Kritische Netzwerkbereiche abschotten und überwachen

SCADA und industrielle Steuerungssysteme schützen

| Autor / Redakteur: Achim Kraus, Palo Alto Networks / Stephan Augsten

Industrielle Steuerungssysteme wollen mindestens ebenso gut abgesichert sein, wie „einfache“ Netzwerke.
Industrielle Steuerungssysteme wollen mindestens ebenso gut abgesichert sein, wie „einfache“ Netzwerke. (Bild: Archiv)

Malware-Angriffe auf SCADA haben gezeigt, dass es mit der Sicherheit industrieller Steuerungssysteme nicht so weit her ist wie in der Vergangenheit angenommen. Dieser Beitrag widmet sich den Ursachen und der Frage, wie man Industrial Control Systems schützen kann.

Ein kürzlich vorgestellter Bericht des U.S. Department of Homeland Security zeigt, dass die Angriffe auf industrielle Steuerungssysteme (Industrial Control Systems, ICS) für kritische Infrastruktursysteme weiter zunehmen. ICS kommen bei Herstellungsprozessen zum Einsatz, zum Beispiel bei Strom, Wasser, Öl, Gas, Chemie und in der Automobilindustrie.

In die Kategorie ICS fallen Systeme zur Sammlung übergeordneter Daten und Steuerungsdaten, wie Supervisory Control and Data Acquisition (SCADA), verteilte Steuerungssysteme (Distributed Control Systems, DCS) und programmierbare logische Controller (PLCs). SCADA und ICS werden nahezu austauschbar verwendet, wenn es um Produktionssteuerungssysteme in kritischen Infrastrukturen geht.

Bis dato wurde der Schutz von SCADA-Systemen aufgrund von drei falschen Annahmen vernachlässigt. Die erste falsche Annahme besagt, dass die SCADA-Systeme und die von ihnen verwendeten Kommunikationsprotokolle nicht sehr gut bekannt sind und es daher nicht viele Hacker gibt, die Malware für Angriffe auf diese Systeme schreiben können.

Die zweite Fehleinschätzung geht davon aus, dass SCADA-Systeme immun gegen Netzwerkangriffe sind, da sie isoliert und nicht mit dem Internet verbunden sind. Ferner herrscht die dritte Fehlannahme vor, dass Angriffe auf SCADA-Systeme den Angreifern keinen großen Nutzen bieten würden. All diese Vorstellungen sind obsolet und müssen gründlich überdacht werden.

Angriff über das interne Netzwerk

Das Auftauchen von Malware mit SCADA als Angriffsziel, von Stuxnet bis hin zu Duqu, hat bewiesen, dass die Angreifer bereits über beträchtliches Wissen zu diesen proprietären Steuerungssystemen verfügen. Mittlerweile steht dieses Know-how auch anderen Hackern zur Verfügung.

Stuxnet nutzte eine Schwäche in der Siemens-Software SCADA für ICS aus und erwies sich als Teil der „Olympic Games“. Dieses geheime US-Programm zielte bekanntermaßen darauf ab, Zentrifugen in der nuklearen Anreicherungsanlage Natanz im Iran durch ständige Modulation der Motorgeschwindigkeit zu beschädigen.

Die Malware war ausgefeilt genug, auch die Vorbedingungen für ihr Handeln zu prüfen, z.B. die Identifikation bestimmter Systemhersteller (Siemens SCADA Control System S7-300). Diese Art der Angriffe ist möglich, da SCADA-Systeme essentielle Bestandteile von vielen Systemen im Bereich der kritischen Infrastruktur sind.

Die neue Bedrohungslandschaft hat gezeigt, dass ein Angriff auch über interne Netzwerke ausgeführt werden kann, nicht nur über das Internet direkt. SCADA-Systeme, die mit dem Internet verbunden sind, lassen sich leicht mit Tools wie SHODAN und ERIPP (Every Routable IP Project – Port80/TCP only) aufspüren. Eireann Leverett, Student an der Cambridge University, hat mit Hilfe der Suchmaschine SHODAN 10.000 SCADA-Systeme mit bekannten Schwachstellen sowie 17 Prozent mit erforderlicher Authentifizierung identifiziert.

Verstärkt wird das Risiko noch, weil SCADA-Systeme nicht einfach zu patchen und verglichen mit einem durchschnittlichen Unternehmensnetzwerk leicht verwundbar sind. Aus Gründen der Systemverfügbarkeit oder aus Betriebsgründen sind Upgrades für SCADA-Systeme nur sehr unpraktisch durchzuführen und viele davon laufen auf sehr veralteten Versionen des Betriebssystems.

Bedingt durch die Aufgaben, die SCADA-Netzwerke erfüllen, gibt es auch keinen festen Patchday. und Sicherheitsfunktionen belasten die Produktivität. Die SCADA-Hersteller legen keine Priorität auf Sicherheit in ihren Implementationen, aus Gründen der Performance und wegen der geringen Margen in der Branche. Project Basecamp, einzelne Forscher und Security-Startups haben auch bestimmte herstellerspezifische SCADA-Schwachstellen identifiziert.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39332690 / Netzwerk-Security-Devices)