ICS/SCADA Netze
Über die wachsende Bedrohung für industrielle Steuerungssysteme
Mehr Penetrationstests auf physikalische Systeme notwendig
Die Mitarbeiter eines Kernkraftwerkes stehen mit Regenstiefel in einem Wasserbecken und beurteilen den entstandenen Schaden. Den Wasserschaden zu beseitigen ist dabei das geringste Problem, das digitale Durcheinander zu reparieren jedoch schon.
Was war passiert? Ein Hacker im Nebenraum hatte das Kraftwerk gehackt und die industrielle Steuerung so umprogrammiert, dass das Kühlsystem eine Überschwemmung produzierte. Es dauerte ein paar Stunden, bis Beamte aus drei verschiedenen schwedischen Kernkraftwerken, die zur Abwehr von Cyber-Attacken hinzugezogen worden waren, das SPS (speicherprogrammierbare Steuerung) vom System trennen und die Reparatur koordinieren konnten.
Zum Glück war dies nur ein simulierter Penetrationstest, um die Anfälligkeit physikalischer Systeme in einem Kernkraftwerk zu demonstrieren. In diesem Fall wurden die Schwachstellen der Steuerung eines Kühlsystems getestet. Laut Sicherheitsexperten benötigt die Industrie noch viel mehr solcher praktischer Demonstrationen und simulierter Penetrationstests, um kreativer und ernsthafter über die wachsenden Cyber-Bedrohungen für ihre industriellen Kontrollsysteme nachzudenken.
Die meisten Industrieanlagen, wie beispielsweise Fertigungsstraßen, Kohle- oder Kernkraftwerke oder Windparks bestehen heute hauptsächlich aus digitalisierten Komponenten. Ein Roboterarm setzt beispielsweise ein SPS und evtl. mehrere WiFi-verbundene IIoT-Sensoren ein, um die Bewegungen zu koordinieren und eine Rückmeldung über Geschwindigkeit und Betriebstemperatur zu erhalten. Diese Geräte sind für die moderne Fertigung von entscheidender Bedeutung, bieten jedoch auch ein gewaltiges Einfallstor für Angreifer die die Kontrolle übernehmen wollen.
Weitere mögliche Szenarien
- Eine feindliche ausländische Macht übernimmt die Kontrolle über das Stromnetz und beginnt das Licht flächendeckend auszuschalten.
- Ein Hacker kompromittiert die Montagelinie einer Autofabrik und verhindert, dass die Industriemaschinen in bestimmten Autos die Schrauben vollständig anziehen.
- Ein Ransomware-Virus trifft auf eine Kläranlage und verhindert, dass die Organisation Abwässer verarbeitet, so lange bis sie ein Lösegeld zahlen.
Was macht ein SPS so anfällig?
Die Modernisierung von digitalen Steuerungen für Fertigungseinrichtungen hat einige unbeabsichtigte negative Folgen. Eine der jüngsten Innovationen ist die Nutzung von mobilen Apps zur Steuerung oder Überwachung von SCADA-Systemen. Während diese Apps für Ingenieure nützlich sein könnten, haben Security-Forscher kürzlich Sicherheitslücken entdeckt, die es einem Angreifer ermöglichen würden, diese Apps zu kompromittieren und dann die Steuerungsanlagen zu übernehmen.
Ein weiteres Problem liegt im unterschiedlichen Sicherheitsbewusstsein von Administratoren von Betriebstechnologien (OT), die möglicherweise nicht mit allen Best Practices für eine umfassende IT-Security vertraut sind. Daher sind einige Fehler, die für einen IT-Administrator offensichtlich erscheinen würden, für diese Admins nicht so offensichtlich.
Zudem werden immer noch viele ungesicherte und anfällige speicherprogrammierbare Steuerungen eingesetzt, die direkt mit dem allgemeinen Internet verbunden sind – überwiegend auch noch ohne Authentifizierung. Ein Angreifer müsste sich also nicht mal die Anmeldung knacken, um eine entsprechendes Chaos zu verursachen.
Laut einem Research Report von Positive Technologies , gibt es seit 2017 über 64.000 ungeschützte und internetfähige ICS-Geräte, von denen jedes mit kritischen Infrastrukturen und Fertigungsausrüstungen verbunden sein kann. Damit entstehen Hunderte von Sicherheitslücken. Darunter wurden alleine 200 erst im letzten Jahr entdeckt.
Der Bericht enthält u.a. mehrere Empfehlungen, die zum Schutz eines ICS-Netzwerkes in einem Unternehmen als Mindestanforderung gelten sollten:
- Segmentierung betriebsfähiger ICS-Netzwerke vom Unternehmensnetzwerk und vom Internet.
- Beschränkung des physischen Zugriffs auf das ICS und seinen Netzwerkkomponenten
- Strikte Passwortrichtlinien
- Ordnungsgemäße Konfigurieren der Netzwerkgeräte und Firewalls
- Schutz und Minimierung von privilegierten Accounts
- Einsatz von Sicherheitssoftware
- Patch-Management für Betriebssysteme und Anwendungen
Trotzdem benötigen Betreiber von industriellen Steuerungssystemen weitere Möglichkeiten, ihre Geräte auf sichere Weise mit den allgemeinen Netzwerkgeräten verbinden zu können, ohne einer Entdeckung und Kompromittierung durch Angreifer ausgesetzt zu sein.
Isolationstechnik bietet die Lösung
Die Software-Defined Access-Suite von Safe-T ermöglicht den angeschlossenen Geräten einen sicheren Zugriff auf das Unternehmensnetzwerk und verhindert gleichzeitig, dass diese im Internet entdeckt werden. Dadurch kann bereits ein nicht autorisierter Datenverkehr gestoppt werden. Laut Gartner würde der Einsatz einer solchen Isolationstechnik bereits bis zu 70% aller potentiellen Angriffe abwehren.
Somit könnten geplante industrielle Cyberangriffe bereits im Vorfeld verhindert werden. Inwieweit diese Ratschläge beachtet werden, wird darüber entscheiden, wie gut die kerntechnischen Anlagen für den nächsten Angriff vorbereitet sind. Um sich diese Lösungsmöglichkeit näher betrachten zu können, stellt Safe-T eine kostenlose 30-Tage Version zur Verfügung.
"Safe-T - What is Software Defined Access?"
Mit dem Laden des Videos erklären Sie sich mit den Datenschutz- und Nutzungsbedingungen von YouTube bzw. Google einverstanden.