Bei all der notwendigen Aufmerksamkeit rund um die Berichterstattungen der Snowden Enthüllung darf man nicht vergessen, dass es zudem noch weitere reale Gefahren gibt. Diese nur wegen der NSA & Co. aus den Augen zu verlieren eröffnet Kriminellen nur neue Angriffsvektoren die es zu schließen gilt. Nach wie vor sind Industrieanlagen und Automation ganz beliebte Ziele, da diese weitaus weniger gut geschützt sind. Hier unaufmerksam zu sein hat das Potential eines sehr großen Risikos.
Wieviele Updates haben denn die Industrieanlagen oder Automationssysteme in den letzten 6 Monaten bekommen? Der Heartbleed Bug dürfte vielen der Steuerungen nichts ausgemacht haben, denn Verschlüsselung kennen diese nicht. Somit war man da jedenfalls „sicher“, also mehr oder eher weniger. Auch sonst wird es kaum Updates gegeben haben, denn die Sicherheit ist immer noch ein Fremdwort für Industrieanlagen und Automationssysteme. Denn anders ist das nicht zu erklären, dass Anlagen mit teilweise sehr hohen Anschaffungskosten IT-Technisch noch nicht mal das Mittelalter hinter sich gelassen haben. Da sich an diesem Zustand weder mittelfristig oder sogar langfristig was ändert, muss man sich damit abfinden und alternative Szenarien zum Schutz der Systeme entwickeln. Eine andere Option hat man nicht und ungeschützt kann man dieses Systeme aber auch nicht als verantwortungsvolle IT mit dem Wissen um deren Anfälligkeit weiterbetrieben.
Dass die Gefahr real ist, daran besteht kein Zweifel. Es ist nur eine Frage der Zeit, bis Kriminelle ihre Opfer in der Industrie finden um diese zu erpressen. Aktuell sind es noch in der Hauptsache die Online-Stores, Portale und Webauftritte der Firmen, die mit DDoS Attacken, Systemeinbrüchen oder Datendiebstahl erpresst werden. Gegen Zahlung einer gewissen Summe hören die Angriffe auf oder das System wird wieder freigegeben. Es sind nur wenige Fälle bekannt und die es dann auch in die Medien schaffen. Die Dunkelziffer dürfte bedeuten höher sein, denn viele werden bezahlen und es verschweigen um nicht ihr Image zu beschädigen. Der Aufwand der hier beschriebenen Erpressungen ist für die Kriminellen nicht besonders hoch. Die Summen die erpresst werden halten sich noch in Grenzen. Aber mit etwas mehr Aufwand und mehr an krimineller Energie kann man die Produktion der Industrie angreifen und dann sind es ganz schnell andere Summen die im Raum stehen. Man muss sich auch darüber im Klaren sein, dass es den Kriminellen völlig egal ist welche Gefahren sich durch die Manipulation der Anlagen entstehen. Hier geht es dann nur um’s schnelle Geld und alles andere ist egal.
Sowie es um höhere Summen geht, steigt auch die Qualität der Angriffen. Das KnowHow und die IT Kompetenz der Angreifer darf man nicht unterschätzen. Eine kriminelle Gruppe die auf diesem Niveau agiert und Industrieanlagen angreift, weiß natürlich von den hochgerüsteten Firewalls am Perimeter zum Internet. Daher werden sie an dieser Stelle nicht ansetzen und einen direkten Angriff starten. Eher kommt der Angriff indirekt über manipulierte Systeme im LAN, die erst im nächsten Schritt versuchen die Industriesysteme anzugreifen. Denkbar sind auch Szenarien bei denen fremde Hardware in die Infrastruktur eingeschleust wird. Hier darf man jetzt nicht an PC’s oder Notebooks denken, eher an Mini-Systeme wie Raspberry Pi oder Arduino. Diese kommen mit ARM CPU’s, ausreichend Speicher und Ethernet-Schnittstelle daher, also mit all dem was man braucht. Zudem sind diese Einplatinen-Systeme kostengünstig und der Code lässt sich individuell anpassen. Was wiederum individualisierte Angriffstechniken erlaubt. Hier geht es nicht um ein hypothetisches Szenario, die spezialisierten Gruppen gibt es bereits – siehe Heise Artikel über Dragonfly Hackergruppe.
Da sich weder die Betriebssysteme der Industrieanlagen selbst sichern lassen, noch ein Angriff aus dem inneren ausschließen lässt, bleibt nur die Option die Industrieanlagen an der Schnittstelle zum Netzwerk abzusichern. Hier steht man aber nun vor der Herausforderung das eine Topologie-Änderung des Netzwerks in der Produktion in den meisten Fällen nicht möglich ist oder der Aufwand dazu wie zu groß wäre. Es muss also eine Lösung gefunden werden, die die Systeme schützen kann ohne die Topologie dabei zu ändern. Eine weitere Herausforderung ist dies so zu tun, dass ein Ausfall des Sicherheitssystem nicht einen Ausfall der Produktion nach sich zieht. Die Anforderung an die Implementierung ist als nicht ganz einfach. Es stellt sich auch die Frage welche Art von Schutz ist nötig um seine Ziele hier zu erreichen. Paketfilter an alleine bringen keinen wirklich Vorteil. Diese könnte man auch per ACL über die Switches realisieren, wen dies nicht sowieso schon der Fall ist. Wesentlich vielversprechender ist der Ansatz von dedizierten IPS und Application Control. Wird dieser geschickt in die vorhandene Umgebung integriert, erhält man einen effektiven Schutz der Industrieanlagen.
Wie so häufig gibt es keine Pauschallösung, da die Industrieanlagen immer individuell an den jeweiligen Kunden angepasst sind. Dazu kommt die Herausforderung die Schutzeinrichtung so zu implementieren, dass diese bei einer Störung nicht die Produktion beeinträchtigen oder gar diese zum Stillstand bringt. Denn so etwas sollte ja mit der Schutzeinrichtung verhindert werden und nicht die Ursache des Ausfalls sein. Daher ist ein solcher Schutz nicht eben mal implementiert, sondern muss genau für die vorhandene Umgebung zugeschnitten sein. Das wichtigste Fazit ist aber, dass ein Schutz möglich und vor allem nötig ist, denn es ist nur eine Frage der Zeit, bis sich das „Geschäftsmodell“ der kriminellen Gruppierungen weg von den Webshops und in großer Zahl hin zur Industrie bewegt.
Bei Fragen stehen wir wie immer zur Verfügung und sind wie gewohnt zu erreichen.