schutzmechanismen verfügten, so Schönig.