Produktionsinfrastrukturen sichern
Schutz für Steuerung und Prozesse
Stuxnet, Duqu, Flame: Die Meldungen über diese Cyberwaffen haben die Öffentlichkeit im Juni 2010 erstmals konkret auf die Möglichkeit der Sabotage von Industrieanlagen durch Software und Hacker-Angriffe aufmerksam gemacht. Ziel der erfolgreichen Angriffe waren erwiesenermaßen Installationen von Projektierungs- und Visualisierungssoftware - beispielsweise in iranischen nukleartechnischen Anlagen. Das Bewusstsein über die Bedrohungslage für sogenannte SCADA-Systeme ist also geweckt. Aber wie ist der Bedrohung konkret zu begegnen?
SCADA-Systeme und -Netzwerke (SCADA: Supervisory Control and Data Acquisition) haben für Industrie- und Infrastrukturanlagen eine zentrale Bedeutung. Durch die Kommunikation mit ICS-Systemen (Industrial Control System) für den Betrieb und die Automatisierung industrieller Prozesse stellen sie Schlüsseldaten für die Überwachung und nötigenfalls Steuerung von Anlagen durch das zuständige Personal bereit. Diese Strukturen finden sich in vielen Bereichen industrieller Abläufe, von der Fertigungsindustrie über Logistik und Transport bis hin zur öffentlichen und privaten Energie- und Wasserversorgung. Aufgrund ihrer zentralen Bedeutung für die Wirtschaft und die Versorgung der Bevölkerung mit Waren, Dienstleistungen, Energie und sauberem Wasser wäre es verhängnisvoll, dort keinen wirksamen Schutz vorzuhalten.
Diese Notwendigkeit unterstreichen dokumentierte Beispiele dafür, dass reale Attacken auf solche Systeme erfolgen. Nicht nur der direkte Angriff auf ein ungeschütztes Steuersystem - beispielsweise von Pumpen, Pressen oder Produktionsanlagen - kann versorgungstechnisch, wirtschaftlich oder ökologisch zu katastrophalen Ereignissen führen. Forscher haben beispielsweise ein Tool entwickelt, das Passwörter in speicherprogrammierbaren Steuerungen (SPS) knacken kann. Gelingen kann dies zwar nur, wenn Zugang zum (ungeschützten) SCADA/ICS-Netzwerk besteht. Dann aber sind tief gehende, schwer zu entdeckende Eingriffe mit unabsehbaren Folgen problemlos möglich.
Bei Bedrohungen dieser Art sollte man übrigens nicht von Einzeltätern ausgehen, sondern von organisierter (Cyber-)Kriminalität: Es gibt durchaus spezielle Suchmaschinen, die Listen mit Begriffen zum Auffinden verwundbarer Systeme anbieten. Wer glaubt, dass die Sicherung des Unternehmensnetzwerks auch die Automatisierungs- und Produktionstechnik schützen kann, ist leider im Irrtum. So bleiben die meisten SCADA/ICS-Systeme angreifbar. Die daraus erwachsenden Sicherheitsbedrohungen stellen für die betroffenen Unternehmen und ihre Entscheider ein reales Problem in Bezug auf wirtschaftliche Risiken, Imageverlust und Haftungsrisiken dar. Der Vergleich mit dem Risikopotenzial der mobilen Kommunikation ist durchaus berechtigt: Schließlich bewertet das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die Gefährdungspotenziale bei Mobilkommunikation, SCADA, Schnittstellen und Speichermedien mit "Thumbs up" - also steigend.
Beispiele für Angriffsmöglichkeiten
Die Brisanz des Themas lässt sich auch an einigen konkreten Beispielen demonstrieren. So gehören zu den Anlagen und Systemen, die in den erwähnten Suchmaschinen zu finden sind, unter anderem:
eine Autowaschanlage, die sich ein- und ausschalten lässt,
eine Eishockey-Spielfläche, die mit einem Klick in den "Abtaumodus" geschaltet werden kann, sowie
das komplette Verkehrskontrollsystem einer Stadt, das sich in den "Testmodus" versetzen lässt.
Dies stellt nur einen kleinen Einblick in die Bandbreite von beeinflussbaren Systemen dar - mit großer Wirkung: Am oberen Ende der Skala befinden sich aber auch Fertigungsstraßen, Chemieanlagen, Logistiksysteme, Wasserwerke - und schlimmstenfalls nukleartechnische Anlagen.
Wenn bislang Angriffe auf kritische Infrastrukturen und ihre Prozesssteuerungssysteme wegen ihrer vermeintlich geringen Wahrscheinlichkeit als Risiko akzeptiert wurden, gilt es nun, dieses Wagnis neu zu bewerten. Die Tatsache, dass in der Öffentlichkeit wenig über konkrete Angriffe und möglicherweise verursachte Schäden bei Unternehmen bekannt wurde, darf nicht verwundern. Wer gibt so etwas schon gern zu?
Leider sind SCADA-Systeme trotz ihrer zentralen Rolle für die Beherrschung von Produktionssystemen jeder Art - wenn überhaupt - häufig nur mit Passwörtern geschützt, die unverschlüsselt zu den Fernsteuerungs-Terminals (Remote Terminal Unit, RTU) übertragen werden. Letzteres öffnet selbst einfach gestrickter Malware Tür und Tor für den Abgriff dieser "Sicherung".
Die Cyberwaffen, die heute SCADA-Systeme kompromittieren, zeichnen sich durch eine wachsende Komplexität sowie Kompetenz der Angreifer aus. Einfaches Patch-Management der internen Systeme oder die einstufige Zugangssteuerung und -protokollierung, wie beschrieben, reichen längst nicht mehr aus. Einzig akzeptabel ist in solchen Umgebungen ein in Echtzeit greifender, nicht aushebelbarer Schutz inklusive Intrusion Prevention.
Konkrete Schutzmaßnahmen
SCADA-Systeme sollten mithin nicht direkt über das Internet erreichbar sein, da die Suche nach solchen Systemen zugenommen hat. Außerdem sollten sie per Firewall geschützt und sogar vom Unternehmensnetz isoliert sein. Auch der Fernzugriff - in Zeiten von Mobility und BYOD selbst bei prozesskritischen Systemen durchaus nichts Ungewöhnliches - sollte grundsätzlich nur über sichere Methoden wie VPN möglich sein. Es empfiehlt sich darüber hinaus, Sicherheits-Appliances einzusetzen, die den speziellen Security-Anforderungen von Steuerungs- und Überwachungsanlagen in der Industrie entsprechen.
Um seinen Schutz gewährleisten zu können, müssen Verantwortliche sämtliche Verbindungen des SCADA-Netzwerks zu anderen Netzen bezüglich ihres Risikopotenzials im Hinblick auf Angriffe bewerten und mit Schutzmechanismen ausstatten, die Angreifer ins Leere laufen lassen. Zu diesem Zweck gilt es beispielsweise, Netzwerk-Appliances von vornherein sorgfältig zu konfigurieren und auf keinen Fall mit den Werkseinstellungen zu betreiben, die - weil in der Regel weitläufig bekannt - leicht angreifbar und auszuhebeln sind. Proaktiv sollte das Unternehmen - zum Beispiel durch einen versierten und objektiven IT-Partner - das SCADA-System auch auf Schwachstellen testen lassen, um diese sofort ausmerzen zu können.
Mögliche und wichtige Maßnahmen zum Erhöhen des Schutzniveaus sind beispielsweise:
das Patchen von Betriebssystemen, Anwendungen und SCADA-Komponenten,
die Überwachung der Kommunikation zwischen Anwendungen im SCADA-Netz mit anderen Netzen,
die Überwachung der Interaktion von Menschen mit SCADA-Netz und -System sowie
die genaue Überwachung aller Netzwerke in Verbindung mit Reaktion auf Virenbefall und Angriffe in Echtzeit.
Allerdings lassen sich SCADA-Systeme aufgrund ihrer Bedeutung für den Betrieb nicht "mal eben" zum Patchen anhalten. Deshalb hilft eine mehrstufige Verteidigungsstrategie nach dem Prinzip "Wall und Graben". Dabei wird mithilfe spezieller SCADA-Sicherheits-Appliances für jeden Layer - also auf RTU- und Netzwerk-Level - eine eigene Sicherheitsstufe eingerichtet.
Dies erfordert ein konsolidiertes Security-System mit stark integrierten Erkennungsmechanismen einschließlich anwendungsspezifischer Firewalls, die für jede Verbindung nur explizit "erlaubte" Datenpakete akzeptieren, des Weiteren eine Viruserkennung mit automatischen Updates und Signaturdatenbank inklusive bereits bekannter SCADA-Gefährdungen (Exploits), Anwendungssteuerung, Web-Filter, Virtual Private Network (VPN), DDoS- und DoS-Abwehr, Datenbankschutz sowie Schutz von Web-Anwendungen.
Lesen Sie mehr zum Thema
