Steuerungstechnik

Der Stand der ICS- und SCADA-Sicherheit

| Autor / Redakteur: Amol Sarwate* / Stephan Augsten

Industrielle Kontroll- und Steuerungssysteme müssen in der industrialisierten Welt wie geschmiert funktionieren.
Industrielle Kontroll- und Steuerungssysteme müssen in der industrialisierten Welt wie geschmiert funktionieren. (Bild: Archiv)

Industrielle Kontrollsysteme und „Supervisory Control and Data Acquisition“-Anlagen, kurz ICS und SCADA-Systeme, sind unentbehrlich. Alle kritischen Infrastrukturen – ob Strom- und Wasserversorgung oder Verkehr – sind auf entsprechende Steuerungstechnik angewiesen. Umso wichtiger ist es, Schwachstellen möglichst früh aufzudecken.

Industrielle Kontrollsysteme (ICS) und SCADA-Anlagen überwachen und regeln die Bereitstellung unentbehrlicher Dienste und Ressourcen. Kritische Infrastrukturen, ob in den Bereichen Energie, Wasser, Abfallentsorgung oder Verkehr, sind auf ihre Funktionstüchtigkeit angewiesen.

Die Absicherung von ICS/SCADA-Systemen stellt Unternehmen jedoch vor eine Reihe erheblicher Herausforderungen. Auf der Infosec World 2015 referierte Qualys über die Trends bei SCADA-Schwachstellen und präsentierte dabei Daten, die durch das Qualys Security Labs zu ICS/SCADA erfasst wurden.

Alle vorgelegten Daten basieren auf Analysen der ICS/SCADA-Schwachstellen, die im vergangenen Jahr bekannt gegeben wurden. Diese Trends sind wichtige Indikatoren, die unterstreichen, wie schwierig die Absicherung von ICS/SCADA-Systemen heute ist.

Die Anzahl der gemeldeten ICS- und SCADA-Schwachstellen von 2009 bis 2014.
Die Anzahl der gemeldeten ICS- und SCADA-Schwachstellen von 2009 bis 2014. (Bild: Qualys)

Der erste zu beobachtende Trend ist, dass die Anzahl der Schwachstellen im Vergleich zum Vorjahr um rund 14 Prozent gesunken ist. Tatsächlich setzte diese Entwicklung schon 2013 ein. Es kann zwar sein, dass Schwachstellen geheim gehalten werden, doch diese Möglichkeit besteht bei jeder Art von Schwachstelle. Analysen können immer nur von den Daten ausgehen, die gemeldet worden sind.

Nicht alle SCADA-Systeme sind gleich – im Gegenteil: Die meisten sind unterschiedlich aufgebaut. Doch vom Sicherheitsstandpunkt aus betrachtet, lassen sie sich in folgende Komponenten aufteilen, die in jedem System in irgendeiner Form vorhanden sind:

1. Datenerfassung

Zur Datenerfassung gehören Sensoren, Mess- und Feldgeräte wie Fotosensoren, Drucksensoren, Temperatursensoren und Durchflusssensoren. In 2014 befand sich nur rund ein Prozent der gesamten ICS/SCADA-Schwachstellen in Datenerfassungskomponenten.

Ein Beispiel hierfür ist die CVE-2014-2378, eine Schwachstelle in einem Verkehrssensor, die bewirkt, dass dieser Veränderungen ohne ausreichende Prüfung akzeptiert. Das kann dazu führen, dass das Verkehrssystem auf ausfallsichere Voreinstellungen zurückgesetzt wird und die Ampeln an einer Kreuzung nur noch in vordefinierten Zeitintervallen schalten.

2. Umwandlung

Fernbedienungsterminals (RTUs), intelligente elektronische Geräte (IEDs) und speicherprogrammierbare Steuerungen (PLCs) sind Beispiele für Geräte in dieser Kategorie. 2014 befanden sich rund 14 Prozent der Schwachstellen in der Umwandlungskomponente.

Ein Beispiel: Die von der Sicherheitslücke CVE-2014-0769 betroffene PLC dient zur automatischen Montage und Fertigung in Bereichen wie Solarzellenproduktion, Automobilmontage, Bauteilkontrolle und Flugwerkherstellung, in denen Toleranzen für ein funktionierendes Endprodukt besonders kritisch sind.

Zwei nicht authentifizierte Ports (Port 4000/TCP Debug Service und Port 4001/TCP Log Service) könnten daher die Manipulierung des Speichers sowie des Loggings zu ermöglichen. Auf diesem Weg könnte ein Angreifer die Systemkonfiguration verändern und zudem Log-Einträge entfernen, die diese Veränderungen zeigen, um böswillige Aktivitäten zu vertuschen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43330750 / Schwachstellen-Management)