:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Industrial Control Systems und SCADA-Netzwerke Bedrohungen für kritische Infrastrukturen
Angriffe auf kritische Infrastrukturen können fatale Folgen haben, SCADA-Netzwerke sind dabei besonders bedroht. Doch wo genau liegen die technischen und organisatorischen Schwachstellen? Und wie lassen sich wichtige Dienste innerhalb der SCADA-Komponenten und industriellen Kontrollsysteme schützen?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Cyber-Angriffe auf kritische Infrastrukturen werden für Unternehmen und Regierungen in aller Welt zunehmend bedrohlicher. Stromerzeugungsanlagen, Verkehrskontrollsysteme in Großstädten, Wasseraufbereitungssysteme und Fabriken waren jüngst von einer Reihe von Netzwerkeinbrüchen, Datendiebstählen und Denial-of-Service-Aktivitäten betroffen.
Schwachstellen gibt es in diesen Systemen zuhauf. Sie reichen von einfachen Problemen wie fehlenden Kennwörtern oder nicht geänderten Standardpasswörtern bis hin zu Konfigurationsproblemen und Softwarefehlern. Sobald ein Angreifer in der Lage ist, Software auszuführen, die Zugriff auf einen Controller hat, ist die Wahrscheinlichkeit eines erfolgreichen Angriffs sehr hoch.
Angriffe können von Einzelpersonen gestartet werden. Im Jahr 2001 wurde ein Australier zu einer Gefängnisstrafe verurteilt, nachdem er für schuldig befunden wurde, ein computerisiertes Abfallmanagementsystem gehackt zu haben. Infolge der Attacke waren Abermillionen Liter ungeklärtes Abwasser in die örtlichen Parks und Flüsse gelangt.
Meist gehen die Angriffe aber auf das Konto organisierter Banden und Behörden. Bei dem Stuxnet-Angriff 2010 wurde eine Zentrifugen-Anlage zur Anreicherung von nuklearem Material im Iran durch einen gezielten Computervirus angegriffen. 2012 traf eine Cyber-Attacke den deutschen Energieversorger 50Hertz. Im Rahmen dieses ersten „Überfalls“ auf einen europäischen Netzbetreiber wurden dessen Internet-Kommunikationssysteme komplett offline geschaltet.
Erst im Jahr 2014 verkündete das U.S. Department of Homeland Security (Ministerium für Heimatschutz), dass der sogenannte Havex-Trojaner möglicherweise industrielle Kontrollsysteme angegriffen habe. Man kündigte an, 1.000 Energieunternehmen in ganz Europa und in Nordamerika auf potenzielle Schadcode-Infektionen hin untersuchen zu wollen.
Will man Sicherheitsstrategien entwickeln, muss der Unterschied zwischen industriellen und traditionellen IT-Umgebungen klar sein. Einen Teil des Know-hows und der Technologien, die in den vergangenen 20 Jahren zum Schutz der Computernetzwerke entwickelt wurden, kann man aber natürlich wiederverwenden.
Hintergrundinformationen zu SCADA-Systemen
Ob Elektrizität, Öl, Gas, Wasser oder Abfall: Kritische Infrastrukturen sind hochgradig abhängig von elektrischen, mechanischen, hydraulischen sowie anderen Anlagen. Dieses Equipment wird von speziellen Computersystemen kontrolliert und überwacht, in der Regel bekannt als Controller oder Sensoren. Solche Systeme sind wiederum mit Management-Systemen verbunden
Alle Komponenten zusammen bilden Netzwerke, die auf SCADA-Lösungen (Supervisory Control and Data Acquisition) und industrielle Kontrollsysteme (Industrial Control System, ICS) zurückgreifen. Sowohl ICS als auch SCADA ermöglichen das effiziente Sammeln und Analysieren von Daten. Außerdem helfen sie, das Equipment (bspw. Pumpen, Ventile und Relais) automatisiert zu kontrollieren.
SCADA/ICS-Netzwerke und -Geräte sind auf maximale Zuverlässigkeit ausgelegt, sie lassen sich innerhalb der kritischen Infrastrukturen über einen langen Zeitraum hinweg einsetzen. Vor allem die älteren Systeme verfügen demnach nicht über Mechanismen, um unbefugte Zugriffe oder Schadcode-Einbrüche zu vermeiden.
Gewohnte Umgebungen, gewohnte Lücken
Ihr Einsatz ist zwar oft proprietär, doch sind SCADA-Controller im Wesentlichen kleine Computer. Sie nutzen Standard-Computerelemente wie Betriebssysteme – oftmals integrierte Windows oder Unix, Software-Anwendungen, Accounts und Logins sowie Kommunikationsprotokolle.
Einige der Management-Umgebungen nutzen ebenfalls standardmäßige Computing-Umgebungen wie Windows- und Unix-Workstations. Auch sie sind demnach anfällig für Schwachstellen und Exploits. Ein weiteres Problem im Zusammenhang mit ICS und SCADA-Systemen: Die Systeme arbeiten in Umgebungen, die möglicherweise physisch schwer erreichbar sind oder niemals offline gehen können.
Spezielle SCADA-Schwachstellen
Im Allgemeinen wird davon ausgegangen, dass ICS und SCADA-Netzwerke physisch von IT-Netzwerken des Unternehmens getrennt sind. Das mag insofern stimmen, da manche Unternehmen getrennte LANs betreiben oder ihre Kontroll- und Firmennetze voneinander trennen. In anderen Fällen nutzen Unternehmen die gleichen LANs und WANs, verschlüsseln aber ihren ICS- und SCADA-Traffic über eine gemeinsame Infrastruktur.
Häufiger allerdings erfordern Netzwerke ein bestimmtes Maß an Interkonnektivität, um operativen Input von externen Drittanbieter-Systemen zu erhalten oder Daten dorthin zu exportieren. SCADA-Netzwerkgeräte weisen bestimmte Merkmale auf, die ganz anders sein können als die regulärer IT-Systeme:
- Sie sind oft an Orten installiert, die physisch schwer zugänglich sind, beispielsweise auf Türmen, einer Ölplattform oder in Industriemaschinen. Außerdem trotzen sie stärkeren Umweltbelastungen als reguläre IT-Systeme, ob Wind, extreme Temperaturen, Vibrationen und erfordern meist spezielle Eingangsspannungen und Montagebedingungen.
- Sie nutzen oft unternehmenseigene Betriebssysteme, die keiner Absicherung unterzogen wurden.
- Ihre Software kann aufgrund von Zugriffsbeschränkungen, Bedenken wegen Stillstand oder einer erneut erforderlichen Zertifizierung nicht oft aktualisiert oder gepatcht werden.
- Sie nutzen proprietäre oder spezielle Protokolle.
Diese Unterschiede in der Umgebung schaffen Probleme: Fehlende Authentifizierung oder Verschlüsselung sowie schwache Passwortspeicherung können es ermöglichen, unberechtigten Zugang zum System zu erhalten. Die meisten SCADA/ISC-Netzwerke verfügen mit Segmentierung und Firewalling über einen bestimmten Grad an Perimeterschutz.
Mögliche Einfallstore ins Industrienetz
Angreifer suchen deshalb stets nach alternativen Wegen, um einzudringen – zum Beispiel durch ein Gate, das offen gelassen wird oder durch das Auslösen von Operationen aus dem Inneren des Unternehmens, wodurch ein Kommunikationskanal nach außen geöffnet wird. Zu den typischen Taktiken gehören:
- Verwendung eines Remote-Zugriffs-Ports, den der Lieferant zur Wartung nutzt.
- Hacken eines rechtmäßigen Kanals zwischen IT- und ICS/SCADA-Systemen.
- Einen internen Nutzer dazu bringen, einen URL-Link in einer E-Mail von einer Workstation aus anzuklicken, die sowohl mit dem ICS/SCADA-Netzwerk als auch mit dem Internet verbunden ist.
- Infizieren von Laptops und/oder Wechselmedien, während sie sich außerhalb des ICS/SCADA-Netzwerks befinden, und die dann später, wenn sie zum Erheben von Daten oder zur Aktualisierung von Controller-/Sensorsoftware wieder mit dem Netzwerk verbunden werden, interne Systeme infizieren.
- Ausnutzung von Konfigurationsfehlern in der Sicherheit oder bei angeschlossenen Geräten.
Sobald ein Hacker in das SCADA-Netzwerk eingedrungen ist, hat er die Möglichkeit, bösartige Befehle an die Geräte zu senden. So kann er deren Aktivitäten stoppen, das System zum Absturz bringen oder in bestimmte kritische Prozesse eingreifen, um z.B. Ventile zu öffnen und zu schließen.
SCADA zum Schutz kritischer Infrastrukturen sichern
Um das für industrielle und kritische Netzwerke erforderliche Maß an Schutz zu erreichen, muss sich die Sicherheit zu einem effektiven Geschäftsprozess entwickeln. Eine wirksame Strategie muss unnormales Verhalten erkennen, Angriffe abwehren und dem Unternehmen forensische Daten liefern, um Sicherheitsvorfälle, wenn sie auftreten, untersuchen zu können.
Die Sicherheitsstrategie sollte gewährleisten, dass alle Aktivitäten extern, also unabhängig vom ICS- bzw. SCADA-System, protokolliert werden. Dabei empfiehlt es sich, eine unterstützende Richtlinie für „normales“ Verhalten an SCADA-Geräten zu entwickeln. Vor diesem Hintergrund sollte vorab definiert werden, was erlaubt und was nicht, beziehungsweise welche Aktivitäten als verdächtig gelten.
Zusätzlich muss das Unternehmen natürlich das gesamte IT-Netzwerk absichern, um die SCADA-Geräte zu schützen. Sicherheitsvorfälle in der Vergangenheit zeigen, dass die mit dem Internet verbundene IT-Umgebung als Einfallstor in die industrielle Umgebung dienen kann. Gangbare Mechanismen sind Anwendungskontrolle, Identitätserkennung sowie Bedrohungsprävention – einschließlich Firewall, Intrusion Prevention, Antivirus sowie Threat Emulation und Threat Intelligence.
* Oded Gonda ist Vice President Network Security Products bei Check Point Software.
(ID:42936960)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932370/original.jpg "Während die Fertigungsindustrie offensichtlich an der Spitze der Gefährdungsliste steht, zeigt der TXOne Cybersecurity-Bericht auch einen Anstieg der CVEs, die für Angriffe auf zahlreiche andere Branchen verwendet werden können. (Gorodenkoff - stock.adobe.com)")