In den letzten zehn Jahren haben mehrere einschneidende Cyberangriffe zum Ausfall von Kraftwerken, Produktionsanlagen und anderer kritischer Infrastruktur geführt. Analysiert man die Geschichte der bisherigen Angriffe und die Unterschiede zwischen den Szenarien, lassen sich wichtige Schlussfolgerungen über die Zukunft der Cybersicherheit im industriellen Umfeld ziehen.

Große Schockmomente für Industrie und Politik waren der Ausfall des Stromnetzes der Ukraine aufgrund der Crashoverride-Malware und der Computerwurm Stuxnet, der auf iranische Nuklearanlagen ausgerichtet war. Die Namen von Schadprogrammen wie Havex, Dragonfly 2.0 und Triton sind ebenfalls für ihre einschneidenden, aber auch unterschiedlichen Auswirkungen auf Industrie-Kontrollsysteme (Industrial Control System, ICS) bekannt.

Die Hacker hinter Stuxnet haben ein bemerkenswert komplexes und professionelles Werkzeug geschaffen, das 2010 entdeckt und bis heute technisch kaum übertroffen wurde. Zu den Auswirkungen von Stuxnet zählen relativ grundlegende Störungen im Betriebsablauf der betroffenen Anlagen, die über die Zeit aufgedeckt wurden. 2011 folgte mit Havex eine Spionagesoftware, die eine übliche Schnittstelle in der Industrie ausnutzt, um Betriebsdaten zu Prozessen abzufangen, die für verschiedene Ziele nützlich sind: Diese können sowohl zur Wirtschaftsspionage als auch als Grundlage für weitere Cyberangriffe interessant sein.

Seine Ziele erreicht Havex mittels manipulierter Software bestimmter Hersteller und Anbieter sowie über E-Mail (Spear-Phishing) und infizierte Websites. Ein OPC-Scanner erlaubt es der Malware nach der Infektion, die für Industrieanlagen relevanten Windows-Systeme im Netzwerk zu finden. Zusätzlich scannt ein Port-Scanner-Modul automatisiert die für Industriegeräte relevanten Ports 44818, 102 und 502. Diese Ports und OPC-Standards sind im ICS-Umfeld und in Scada-Systemen weit verbreitet, sodass die Schadsoftware das betroffene Netzwerk und die angeschlossenen Geräte kartografieren und ausspionieren kann.

Im selben Jahr wie Havex bewies BlackEnergy, dass die Hacker sich bereits das benötigte Know-how und die Techniken angeeignet haben, um auf Industrie- und Energiesysteme zuzugreifen. Das geht über die Störung oder Spionage von Betriebsabläufen hinaus, weil das aktive Eindringen in die vernetzte Umgebung des Angriffziels die Manipulation der betroffenen Systeme ermöglicht. Dies ist ein neuer Entwicklungsschritt in der Malware-Historie. 2015 erlaubte Dragonfly 2.0 den Kriminellen schließlich, bis in die operativen Bediensysteme vorzudringen, um sie anschließend zu kontrollieren.

Die IT-basierten Bedrohungen für Industrieumgebungen sind vielfältig. Bild: SANS Institute

2016 erreichte Crashoverride einen neuen Reifegrad: Die Software, die 700.000 ukrainische Haushalte vorübergehend von der Stromversorgung abgeschnitten hat, zeichnet sich durch eine ausgeprägte Modularität und einen hohen Autonomiegrad aus, der die Effizienz des Schadprogramms erhöht. Die Evolution der Cyberangriffe auf Industrie-Kontrollsysteme gipfelte bislang 2017 in Triton: Dieses Angriffs-Tool konnte nachweislich softwaregeschützte Safety-Controller kompromittieren.

Dieser Wandel in den Werkzeugen potenzieller Angreifer von Steuerungen über Spionage bis zur Gefährdung von Menschen deckt sich mit den Beobachtungen des SANS Institutes. Diese belegen deutlich, dass sich seit den 1990er-Jahren die Kritikalität und Eintrittswahrscheinlichkeit von Cyberangriffen auf die Industrie stark erhöht hat. Während früher das Risiko für den Eintritt eines Security-Vorfalls eher gering und die möglichen Auswirkungen überschaubar waren, müssen die Betreiber einem möglichen Angriff eine hohe Wahrscheinlichkeit einräumen und sich auf einschneidende Folgen für die Produktion, Prozesse und sogar Leib und Leben der Arbeitnehmer einstellen.

Für Produktionsanlagen, Industrie-Kontrollsysteme und die Sicherheit von Menschen ist es wichtig, dass Security-Spezialisten die richtigen Schlussfolgerungen aus den Cyberangriffen ziehen. Die Grenzen zwischen Operational Technology (OT) und den IT-Netzwerken lösen sich immer stärker auf, ebenso wie die Netzwerkgrenzen eines Unternehmens. Dadurch entstehen neue Ökosysteme und Möglichkeiten für Schadsoftware, die sich mit den Strategien aus der klassischen IT-Sicherheit nicht bekämpfen lassen. Die Verteidiger müssen die Evolution der Malware und ihre Auswirkungen aktiv verfolgen und verstehen, um daraus die richtigen Schlussfolgerungen und Prognosen abzuleiten. Die Security-Teams sollten sich auf folgende fünf Entwicklungen einstellen, die besonders wahrscheinlich sind.

Fünf Prognosen

Hoch spezialisierte Angriffe: Bereits Stuxnet war auf bestimmte Scada-Systeme zugeschnitten, und die Triton-Software beweist, wie die Abstimmung auf Safety-Systeme ihre Wirkung maximiert. Spezialisten zur Absicherung der Systeme müssen ihre Security-Maßnahmen deshalb diversifizieren und individualisieren. Die Wahrscheinlichkeit ist sehr hoch, dass auch zukünftige Angriffe sich auf bestimmte Sektoren, Technologien und konkrete Ziele konzentrieren. Ein Beispiel dafür sind Gebäudesteuerungen, die in Produktionsumgebungen, aber auch Büros, Rechenzentren und vermehrt in Privathaushalten zu finden sind. Viele der gängigen Standards erlauben einen direkten Zugriff auf diese Systeme über IP-Netzwerke, während die Verbindungsprotokolle bislang noch deutlich weniger Security-Funktionen als moderne IT-Protokolle bieten.

Logische Bomben: Security-Vorfälle, in die logische Bomben involviert sind, gibt es im IT-Umfeld schon lange. Dabei implementiert ein Insider, etwa ein Administrator oder Programmierer, eine Bedingung, die regelmäßig geprüft wird. Ein Fehlschlag der Prüfung löst später die schädlichen Routinen aus, die sich dahinter verbergen. Die kriminellen Urheber solcher Angriffe erzielen durch die Verzögerung zwischen Implementierung und Aktivierung einen Zeitvorsprung. Obwohl bislang wenige Fälle dieser Art bekannt wurden, existieren in den industriellen Systemen genügend geeignete Vorbedingungen, die solche Szenarien in der Automationstechnik begünstigen. Um logische Bomben zu entdecken, bevor sie Schäden verursachen, sollte man möglichst schnell Integritätsprüfungen bei den Systemabnahmen etablieren und die technischen Möglichkeiten der Forensik in Industriesystemen weiterentwickeln.

Die Komplexität der Angriffe auf Industrieanlagen steigt deutlich an. Bild: SANS Institute

Gefälschte Signale: In der IT-Security geht man gegen die weitverbreiteten, netzwerkseitigen Angriffe wie MITM (Man in the Middle) längst vor. Hierbei versucht ein Hacker, sich in die Kommunikation zwischen zwei Systemen einzuschalten und vorzugeben, er wäre die jeweils legitime Gegenstelle. Bislang ist ein solches Szenario bei vielen Industrieprotokollen noch trivial, weil die Fehlerkorrektur nicht darauf abgestimmt ist, dass jemand absichtlich versucht, die Möglichkeiten der Protokolle zu missbrauchen. Bereits bei Stuxnet wurden Signale aufgezeichnet und anschließend wieder abgespielt, um dem Bedienpersonal vorzugaukeln, dass es keine Anomalien gäbe. Alternativ könnte eine Malware auch Signale fälschen, um bestimmte Reaktionen durch das Bedienpersonal hervorzurufen. Als Antwort auf die Möglichkeiten solcher Szenarien müssen die bereits bestehende Schutzfunktionen konsequenter Verwendung finden. Allerdings sind diese bislang nur in den neuesten Komponenten enthalten.

Semiprofessionelle Netzwerkgeräte: Die Malware VPNfilter befiel 2018 nicht nur klassische Windows-Systeme, um sie in ein Botnet einzubinden, sondern auch Netzwerkgeräte wie Router, DSL-Modems und Access Points, die normalerweise im Consumer- und teilweise im semiprofessionellen Kontext zum Einsatz kommen. Dabei enthielt die Malware ein Softwaremodul, das zum Ausspähen von Informationen aus dem Modbus-Protokoll konzipiert ist, einem der häufigsten IP-fähigen Industrieprotokolle. Der Grund dafür ist simpel: Solche Geräte kommen bei Anlagenteilen mit einer geringen Sicherheitsstufe häufig zum Einsatz, um Kosten zu sparen. Für die Angreifer sind diese Geräte ein willkommenes Einfallstor, das jedes Industrieunternehmen vermeiden sollte.

Ransomware für Embedded-Geräte: WannaCry und Petya konnten einen großen Schaden anrichten, weil viele PC-basierte Komponenten selten aktuelle Patches erhalten und entsprechend bekannte Schwachstellen aufweisen. In Zukunft werden die Auswirkungen von Ransomware noch deutlich anwachsen: Im Jahr 2017 erblickten bereits die ersten PoCs (Proof of Concept) für Ransomware das Tageslicht, die Embedded-Komponenten wie Industriesteuerungen angreifen. Ein tatsächlicher Angriff über Verschlüsselungstrojaner wird wahrscheinlich noch etwas dauern, aber schon heute sollten Unternehmen Gegenmaßnahmen entwickeln.

Fazit

Die Herausforderungen in der Cybersecurity sind für die Betreiber von Industrieanlagen groß und die aufgezeigten Szenarien beschreiben nur einen Teil möglicher Angriffe. Der Trend zu intelligenten Sensoren und Aktoren, die bald in die Industrienetzwerke Eingang finden werden, bedeutet, dass auch deren Softwarelogik und Intelligenz angreifbar ist.

Die Security im Industrieumfeld muss die technischen Verteidigungsstrategien ständig anpassen und vorausschauend agieren. Dafür müssen die Experten im kontinuierlichen Austausch stehen, um Trends zu erkennen, Ereignisse in den richtigen Kontext zu setzen und zuverlässige Prognosen zu erstellen. Unabhängige Konferenzen wie der SANS ICS Summit können dabei helfen, die Security industrieweit, branchenübergreifend und grenzüberschreitend zu vernetzen. So kann man sämtliche Stakeholder einbinden: von den IT-fremden Mitarbeitern über die Sicherheitsteams bis zum Vorstand.

Prof. Thomas Brandstetter ist Geschäftsführer von Limes Security und ICS Instructor beim SANS Institute, www.sans.org.