ICS: Gewappnet gegen Gefahren für Industrieanlagen

Neue Sicherheitsmängel in automatisierten Industriesteuerungen und einer verbreiteten Software, die zur Programmierung von Millionen von intelligenten Geräten in kritischen Infrastrukturen verwendet wird, können zu Produktionsausfällen führen. Vernetzte Industrie-Controller und industrielle Steuerungen sind besonderen Gefahren ausgesetzt, weil die Komponenten häufig nicht für eine Vernetzung gedacht sind. Netzwerkanalyse und -Management muss besonderen Ansprüchen genügen, kann dann aber bei der Entdeckung von Sicherheitsproblemen sehr hilfreich sein. Die it-sa zeigte dazu dieses Jahr neue Anwendungen für SCADA-Systeme.


Sicherheitsdefizite in der Operational Technology (OT) führen leicht zu folgenschweren Angriffen. Bei zwei deutschen Herstellern von industriellen Steuerungen, auch Industrial Control Systems (ICS) genannt, wurden laut verschiedenen Medienberichten kürzlich Sicherheitslücken entdeckt. Das SC-Magazin schreibt etwa, betroffen seien „Festo automatisierte Steuerungen sowie die Software-Umgebung von Codesys, mit der Entwickler Steuerungssysteme programmieren können“. Ursache ist in beiden Fällen eine mangelhafte beziehungsweise gar keine Verschlüsselung der Kommunikationsprotokolle. Das kann von Angreifern dazu genutzt werden, Steuerungen zu manipulieren, Geräte permanent neu zu starten oder herunterzufahren. Laut dem Bericht des SC-Magazins könnten Angreifer die Sicherheitslücke im Protokoll der Festo-Systeme sogar ausnutzen, um Steuerungsgeräte vollständig zu übernehmen und zu kontrollieren – mit unabsehbaren Folgen.

Forschungsprojekt sucht nach Sicherheitslücken

Die Schwachstellen wurden im Rahmen des Forschungsprojekts „OT Icefall“ entdeckt, in dem Sicherheitslücken in ICS-Technologien aufgedeckt werden sollen, die für die Steuerung von Maschinen verantwortlich sind. Der Schwerpunkt dieses Projekts liegt auf Systemen, die einen Großteil der kritischen Infrastruktur antreiben, von Produktionsanlagen und Telekommunikation bis hin zu Wasser- und Energieversorgung. Dabei handelt es sich zumeist um sogenannte SCADA-Systeme, also Systeme oder Software zur Überwachung und Steuerung technischer Prozesse. Im Rahmen des Projekts wurden bereits Anfang dieses Jahres rund 60 Schwachstellen aufgedeckt. Zu den häufigsten Problemen zählen der Zugriff auf OT-Funktionen ohne Authentifizierung, unverschlüsselter Netzwerkverkehr oder Mängel in der eingesetzten Kryptografie.

Die mangelhafte Sicherheit in der OT-Welt hat ihre Gründe. Im OT-Sektor werden Geräte und Maschinen eingesetzt, die jahrzehntelang unverändert in Betrieb sind und für eine Vernetzung häufig niemals gedacht waren. Dementsprechend weisen sie oft Sicherheitsmängel auf, wenn sie nachträglich in OT-Netze integriert werden. Cyber-Kriminelle wissen das und verschiedene Gruppen haben sich inzwischen auf Angriffe von SCADA-Systemen spezialisiert. Dabei sind viele Ziele nicht nur eine leichte Beute, sondern diese Attacken verursachen großen Schaden mit massiven Folgen, etwa wenn Systeme der Kritischen Infrastruktur ausfallen.

Inzwischen widmen sich spezialisierte Anbieter von Sicherheitstechnologien den spezifischen Problemen der OT-Welt. Von den zahlreichen Ausstellern der diesjährigen Fachmesse it-sa werden drei beispielhaft vorgestellt.

Automatisierte Analyse von OT-Netzen entdeckt Sicherheitsprobleme

Dazu zählt das deutsche Start-up Rhebo, das sich vorrangig auf Netzwerk-Monitoring für OT-Netze spezialisiert hat. Die Lösung von Rhebo kennt OT-Protokolle und kann deren Datenverkehr analysieren. Doch Hersteller von ICS-Komponenten erlauben es meist nicht, dass Kunden darauf eigenständig Software installieren. Rhebo verfolgt daher einen anderen Weg: Eine eigene Appliance kann über Spiegelports der Netzwerk-Switches Daten mitlesen. Dabei können SCADA-Protokolle analysiert und beispielsweise Abweichungen von Standardwerten entdeckt werden. Ebenso wird erkannt, wenn Datenkommunikation zwischen Komponenten auftritt, die zuvor nicht in Verbindung standen. Mittels Deep-Packet-Inspection (DPI) werden die Inhalte der Datenpakete analysiert. Sollte darin etwas Ungewöhnliches auftauchen, kann ein Alarm ausgelöst werden. So fallen etwa auch unberechtigte Updates auf.

Auch das Unternehmen aus dem Silicon Valley, Armis, konzentriert sich auf das Scannen von OT-Netzen. Dabei liegt der Schwerpunkt aber auf dem Asset-Management. Das bedeutet, neue oder unbekannte Geräte identifizieren, Geräte-Eigenschaften verwalten, Änderungen nachverfolgen und dergleichen mehr. Ferner kann Armis sogar Konfigurationen von speicherprogrammierbaren Steuerungen (PLC) auslesen und analysieren. Ziel ist es, die Sichtbarkeit des Netzes zu verbessern und IT- sowie OT-Spezialisten zu helfen, Gefahren zu erkennen. Problematische Geräte können dann vom Netz genommen oder in Quarantäne gesteckt werden, damit sie keinen Schaden anrichten. Das geschieht aber niemals automatisch, sonst würde eventuell die Produktion unterbrochen werden, was massive Auswirkungen auf das Unternehmen haben könnte. Weil das alles mittels Netzwerkanalyse realisiert wird, kommt das System ohne Agenten auf den Komponenten aus. Das ist in der OT eine gängige Voraussetzung.

Auch das US-Unternehmen Venafi ist im Bereich OT-Security tätig, verfolgt jedoch einen anderen Ansatz. Venafi will in Produktionsumgebungen die Kommunikation zwischen Maschinen (M2M) absichern. In der M2M-Kommunikation werden in der Regel Maschinenidentitäten eingesetzt. Diese basieren häufig auf Zertifikaten oder auch SSH-Schlüsseln oder einfach nur Berechtigungen. Je nach Größe der Umgebung und Anzahl der Komponenten kann die Verwaltung dieser Zertifikate sehr aufwendig sein, denn Zertifikate laufen irgendwann ab, müssen erneuert und verteilt werden. Das kann mit Venafi voll automatisch geschehen. Verfeinert wird dies durch zusätzliche Analysen auf der Basis von Scans. Somit erhöht sich nicht nur die Sicherheit, auch Ausfälle werden minimiert und der Verwaltungsaufwand verringert.

Gravierende Vorfälle mit schwerwiegenden Folgen in den USA wie der Angriff auf den Tankstellenversorger Colonial Pipeline und das Fleischverarbeitungsunternehmen JBS haben die Aufmerksamkeit auf Versorger und OT-Bereiche gelenkt. IT-Security wird in diesen Branchen zukünftig eine steigende Bedeutung zukommen. Zahlreiche Anbieter mit Kompetenz im Bereich der industriellen IT-Security sind auf it-sa 365 zu finden.


Autor: Uwe Sievers