Auf Cirosecs Sicherheitskonferenz IT-Defense, die dieses Jahr in Stuttgart stattfand (LANline berichtete), warnte Marina Krotofil, Senior Security Engineer bei BASF, vor der Angreifbarkeit von Industriesteuerungen (Industrial Control Systems, ICSs). Die Angriffe erfolgen laut der Expertin für ICS-Sicherheit auf immer hardwarenäherer Ebene. Die erfolgreiche Schädigung einer Industrieanlage erfordere zwar einiges an Fachwissen, doch das Internet liefere hier nicht nur den Angriffsweg, sondern zugleich Angriffswerkzeuge und Know-how.

ICS-Sicherheit, so führte Marina Krotofil aus, umfasst IT- und OT-Sicherheit (also Security ebenso wie physische Sicherheit, im Englischen Safety). Dabei könne die Kompromittierung eines Safety-Systems den größten Schaden anrichten. Angriffe auf Industrieanlagen seien nur scheinbar ein neues Phänomen, so die Expertin, es gebe sie schon seit 1999. Mit dem Stuxnet-Angriff 2010 erhielt das Thema dann mehr Aufmerksamkeit. 2015 folgte der vielbeachtete Angriff auf das Stromnetz der Ukraine mittels der Malware BlackEnergy, 2016 ein weiterer über deren Nachfolger Industroyer. 2017 schließlich trat Triton auf den Plan und nahm Triconex SIS-Controller (SIS: sicherheitsinstrumentiertes System) ins Visier.

Triton ist laut Krotofil nochmals gefährlicher, da die Malware auf Anlagen mit Safety-Integritätslevel 3 zielt, also auf Einrichtungen der zweithöchsten Kritikalitätsstufe. Zu beobachten sei ein Wettlauf hin zur „untersten Ebene“: Der BlackEnergy-Angriff zielte noch auf die Benutzerschnittstelle (Human-Machine Interface, HMI), Industroyer dann schon auf das darunter liegende Industrieprotokoll. Die von Fachleuten Russland zugeschriebene Triton-Malware schließlich setzt nochmals tiefer an: eben am ICS – wo es, so Krotofil, keinerlei interne Abwehrmechanismen mehr gebe.

Herausforderungen für Angreifer

Laut der Expertin muss ein Angreifer, der auf ein ICS abzielt, aber zunächst mehrere Hürden nehmen: Ein ICS produziere keine einfach lesbaren Dateien, sondern Unmengen numerischer Prozessdaten – der Eindringling müsse daher Systemkenntnisse haben, um Schaden anzurichten. Zudem müsse er zuerst meist Alarmmechanismen deaktivieren. Ein möglicher Angriffsweg sei es daher, Komponenten zu schädigen, die nicht mit dem Kommunikationsnetzwerk verbunden sind. Selbst beim erfolgreichen Deaktivieren des Alarms bestehe oft eine Vielfalt weiterer Messverfahren etwa für Umgebungsvariablen, deren Abweichen eine Warnung erzeuge. Ein Exploit müsse des Weiteren mit stark limitierten Ressourcen auskommen. Und schließlich gibt es laut Krotofil häufig keine Metriken, um den Erfolg eines Angriffs zu messen: Will ein Angreifer zum Beispiel ein Rohr implodieren lassen, gebe es in der Regel keine Monitoring-Daten zum aktuellen Rohrdurchmesser.

Allerdings werden die Hürden für einen erfolgreichen Angriff auf ein ICS laut der BASF-Expertin allmählich niedriger. Nicht nur könne man heute die gesamte benötigte Hardware inklusive Handbüchern im Internet kaufen, und dies noch dazu für wenig Geld. Zugleich mache es die Herstellerseite den Angreifern leicht. So weise Industriesoftware mitunter im wörtlichen Sinne eine Backdoor auf – nicht als Bug, sondern als Feature.

Dringend nötig sei es, Auditing- und Forensiklösungen für Industriesteuerungen zu entwickeln, denn derlei Werkzeuge gebe es von der ICS-Herstellerseite bislang nicht. Sie forderte Monitoring- und Auditing-Tools, um herauszufinden, ob ein Gerät kompromittiert wurde, und ein forensisches Instrumentarium, um nachzuvollziehen, was mit dem Gerät passiert ist. Das Problem: „Die Hersteller weigern sich, logisch zu denken“, klagte Krotofil.

Notwendig sei es außerdem, die Hersteller vor Supply-Chain-Angriffen zu schützen. Denn es sei derzeit nicht nachzuweisen, wenn eine Komponente einen Exploit enthält. Schadcode à la Triton gibt es laut der Expertin wohl auch bereits für weitere Systeme. Da es in der Security Moden gebe wie in anderen Bereichen auch, seien Nachahmungstäter „nur eine Frage der Zeit“.

Am zweiten IT-Defense-Tag erläuterte ICS-Security-Forscher Dr. Jason Staggs die IT-Sicherheit von Kontrollsystemen bei der Erzeugung erneuerbarer Energie – laut Staggs 2017 bereits ein Viertel der weltweiten Energiegewinnung. Innerhalb des Steuerungsnetzwerks einer US-Windfarm befinden sich laut Staggs „überhaupt keine Sicherheitsmechanismen“. Ein mit den Angriffswerkzeugen Windshark oder Windworm bewaffneter Eindringling, der Zugang zum Netzwerk erhält, könnte somit einen „Hard Stop“ (Nothalt in Sekundenschnelle) initiieren und so die Windräder massiv beschädigen. Ein mögliches Geschäftsmodell wäre die Erpressung von Windfarmbetreibern. Er rät zur Deaktivierung oder zumindest starken Limitierung der Write-Option in OPC-DA (Open Platform Communications Data Access) sowie nicht benötigter Dienste, zur Verschlüsselung der Kommunikation und zur Begrenzung des Hersteller-Fernzugriffs auf die OT-Umgebung.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.