Kritische Netzwerkbereiche abschotten und überwachen SCADA und industrielle Steuerungssysteme schützen

Autor / Redakteur: Achim Kraus, Palo Alto Networks / Stephan Augsten

Malware-Angriffe auf SCADA haben gezeigt, dass es mit der Sicherheit industrieller Steuerungssysteme nicht so weit her ist wie in der Vergangenheit angenommen. Dieser Beitrag widmet sich den Ursachen und der Frage, wie man Industrial Control Systems schützen kann.

Firmen zum Thema

Industrielle Steuerungssysteme wollen mindestens ebenso gut abgesichert sein, wie „einfache“ Netzwerke.
Industrielle Steuerungssysteme wollen mindestens ebenso gut abgesichert sein, wie „einfache“ Netzwerke.
(Bild: Archiv)

Ein kürzlich vorgestellter Bericht des U.S. Department of Homeland Security zeigt, dass die Angriffe auf industrielle Steuerungssysteme (Industrial Control Systems, ICS) für kritische Infrastruktursysteme weiter zunehmen. ICS kommen bei Herstellungsprozessen zum Einsatz, zum Beispiel bei Strom, Wasser, Öl, Gas, Chemie und in der Automobilindustrie.

In die Kategorie ICS fallen Systeme zur Sammlung übergeordneter Daten und Steuerungsdaten, wie Supervisory Control and Data Acquisition (SCADA), verteilte Steuerungssysteme (Distributed Control Systems, DCS) und programmierbare logische Controller (PLCs). SCADA und ICS werden nahezu austauschbar verwendet, wenn es um Produktionssteuerungssysteme in kritischen Infrastrukturen geht.

Bis dato wurde der Schutz von SCADA-Systemen aufgrund von drei falschen Annahmen vernachlässigt. Die erste falsche Annahme besagt, dass die SCADA-Systeme und die von ihnen verwendeten Kommunikationsprotokolle nicht sehr gut bekannt sind und es daher nicht viele Hacker gibt, die Malware für Angriffe auf diese Systeme schreiben können.

Die zweite Fehleinschätzung geht davon aus, dass SCADA-Systeme immun gegen Netzwerkangriffe sind, da sie isoliert und nicht mit dem Internet verbunden sind. Ferner herrscht die dritte Fehlannahme vor, dass Angriffe auf SCADA-Systeme den Angreifern keinen großen Nutzen bieten würden. All diese Vorstellungen sind obsolet und müssen gründlich überdacht werden.

Angriff über das interne Netzwerk

Das Auftauchen von Malware mit SCADA als Angriffsziel, von Stuxnet bis hin zu Duqu, hat bewiesen, dass die Angreifer bereits über beträchtliches Wissen zu diesen proprietären Steuerungssystemen verfügen. Mittlerweile steht dieses Know-how auch anderen Hackern zur Verfügung.

Stuxnet nutzte eine Schwäche in der Siemens-Software SCADA für ICS aus und erwies sich als Teil der „Olympic Games“. Dieses geheime US-Programm zielte bekanntermaßen darauf ab, Zentrifugen in der nuklearen Anreicherungsanlage Natanz im Iran durch ständige Modulation der Motorgeschwindigkeit zu beschädigen.

Die Malware war ausgefeilt genug, auch die Vorbedingungen für ihr Handeln zu prüfen, z.B. die Identifikation bestimmter Systemhersteller (Siemens SCADA Control System S7-300). Diese Art der Angriffe ist möglich, da SCADA-Systeme essentielle Bestandteile von vielen Systemen im Bereich der kritischen Infrastruktur sind.

Die neue Bedrohungslandschaft hat gezeigt, dass ein Angriff auch über interne Netzwerke ausgeführt werden kann, nicht nur über das Internet direkt. SCADA-Systeme, die mit dem Internet verbunden sind, lassen sich leicht mit Tools wie SHODAN und ERIPP (Every Routable IP Project – Port80/TCP only) aufspüren. Eireann Leverett, Student an der Cambridge University, hat mit Hilfe der Suchmaschine SHODAN 10.000 SCADA-Systeme mit bekannten Schwachstellen sowie 17 Prozent mit erforderlicher Authentifizierung identifiziert.

Verstärkt wird das Risiko noch, weil SCADA-Systeme nicht einfach zu patchen und verglichen mit einem durchschnittlichen Unternehmensnetzwerk leicht verwundbar sind. Aus Gründen der Systemverfügbarkeit oder aus Betriebsgründen sind Upgrades für SCADA-Systeme nur sehr unpraktisch durchzuführen und viele davon laufen auf sehr veralteten Versionen des Betriebssystems.

Bedingt durch die Aufgaben, die SCADA-Netzwerke erfüllen, gibt es auch keinen festen Patchday. und Sicherheitsfunktionen belasten die Produktivität. Die SCADA-Hersteller legen keine Priorität auf Sicherheit in ihren Implementationen, aus Gründen der Performance und wegen der geringen Margen in der Branche. Project Basecamp, einzelne Forscher und Security-Startups haben auch bestimmte herstellerspezifische SCADA-Schwachstellen identifiziert.

Best Practices für das SCADA-Netzwerk

Die Bedrohungen für SCADA-Systeme unterscheiden sich im Grunde nicht von Bedrohungen für herkömmliche Unternehmensnetzwerke: Malware in Form von Viren, Tojanern und Würmern, die unberechtigte Weitergabe von kritischen Daten, unberechtigte Änderungen sowie Manipulation kritischer Daten und Denial of Service (DoS) – alles ist denk- und machbar.

Ähnlichkeiten zu Firmennetzen zeigen sich auch mit Blick auf die Angriffsrouten: SCADA-Angriffe erfolgen über Internet- und (interne) Netzwerkverbindungen, kompromittierte Virtual Private Networks, Backdoors, unzureichend abgesicherte WLAN-Verbindungen sowie TCP- oder UDP-Ports, die nicht abgesichert sind bzw. unnötig offen gelassen werden.

Um jene Angriffspunkte in den SCADA-Systemen zu identifizieren, sollten Unternehmen den kompletten Netzwerk- und Anwendungsverkehr im Zentrum einer IT-Infrastruktur auf normale und verdächtige Verhaltensweisen analysieren. Dies geschieht außerhalb von oder ergänzend zu klassischen signatur-basierten Verfahren, die bei einer zielgerichteten Attacke kreativ und erfolgreich umgangen werden.

Schlüssel hierzu sind Leistungsfähigkeit und umfassende Analyse bei ständiger Untersuchung aktueller Angriffe und daraus resultierender Weiterentwicklung. Der Administrator sollte – beispielsweise mit einer Next Generation Firewall (NGF) – in die Lage versetzt werden, einen verdächtigen Zustand vom normalen Zustand zu unterscheiden.

Die logische und kurzfristige Folge ist die Anpassung oder Definition einer Richtlinie, so dass man die Angriffsfläche kontinuierlich reduziert. Dabei gilt es, die Anwendungen und Inhalte auf sichere Art und Weise zur Verfügung zu stellen, also indem man die Zugriffe auf die maximal nötigen Berechtigungen begrenzt.

SCADA von anderen Bereichen trennen

Ein Best Practice zur „Netzwerksegmentierung“ ist es, die SCADA-Netzwerke zu isolieren und sich mit einem „Air Gap“ komplett abtrennen zu lassen, um mögliche Angriffe einzuschränken. Doch Tatsache ist, dass bestimmte Hacker den Air Gap überwinden können.

Die Netzwerksegmentierung ist zwar eine effektive Methode, um Angriffe einzuschränken und Risiken zu reduzieren, aber nur in Verbindung mit der richtigen Sicherheitslösung. In herkömmlichen Netzwerken helfen NGFs dabei, Applikationen, Benutzer und Content zu segmentieren, gleiches gilt somit auch für SCADA-Netzwerke.

Next Generation Firewalls können folgende Aufgaben problemlos bewältigen:

  • Aufbau der Netzwerke mit einer SCADA-Sicherheitszone, die vom restlichen Netzwerk isoliert und segmentiert wird
  • Der Zugriff auf den SCADA-Bereich wird über den User authentifiziert, nicht über die IP-Adresse. Die Möglichkeit, Security-Richtlinien mit der Identität des Nutzers zu verknüpfen, ermöglicht nicht nur den korrekten Zugriff auf den Bereich, sondern auch Reporting, Auditing und Nachvollziehbarkeit. Unberechtigten Nutzern bleibt der Zugriff verwehrt. Zusätzlich kann auch eine Always-on-VPN-Anbindung eingesetzt werden, um den Nutzern den sicheren Zugriff auf den SCADA-Bereich zu ermöglichen.
  • Der Zugriff auf SCADA-spezifische Applikationen, wie Modbus, DNP3 und ICCP lässt sich sicher auf Basis der eigentlichen Applikation, nicht über den Port, herstellen. Damit entfällt das Risiko, mehrere offene Portes managen zu müssen, über die Bedrohungen eingeschleust werden könnten. Management- oder Backdoor-Applikationen wie RDP und Telnet lassen sich somit streng kontrollieren und stehen nur bestimmten Nutzern zur Verfügung.
  • Einsatz eines vollständigen Frameworks zum Schutz vor Schwachstellen durch Prüfung des gesamten Traffics, der über den SCADA-Bereich läuft, auf Exploits, Malware Botnets und gezielte Bedrohungen. So können insbesondere die SCADA-spezifischen Schwachstellen abgesichert werden. Die Fähigkeit der Next Generation Firewalls, den gesamten Traffic über alle Ports jederzeit zu verstehen, ermöglicht die Erkennung evasiver, auch verschlüsselter Bedrohungen, die Port Hopping verwenden.

Die Next Generation Firewall von Palo Alto Networks identifiziert und kontrolliert den Netzwerkverkehr basierend auf Anwendungen und Protokollen. Damit eignet sie sich für kritische Netzwerke, die spezifische Anwendungen nutzen, zu denen nur wenige Administratoren Zugang haben.

Dies ermöglicht auch die Netzwerksegmentierung von SCADA-Systemen, so dass die Systeme ohne Leistungseinbußen vom Firmennetz isoliert werden können. Gleichzeitig verringern eine Schwachstellen-Datenbank und die systematische Analyse des gesamten Datenverkehrs die Risiken ungepatchter Komponenten.

Fazit

Im SCADA-Netzwerk sollten zunächst einmal Security Best Practices zum Einsatz kommen. Darunter fallen beispielsweise organisatorische Prozesse wie die Einführung eines kontinuierlichen Risikomanagements, routinemäßige Selbstbewertungen sowie regelmäßige Security-Audits und Prüfungen. Effizienter wird der Schutz mit der Transparenz und Leistung einer Next Generation Firewall, die zusätzlich das Logging und Reporting unterstützt.

Über den Autor

Achim Kraus ist als Senior Systems Engineer Strategic Accounts bei Palo Alto Networks tätig.

(ID:39332690)