Industriekomponenten (un-)freiwillig im Internet - Ob bewusst oder unbewusst, die Anbindung und die damit verbundenen Gefahren sind gleich

Speicherprogrammierbare Steuerungen kommen in fast allen automatisierten Produktionsprozessen zum Einsatz. Sie dienen der Umsetzung eines fest definierten Verhaltens von Anlagen und können in Echtzeit auf den Prozess einwirken. Durch den steigenden Grad der Vernetzung sind diese für den zuverlässigen Betrieb entwickelten Komponenten auch zunehmend teils falsch konfiguriert oder sorglos implementiert mit dem Internet verbunden. Da zuvor der Fokus auf der funktionalen Sicherheit (Safety) lag und damit die Sicherung der Umgebung vor anormalem Betrieb adressiert wurde, sind die Aspekte der Security, also des Schutzes vor Manipulation durch den Menschen, oftmals nur rudimentär ausgeprägt [1].
Dabei spielen die beiden Anwenderdomänen System-/Anlagentechnik und IT eine entscheidende Rolle. Oft arbeiten beide Bereiche inhaltlich nicht zusammen, weshalb bekannte Probleme aus der Officewelt nicht in der Anlagentechnik berücksichtigt werden. Das Resultat sind teils unwissentlich offen konfigurierte Steuerungen seitens der Anlagentechnik, die ohne weitere Sicherheitsmaßnahmen an das Internet angebunden werden.
Ebendiese Komponenten sind gerade auch durch ihre langen Einsatzzeiten innerhalb der Anlagen ein seit Jahren immer relevanter werdendes Angriffsziel. Um mit dem Internet verbundene Komponenten aufzufinden, bedarf es keiner großen technischen Ausrüstung.

Google ist dein bester Freund!

Viele SPS lassen sich leicht per Google-Anfrage auffinden, da sie wiederkehrende Muster innerhalb des nach außen erreichbaren Webinterfaces aufweisen. Über solche speziell gefilterten Suchanfragen lassen sich dann oftmals die öffentlich erreichbaren Webfrontends der Anlagenkomponenten aufrufen, da die entsprechenden Headerdaten zuvor gefunden wurden. Beispiele für solche Filter sind „inurl:/ Portal0000.htm“ oder „intitle:“Miniweb Start Page“ | „/CSS/Miniweb.css““, welche dann Produkte eines bestimmten Typen aufzeigen. Auch die Recherche nach Standardkennwörtern für die Anlagenkomponenten und branchenspezifische Software kann sehr weitreichend über die Suchmaschine durchgeführt werden. Hat man sich auf einen Anlagentypen festgelegt, kann eine systematische Suche im Internet gestartet werden. Hier vorweg: Das Überwinden und die Umgehung von Passwort- und Zugangssicherungen ist nach § 202a StGB strafbar [2]. Auch das Eingeben von Standardkennwörtern oder systematisches Ausprobieren mittels Brute-Force ist demnach ein Straftatbestand, sobald damit ein erfolgreicher Zugriff stattfindet.
 

Bild 1: Screenshot-Zusammenstellung off ener Zugänge im industriellen Umfeld von VNC Keyhole [3].

Remotezugänge bringen nicht nur externe Hilfe

Remotezugänge bringen nicht nur die Vorteile, sich schnell und effi zient an weit entfernte Komponenten anzumelden und diese beispielsweise zu diagnostizieren, sondern bergen bei schlechter Konfi guration erhebliche Risiken. Schlechte Passwörter oder off en dokumentierte Zugänge sind eine ernsthafte Gefahr für Unternehmen. Eine noch größere Gefahr sind off ene und daher ungeschützte Remoteverbindungen, die ohne jeglichen Zugriff sschutz erreichbar sind.
Leider sind diese Zugänge keine Seltenheit, sondern liegen regelmäßig vor. Die Website VNC Keyhole listet eine Vielzahl dieser „Einblicke“ in frei verfügbare Remoteverbindungen auf [3]. Hierbei handelt es sich explizit um Virtual Network Computing (VNC) Zugänge, die in der Praxis oft für Wartungsarbeiten eingesetzt werden oder der Überwachung von entfernten Komponenten dienen. In Bild 1 sieht man eine Auswahl an auffi ndbaren industriellen Systemen, welche teils sogar mit vollen Rechten öff entlich erreichbar sind. Dies ist jedoch nur ein kleiner Einblick in die zum Teil durch die Jahre gewachsenen Weiterentwicklungen seitens der Vernetzung innerhalb des Bereichs der Automatisierung. Systeme, die vor Jahren entwickelt wurden, wurden unter anderen technischen Bedingungen und (Sicherheits-)Anforderungen ihrer Umgebung konstruiert. Ähnlich dazu entwickeln sich zuvor in ihrem eigenen Ökosystem ansässige Supervisory Control and Data Acquisition Systeme (SCADA). Sie entfernen sich zunehmend von ihren exklusiven Kommunikationskanälen per dedizierten Leitungen und proprietären Protokollen. Hier geht der Trend in Richtung Stand a rd h a rdwa re und -software, gemeinsam genutzte Hardware anstatt dedizierter Geräte sowie hin zur Nutzung externer anstatt ausschließlich interner Netze. Genau diese Entwicklungen bringen jedoch auch Standardprobleme (wie z. B. permanente Angriff e aus verschiedensten Interessen) mit sich. Da es sich um bekannte Geräteklassen und Software handelt, kann bedingt auf bestehende Lösungen zurückgegriff en werden. Dies ist jedoch nicht in allen Bereichen möglich, da sich industrielle Umgebungen stark von der „Offi ce-IT“ unterscheiden. Beispielhalft seien hier nur das Patchmanagement, lange Einsatzzeiträume und die stärkeren Echtzeitanforderungen erwähnt [4].

Suchmaschinen für industrielle Systeme

Neben den bekannten Suchmaschinen gibt es auch Alternativen, die sich weniger auf Webseiten als vielmehr auf Geräte spezialisiert haben. Zum einen Shodan.io und zum anderen Censys.io. Bei beiden Suchmaschinen können Geräte nach verschiedenen Herstellern, Standorten oder Protokollen gesucht werden. Auch mit diesen Suchmaschinen kann wiederum nach den wiederkehrenden Mustern innerhalb der Daten gesucht werden, womit bestimmte Geräte systematisch aufgezeigt werden können. Mithilfe solcher Suchmaschinen oder zumindest mit den damit erfassten Daten, lassen sich auch spezielle Lagebilder erzeugen, um beispielsweise Verwundbarkeiten (Common Vulnerabilities and Exposures – CVE) auf einer Karte zu visualisieren (Bild 2). Zusätzlich lassen sich auch bestimme geografi sche Zusammenhänge ableiten, um Rückschlüsse auf die regional eingesetzte Hardware bzw. Software aufzuzeigen. Mithilfe solcher Lagebilder können einerseits die zu erwartenden Schadensbilder prognostiziert und andererseits Rückschlüsse auf Informationskampagnen sowie Warnungen gewonnen werden. Werden Schwachstellen über verschiedene Medien kommuniziert, kann damit der Impact der Nachricht beziehungsweise die Reaktion auf die Schwachstelle, wie in Bild 2 dargestellt, nachvollzogen werden.
 

Bild 2: Lagebild der offenen 7547 Ports vor (oben) und nach (unten) dem Angriff
auf die Telekom bzw. TR- 069 Geräte – Freie Universität Berlin/scadacs.org.
Datenquelle: censys.io.

Strategien zum sichereren Betrieb

Die zuvor aufgezeigten Risiken beziehungsweise ungewollten Sichtbarkeiten lassen sich jedoch durch gezielte Maßnahmen minimieren. Wenn man beim Aufbau eines Sicherheitskonzepts von außen nach innen vorgeht, ist die komplette Abkapselung nach außen scheinbar das Sicherste. Dieses Vorgehen wird auch als Air Gap bezeichnet, da sich keine Kommunikationskanäle zwischen Industriekomponenten und dem Internet befinden. Dieses Konzept ist jedoch nicht ohne weiteres einsetzbar, da eine Vielzahl von Systemen eine Verbindung der „Office-IT“ mit den industriellen Steuerungen benötigt [5]. Auch durch die verstärkte vertikale Integration, welche durch Industrie 4.0 vorangetrieben wird, ist Air Gap nicht mehr umsetzbar.
Durch den zunehmenden Grad der Vernetzung müssen demnach die Risiken, die der Einsatz älterer Systeme bzw. Komponenten mit sich bringt, systematisch behandelt werden. Eine gründliche Dokumentation der Kommunikationsprozesse, Segmentierung der industriellen Netzkomponenten, Einsatz eines Intrusion Detection Systems (IDS) sowie Mehrfaktorauthentifizierung sind einige Elemente, die zu einem sicheren Betrieb der Anlagen innerhalb des Unternehmens führen. Eine Orientierung für die Gestaltung der Kommunikationskanäle innerhalb des Unternehmens wird in Bild 3 aufgezeigt. Komponenten mit ähnlichen Sicherheitsanforderungen gehören zu einer Sicherheitsgruppe und sind in einem Netzsegment zusammengefasst. Jede Anforderungsklasse bildet ihr eigenes Segment, welches mit dem SCADA Netzwerk verbunden ist. Diese Kommunikationskanäle sind dann mittels Whitelist beschränkt, um nur erlaubten und validen Datenverkehr zuzulassen. Aus dem SCADA Netzwerk werden nur Daten in die demilitarisierte Zone (DMZ) exportiert. Ein schreibender Zugriff aus der DMZ ist unterbunden. An die DMZ ist, durch eine Firewall getrennt, das Unternehmensnetz angebunden, welches so Zugriff auf die benötigten Daten gewährt, ohne einen direkten Datenverkehr zu ermöglichen. Die rot gekennzeichneten Kommunikationskanäle zeigen die am Anfang erwähnten, nicht gewünschten (potenziell unsicheren) Verbindungen zum Internet, welche dann mit Shodan oder Censys aufgespürt werden können.

Identifikation der besonders zu schützenden Infrastruktur

Um die besonders zu schützenden Bereiche bzw. Anlagenkomponenten gezielt herauszufinden, bietet es sich an, auf der Basis der vorhandenen Dokumentation anzuknüpfen. Hierbei sind Prozessmodelle sowie Netzpläne ein geeigneter Ausgangspunkt. Auf Basis der Netzpläne sollten die Kommunikationskanäle systematisch aufgelistet werden und nach ihrer Sicherheitsrelevanz gruppiert werden. Anhand der Geschäftsprozesse und deren zugehörigen Modelle können zusätzliche zu schützende Komponenten ermittelt werden. Hierbei kann man sich beispielsweise an der Risikoanalyse des BSI orientieren, welche im Standard 200-3 genauer beschrieben wird [6]. Während der Analyse werden die möglichen Gefährdungen nach Relevanz und Wirkung sowie Eintrittswahrscheinlichkeit bewertet, sodass sich ein individuelles Risikoprofil ergibt. Ist die zu schützende Infrastruktur ermittelt, können gezielt Maßnahmen ausgewählt und priorisiert umgesetzt werden. Zusätzlich ist eine Dokumentation der laufenden Maßnahmen notwendig sowie eine Protokollierung von sicherheitsrelevanten Vorfällen, um ein ausgewogenes Sicherheitsmanagement zu etablieren.
Dieses Vorgehen ist jedoch, wenn man es genau betrachtet, eher ein Nachregeln und reaktives Verbessern von teils selbstverschuldeten Problemen. Will man sicherer werden, gehört auch ein ganzheitliches Umdenken dazu. Bereits bei der Beschaffung von Komponenten ist es wichtig, genaue Einsatzkriterien festzulegen und diese von vornherein gegen Missbrauch schützen zu wollen. Sicherheit wird so schon frühzeitig (by Design) in den Prozess integriert und nicht erst am Ende als eine Art Add-on. Eine Überprüfung des prognostizierten Produktlebenszyklus gehört auch dazu, um sicherzustellen, dass Komponenten während des gesamten Einsatzzeitraums mit Updates versorgt werden. Ähnlich ist es bei Eigenentwicklungen innerhalb des Unternehmens. Auch hier sollte Sicherheit als eine feste Anforderung innerhalb des Projekts verankert sein, damit kostenaufwendige Nachrüstungen vermieden werden. Gerade kleine und mittelständische Unternehmen (KMU) haben in der Regel im Gegensatz zu Großunternehmen kein großes Budget für IT-Sicherheit. Oft ist es auch kein dediziertes Budget, weshalb steigende IT-Ausgaben die Investitionen in IT-Sicherheit reduzieren. Gerade deshalb müssen Maßnahmen passend für KMU zur Verfügung gestellt werden, um diese zielgerichtet zu schützen. Des Weiteren ist die Sensibilisierung aller Beschäftigten unerlässlich, da die meisten Angriff e nicht durch fehlende Technik, sondern menschliche Faktoren bedingt werden.
Empfehlungen für ein zuverlässiges Sicherheitsmanagement zeichnen sich unter anderem durch ein mehrstufi ges Schutzkonzept aus. Diese Stufen begrenzen den eintretenden Schaden bei einem erfolgreichen Angriff , da durch Segmentierung nur Teile der Infrastruktur betroff en sind [7]. Ziel soll es aber nicht primär sein, immer mehr Stufen zu generieren, sondern den eigentlichen Kern der Anwendung robust gegenüber Angriff en zu gestalten. Hierbei sind die Hersteller von Industriekomponenten, seien es Hardware- oder Softwarebestandteile, besonders in der Pfl icht. Nur diese können durch bessere und vor allem sicher entwickelte Komponenten das Sicherheitsniveau auf Dauer verbessern.
 

Bild 3: Schematische Darstellung einer empfohlenen Kommunikationsstruktur (eigene Darstellung).

Prozessänderung und die Veränderungen im Sicherheitsmanagement

Werden Prozesse innerhalb des Unternehmens umgestaltet, führt dies meist auch zu Veränderungen von Sicherheitsanforderungen. Dabei werden Risiken verlagert, eliminiert oder neu geschaff en. Da ein gutes Sicherheitsmanagement auch mit dynamischen Veränderungen innerhalb des zu sichernden Bereichs umgehen kann, erfordert es spezielle Maßnahmen oder Verfahren. Ein Ansatz wäre bereits bei der Umgestaltung, also beim Business Process Reengineering (BPR), neue oder veränderte Schutzbedarfe festzustellen und nicht nur reaktiv auf die Veränderung zu reagieren. Hierfür ist es notwendig, die sicherheitsrelevanten Aspekte, auch Schutzziele genannt, bereits während der Prozessmodellierung mit abzubilden, um die bei der Umgestaltung zu erwartenden Veränderungen hinsichtlich des Schutzbedarfs ableiten zu können. Dies bedeutet, dass ein neues oder verändertes Prozessmodell sämtliche Schutzziele in Form von Attributen an den Prozessobjekten enthalten sollte. Genau für diesen Einsatzzweck gibt es einige Erweiterungen bestehender Modellierungssprachen. Beispielsweise können mit UMLsec in Unifi ed Modeling Language (UML) vorliegende Use Cases erweitert werden [8]. Vorhandene Geschäftsprozessmodelle in Business Process Model and Notation (BPMN) können mittels SecureBPMN vervollständigt werden [9]. Liegen die attributierten Modelle vor, können diese toolgestützt analysiert werden, um unberücksichtigte Anforderungen beziehungsweise Mängel innerhalb der bestehenden Modelle aufzudecken. Dieses Vorgehen bietet die Möglichkeit, bereits im Vorfeld effi zient notwendige neue Maßnahmen zu berücksichtigen und nachträgliche aufwendige Anpassungen am Sicherheitskonzept zu vermeiden.
Die bei der Digitalisierung neuen und zum Teil proprietären Technologien müssen in bestehende IT-Infrastrukturen eingebunden werden. Diese sind oft über die Zeit gewachsen und benötigen einen ganzheitlichen Ansatz, wie einige der zuvor kurz beschriebenen Maßnahmen. Somit können sie zur erfolgreichen Umsetzung von Industrie 4.0 oder der digitalen Fabrik beitragen. Ein aktives Sicherheitsmanagement und qualifi ziertes sowie sensibilisiertes Personal sind für den störungsfreien Betrieb unerlässlich.

Schlüsselwörter:

Literatur:

[1] BSI: ICS-Security-Kompendium, Bundesamt für Sicherheit in der Informationstechnik. 2013. URL: https://www.bsi. bund.de/SharedDocs/Downloads/ DE/BSI/ICS/ICS-Security_ kompendium_pdf. pdf?__blob=publicationFile, Abrufdatum 22.09.2017.
[2] Bundestag-Drucksache 16/3656 vom 30. 11. 2006. URL: http://dip21.bundestag.de/ dip21/btd/16/036/1603656. pdf, Abrufdatum 24.09.2017.
[3] VNC-Keyhole. URL: https:// www.vnckh.com, Abrufdatum 02.12.2017.
[4] Kuipers, D; Fabro, M.: Control Systems Cyber Security: Defense in Depth Strategies. Idaho Falls, USA 2006.
[5] Byres, E.: The air gap: SCADA’s enduring security myth. In: Communications of the ACM 56 (2013) 8, S. 29-31.
[6] BSI: BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz. URL: https:// www.bsi.bund.de/Shared- Docs/Downloads/DE/BSI/ Grundschutz/Kompendium/ standard_200_3. pdf?__ blob=publicationFile&v=5, Abrufdatum 02.12.2017.
[7] Smith, C. L.: Understanding concepts in the defence in depth strategy. In: IEEE 37th Annual 2003 International Carnahan Conference on Security Technology 2003. Proceedings, S. 8-16.
[8] Jürjens, J.: Model-based Security Engineering with UMLsec. In: Serenity Day: Establishing IT Security as a full engineering discipline. Brüssel 2009.
[9] Salnitri, M.; Brucker, A. D.; Giorgini, P.: From Secure Business Process Models to Secure Artifact-Centric Specifi cations. In: Enterprise, Business- Process and Information Systems Modeling BPMDS. Lecture Notes in Business Information Processing 214 (2015), S. 246-262.