Risiken für Industrial Control Systems

Kritische Infrastrukturen und wie kritisch sie wirklich sind

| Autor / Redakteur: Rüdiger Weyrauch* / Peter Schmitz

Für Betreiber von kritischen Infrastrukturen ist es wichtig, dass ihre Sicherheitsteams ein klares Verständnis der Kontrollsysteme, ihrer Lage und ihrer Funktion haben.
Für Betreiber von kritischen Infrastrukturen ist es wichtig, dass ihre Sicherheitsteams ein klares Verständnis der Kontrollsysteme, ihrer Lage und ihrer Funktion haben. (Bild: BSI)

Wie sicher sind Industrial Control Systems (ICS) – die Steuerungssysteme in industriellen Anlagen? Die Frage stellt sich besonders für kritische Infrastrukturen, die in den letzten Jahren wurden immer wieder zum Ziel von Cyberattacken wurden. Diese Anfälligkeit gefährdet den störungsfreien Betrieb von Prozessen, die für unsere moderne Welt überlebensnotwendig sind.

Oft werden vor allem die Branchen Elektrizität, Gas, Mineralöl sowie die Wasserversorgung unter der Bezeichnung kritische Infrastrukturen zusammengefasst. Doch der Begriff umfasst viele weitere Branchen aus unterschiedlichen Sektoren. Dazu zählen unter anderem das Transportwesen, der Gesundheitssektor, Informationstechnik und Telekommunikation oder auch Medien und Kulturgüter. Offiziell lautet die Definition des Bundesministeriums des Inneren: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Stuxnet als Auslöser der Diskussion

Veröffentlichung ICS-spezifischer Verwundbarkeiten pro Jahr.
Veröffentlichung ICS-spezifischer Verwundbarkeiten pro Jahr. (Bild: FireEye „2016 Industrial Control Systems (ICS) Vulnerability Trend Report“)

Bis 2010 war die Gefährdung kritischer Infrastrukturen durch Cyberangriffe kaum im Bewusstsein der Öffentlichkeit vertreten. Als die Malware Stuxnet unter anderem in Industrieanlagen im Iran entdeckt wird, änderte sich die öffentliche Wahrnehmung in Bezug auf kritische Infrastrukturen. Bedingt durch die breite Medienaufmerksamkeit, die Stuxnet generiert, und ein größeres Interesse seitens der Sicherheitsforscher, ist ab 2011 ein deutlicher Anstieg an vermeldeten Verwundbarkeiten erkennbar:

Unterschiedliche Verwundbarkeits-Level

Um die unterschiedlichen Ebenen einzuteilen, auf denen kritische Infrastrukturen verwundbar sind, wird üblicherweise ein vereinfachtes Purdue-Modell verwendet. Dieses Modell unterscheidet sechs Zonen oder Levels, die eine kritische Infrastruktur ausmachen. Dies reicht vom innersten Kern, der als Zone 0 bezeichnet wird und Sensoren und Aktoren umfasst, bis zu Zone 5, in der Applikationen im Inter- und Intranet zusammengefasst sind.

Die meisten Verwundbarkeiten einer kritischen Infrastruktur finden sich auf dem Level, das im Purdue-Modell als Zone 2 bezeichnet wird. Hierin sind all jene Schnittstellen und Kontaktpunkte zusammengefasst, die es einem menschlichen Nutzer erlauben, die physikalischen Prozesse nicht nur zu kontrollieren, sondern auch steuernd einzugreifen.

Veröffentlichung ICS-spezifischer Verwundbarkeiten nach Level aufgeschlüsselt (2013-2016, Verwundbarkeiten können mehr als ein Level betreffen).
Veröffentlichung ICS-spezifischer Verwundbarkeiten nach Level aufgeschlüsselt (2013-2016, Verwundbarkeiten können mehr als ein Level betreffen). (Bild: FireEye „2016 Industrial Control Systems (ICS) Vulnerability Trend Report“)

Dies lässt sich höchstwahrscheinlich darauf zurückführen, dass Systeme in dieser Zone oft von Betriebssystemen und Datenbanken abhängig sind und damit für Angreifer eine bekannte Plattform darstellen. Außerdem sind die hier verwendeten Systeme einfach und kostengünstig auf dem Markt erhältlich, was den Zugang zu Testequipment vereinfacht.

Hat sich ein Angreifer Zugang zu Zone 2 verschafft, besitzt er quasi den Generalschlüssel und kann von hier aus alle verbundenen Prozesse manipulieren. Er muss sich nicht mehr tiefer in das System vorarbeiten. Hier findet er Systeme wie beispielsweise Human Machine Interfaces (HMIs) oder technische Workstations vor, die Prozesse direkt steuern. So geschehen im Dezember 2014 während einer Attacke auf ukrainische Energieversorgungsunternehmen. Hier konnten Hacker durch den Zugriff auf HMIs Switches und Aktoren nach Belieben kontrollieren.

Über den Zugriff auf HMIs verfügen Angreifer auch über Protokolle, die keine Authentifizierung verlangen und es somit jedem angeschlossenen Computer erlauben, mit den gesteuerten Prozessen zu interagieren, ohne als Angreifer identifiziert zu werden.

Abhilfe durch Patches?

Zum Zeitpunkt ihres Bekanntwerdens waren mehr als ein Drittel der Schwachstellen in industriellen Kontrollsystemen noch ungepatcht, waren also sogenannte Zero Day-Exploits. Als Gründe für die fehlenden Patches kommen verschiedene Faktoren in Frage. Es kann sein, dass Sicherheitsforscher, die die Schwachstellen entdeckt haben, diese dem Hersteller vor ihrer Veröffentlichung nicht gemeldet haben. Ebenso ist es denkbar, dass der Hersteller nicht zeitnah auf den Hinweis reagiert hat. Möglich ist auch, dass ein (einfacher) Fix der Schwachstelle nicht durchführbar war. Oder die Hersteller sehen das betroffene Gerät als End-of-Life und scheuen den Aufwand, hier noch Schwachstellen zu schließen.

Aktive Ausnutzung von Sicherheitslücken

Während zwar - bedingt durch Stuxnet - die Anzahl der entdeckten und gemeldeten Sicherheitslücken drastisch angestiegen ist, gilt dies nicht für die Zahl der Vorfälle, in denen Schwachstellen aktiv ausgenutzt wurden. Dies ist vermutlich darauf zurückzuführen, dass Schwachstellen zwar ausgenutzt, diese Attacken aber nicht vermeldet wurden. Zwischen 2010 und 2016 wurden fünf Angriffe auf kritische Infrastrukturen bekannt. Zwei davon betrafen Strukturen im Iran und konnten eindeutig Stuxnet zugeordnet werden. Die hier ausgenutzten Sicherheitslücken wurden im September 2011 und Juli 2012 per Patch geschlossen. Die drei weiteren Angriffe, die zwischen 2012 und 2016 publik wurden, gehen mutmaßlich auf das Konto der Hackergruppe Sandworm Team. Diese griff im Dezember 2015 ukrainische Energieversorger an und konnte in drei westukrainischen Regionen die Stromversorgung unterbrechen. Eines der betroffenen Produkte wurde seitdem vom Hersteller vom Markt genommen, für die zweite Sicherheitslücke existiert noch kein Patch.

Wie geht es weiter?

Vermutlich wird auch in den nächsten Jahren die Zahl der veröffentlichten Sicherheitslücken weiter ansteigen. Angesichts der entscheidenden Rolle kritischer Infrastrukturen ist das Interesse der Bevölkerung ebenso wie der Medien an der Sicherheit solcher Anlagen hoch. Die meisten dieser Sicherheitslücken werden auch in Zukunft in Zone 2 des Purdue-Modells betreffen. Auch wenn ICS-spezifische Sicherheitslücken nicht unbedingt dafür notwendig sind, um auf industrielle Prozesse zuzugreifen und diese zu beeinflussen, so werden sich durch ihre vergleichsweise hohe Anfälligkeit Angriffe auf kritische Infrastrukturen häufen. Laut IT-Sicherheitsgesetz von 2015 sind private Betreiber „zur Meldung von IT-Sicherheitsvorfällen und zur Einhaltung bestimmter IT-Sicherheitsstandards“ verpflichtet – allerdings gilt dies erst ab einem bestimmten Meldewert. In der Regel greift das Gesetzt erst, wenn jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind. Diese Standards können also wie immer nur ein gewisses Mindestmaß an Schutz garantieren. Zusätzliche Sicherheit können hier die Angebote von spezialisierten Sicherheitsanbietern leisten, die neben Erfahrung und Technologie auch über Threat Intelligence-Daten verfügen, mit der sie Angriffe frühzeitiger erkennen und die Zeit für Bereinigung und Wiederherstellung deutlich verringern können.

Wie können kritische Infrastrukturen geschützt werden?

In Anbetracht der Beobachtungen und Trends sollten die Betreiber von kritischen Infrastrukturen dafür Sorge tragen, dass ihre Sicherheitsteams ein umfassendes Verständnis der Kontrollsysteme, ihrer Lage und besonders ihrer Funktion haben. Ebenso wichtig ist es, ständig über aktuelle Verwundbarkeiten und verfügbare Patches für die verwendeten Systeme informiert zu sein. Diese gilt es regelmäßig mit den eigenen Anlagen abzugleichen und im Bedarfsfall zu aktualisieren. Außerdem sollte das Sicherheitsteam stets darüber informiert sein, ob angreifbare und ungepatchte Systeme in der eigenen Infrastruktur eingesetzt werden. Die Nachbesserung der Anfälligkeiten sollte danach priorisiert werden, wie einfach die Schwachstelle von Angreifern ausgenutzt werden könnte und wie hoch die potentiellen Auswirkungen auf den betroffenen industriellen Prozess wären. Doch so ausgereift technologische Schutzmaßnahmen auch immer sind, so können sie doch nie verhindern, dass der Faktor Mensch sie aushebelt. Laut aktuellem Lagebericht des BSI zur IT-Sicherheit (pdf) so geschehen in einem deutschen Atomkraftwerk, in dem Anfang 2016 Malware entdeckt wurde, die offenbar über USB-Sticks Verbreitung fand. Ein funktionierendes Sicherheitskonzept schließt wie immer beides ein: den Schutz der Infrastrukturen und die Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit.

* Rüdiger Weyrauch ist System Engineering Director Central Europe bei FireEye.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44441486 / Risk Management)