DragonImages - Fotolia
SCADA-Systeme vor Angriffen schützen
SCADA-Systeme bilden in vielen Unternehmen das Kernelement der Operational Technology von Produktionsanlagen. Durch die zunehmende Vernetzung entstehen neue Risiken.
SCADA-Systeme (Supervisory Control and Data Acquisition) sind oftmals der zentrale Baustein der Operational Technology (OT) von produzierenden Unternehmen. Stellen diese doch den automatischen Anlagenbetrieb sicher. Sie empfangen Sensordaten angeschlossener Maschinen, führen diese zusammen, analysieren und werten sie aus und senden, basierend auf ihren Ergebnissen, Befehle an die Anlage zurück. Ursprünglich arbeiteten diese Systeme abgeschirmt von den regulären IT-Systemen.
Mit der Hinwendung zur Industrie 4.0, zur Digitalisierung, zur Vernetzung und zum verstärkten Einsatz mobiler Endgeräte ist die einst klare Trennlinie zwischen OT und IT jedoch verwischt.
Hacker profitieren vom Anschluss der OT an die regulären IT-Netzwerke. Über viele Jahre wurden Investitionen in die Sicherheit der OT eher stiefmütterlich behandelt. Versprach die Insellösung doch ausreichend Schutz. Nun müssen Unternehmen schnellstmöglich nachrüsten – möglichst mit einem ganzheitlichen Ansatz.
Cyberattacken auf Produktionsanlagen
Cyberangriffe auf die OT von Produktionsanlagen haben in den letzten Jahren an Vielfalt zugelegt. Längst geht es nicht mehr nur um das Ausspähen von Industriegeheimnissen oder die Erpressung eines Lösegelds. So wurden erst Anfang 2018 Attacken auf Energie- und Wasserversorger publik, bei denen Hacker die SCADA-Systeme infiltriert hatten, um Rechenleistung zum Mining von Bitcoins abzuzapfen. Die neuen Angriffe zeigen: Ziele, Techniken und Methoden von OT-Angriffen haben in rasantem Tempo zu denjenigen regulärer IT-Angriffe aufgeschlossen.
Doch gibt es nach wie vor zwei Besonderheiten, die Angriffe auf die OT von Angriffen auf die IT eines Unternehmens unterscheiden. Zum einen ist ein erfolgreicher Angriff auf die OT meist mit weit gravierenderen Folgen verbunden. Denn manipulierte Anlagen können neben finanziellen auch physische Schäden – für Mitarbeiter, Kunden und unbeteiligte Dritte – nach sich ziehen.
So tragen Angriffe auf Anlagen zur Versorgung der Bevölkerung mit Energie und Wasser – die kritische Infrastruktur eines Staates also – auch eine geostrategische Komponente in sich. Damit in Zusammenhang stehend, werden Angriffe auf die OT, zum anderen, häufig von staatlichen Institutionen durchgeführt oder zumindest protegiert, die eben diese geostrategisch relevante Infrastruktur ausschalten oder unter ihre Kontrolle bringen wollen.
OT-Angreifer sind dementsprechend häufig mit erheblich mehr Ressourcen ausgestattet, haben mehr Zeit zur Planung und Vorbereitung eines Angriffs, als sie einem regulären kriminellen Hackernetzwerk zur Verfügung stehen.
Drei beispielhafte Cyberangriffe, bei denen eine Störung physischer Anlagen im Zentrum der Attacke stand, können wie folgt beschrieben werden:
Der erste Angriff erfolgte 2010 auf iranische Urananreicherungsanlagen. Der Computerwurm Stuxnet/RootkitTmphider infizierte ein SCADA-System von Siemens, störte die Regulierung der Motoren der Anlage und ruinierte so deren Zentrifugen. Das iranische Atomprogramm wurde erheblich beeinträchtigt.
Der zweite Angriff erfolgte 2016 auf ein ukrainisches Energieunternehmen. Der Trojaner Industroyer/Crash Override manipulierte deren SCADA-System vollautomatisch. Befehle wurden in den Datenverkehr mit den Umspannwerken eingespeist, die diese dann zur Abschaltung zwangen. Mehrere hunderttausend Kunden waren vorübergehend ohne Strom.
Ende 2017 wurde der Trojaner Triton/Trisis entdeckt, der auf bestimmte Kontrollsysteme – sogenannte Sicherheitsinstrumentierte Systeme (SIS) des Herstellers Schneider Electric – abzielt. Diese Systeme haben die Aufgabe, im Fall einer Schadenslage Schaltungen vorzunehmen, die größere Beeinträchtigungen von der Anlage abwenden oder diese zumindest reduzieren. Die Infizierung des Systems wurde rechtzeitig erkannt und behoben. Doch sollte der neuerliche Angriff auf die OT deshalb nicht auf die leichte Schulter genommen werden. Denn SIS von Schneider Electric werden auch in Atomkraftwerken von Energieversorgern eingesetzt.
SCADA-Systeme geraten weltweit in den Fokus von Hackern
Wie die Zahl der Methoden und Techniken hat auch die Anzahl der Angriffe auf die OT von Industrie- und kritischen Infrastrukturanlagen in den letzten Jahren stetig zugenommen. Stuxnet und Industroyer mögen für einige Wochen die Schlagzeilen bestimmt haben, doch bilden sie nur die Spitze des Eisbergs.
Der Sicherheitsdienstleister Fortinet berichtete bereits für 2016 in seiner Studie 2016 Industrial Control System Security Trends, dass in den USA 51 Prozent der Unternehmen mit kritischer Infrastruktur bereits mindestens einmal Opfer eines OT/SCADA/ICS Sicherheitseinbruchs gewesen sind.
Und Kaspersky erklärte in seinem Beitrag Industrial Enterprise and IoT Security Threats: Forecast for 2018, dass, laut Kaspersky Lab ICS CERT allein in der ersten Jahreshälfte 2017 Anlagenkontrollsysteme in 63 Staaten von 33 unterschiedlichen Malware-Familien angegriffen worden seien. Für 2018 rechnet Kaspersky mit einem weiteren Anstieg der Angriffe und einer weiteren Spezialisierung und Professionalisierung der Angreifer. Auch deutsche Unternehmen geraten zunehmend in die Schusslinie.
Laut einer Umfrage des IT-Verbandes BITKOM erklärten bereits 2016 zwei Drittel der deutschen Industrieunternehmen, in den vorangegangenen zwei Jahren mindestens einmal Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden zu sein. Den Unternehmen ist die prekäre Sicherheitslage ihrer OT schon länger bekannt.
Abteilungsleiter und IT-Manager erklärten in einer Untersuchung von ForeScout Technologies, es sei davon auszugehen, dass eine Sicherheitspanne in ihrer OT dramatische Folgen für ihr Unternehmen nach sich ziehen würde. Doch kam die gleiche Studie ebenfalls zu dem Ergebnis, dass größere Investitionen in die Absicherung der OT immer noch ein Novum darstellen.
Falsche Vorstellungen hemmen Investitionen in SCADA-Schutz
In den meisten Unternehmen hinkt die OT-Sicherheit der IT-Sicherheit deutlich hinterher. So hat Cyberbit hierfür fünf Ursachen ausgemacht: IT und OT werden für gewöhnlich von getrennten Teams betreut, was die Entwicklung und Umsetzung einer umfassenden Sicherheitsstrategie erschwert. Dann werden Investitionen in die OT – im Gegensatz zu solchen in die IT – meist als langfristige Investitionen betrachtet – Neuerungen also aus finanziellen Gründen erst später realisiert. Drittens wird die OT häufig strenger als die IT reguliert, was Innovation und Anpassungen an technische Neuerungen zusätzlich behindert.
Hinzu kommt eine mentale Hemmschwelle. Hartnäckig hält sich der Mythos von der natürlichen Sicherheit der OT, da diese – angeblich noch immer – nicht mit dem Internet verbunden sei. Und schließlich sind Angriffe auf die OT seltener als solche auf die IT, was in der Unternehmensführung ein falsches Bild von der tatsächlichen Sicherheitslage entstehen lässt.
„Hartnäckig hält sich der Mythos von der natürlichen Sicherheit der OT, da diese – angeblich noch immer – nicht mit dem Internet verbunden sei.“
Felix Blanke, Cyberbit
Dabei hängt die geringere Angriffsfrequenz im Fall der OT nur damit zusammen, dass Angriffe auf kritische Infrastrukturen langfristiger geplant werden. Sie erfolgen zielgerichtet, punktgenau und erst dann, wenn der Angreifer es – zum Beispiel aus geostrategischen Gründen – für erforderlich hält. Doch werden diese Angriffe dann meist auch so geführt, dass sie ein maximales Schadenspotential entfalten können. Um sich gegen solche langfristig geplanten Angriffe wirkungsvoll zu schützen, ist ein ganzheitlicher Ansatz zur Absicherung der OT zwingend erforderlich.
Ein ganzheitlicher Ansatz als Ausweg
Drei Konzepte stehen zur Auswahl, will man seine OT vor äußeren Angriffen absichern.
Eine Möglichkeit ist eine HMI-SPS-Sicherheitslösung. Dabei wird der Datenverkehr zwischen Human Machine Interface (HMI) und Speicherprogrammierbarer Steuerung (SPS) mittels einer Deep Packet Inspection (DPI) überwacht. Dies ist die derzeit am häufigsten gebrauchte Variante. Greift Malware jedoch das HMI, die SPS oder die Eingabe/Ausgabe (EA) direkt an, kann die HMI-SPS-Sicherheitslösung dies nicht erkennen.
Eine andere Möglichkeit der Absicherung stellt die IT/OT-Sicherheitslösung dar. Neben dem Datenverkehr zwischen HMI und SPS wird hier auch das HMI, mittels fortschrittlicher EDR-Lösungen (Endpoint Detection and Response), vor Angriffen geschützt. Dabei werden der IT-Endpunkt und die über die SPS an das OT-Netzwerk gesendeten Befehle überwacht.
Die beste Lösung stellt aber eine ganzheitliche IT/OT/EA-Sicherheitslösung dar. Hier werden Datenverkehr, HMI, SPS und E/A geschützt. Nur so können Unternehmen sich erfolgreich vor einem langfristig geplanten Angriff schützen. Derzeit bildet diese Lösung noch die Ausnahme. Erfordert sie doch die Bereitschaft von nicht zu vernachlässigenden Investitionen. Doch werden Unternehmen kaum an einer solchen Lösung herumkommen, wenn sie ihre Anlagen erfolgreich vor den neuen Taktiken und Methoden von OT-Angreifern schützen wollen.
Über den Autor:
Felix Blanke ist Cyberabwehrexperte für militärische und öffentliche Versorgungsanlagen bei Cyberbit.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!