Die Aussage: „Was soll ein Angreifer bei uns, dafür sind wir doch viel zu klein“, hat nun der TÜV SÜD mit seinem Honeynet-Projekt eindrucksvoll widerlegt. In den nur acht Monaten Laufzeit eines simulierten kleinen Wasserwerks, welches aus realer Hardware und Software bestand waren mehr als 60.000 Angriffe zu verzeichnen. Besonders hervorzuheben ist dabei die Tatsache, dass auch ganz gezielt Protokolle von Industriesystemen angegriffen wurden. Zudem wurde das kleine Wasserwerk nicht in besondere Weise propagiert, sondern einfach nur online genommen und abgewartet was passiert.
Die Angriffe wurden aus 150 verschiedenen Ländern verzeichnet. Damit hat der TÜV SÜD nachgewiesen, dass ganz gezielt nach solchen Systemen im Internet gesucht wird und vor allem auch kleine Anlagen von den Angreifern wahrgenommen werden. Dies ist ein deutliches Alarmsignal für die Betreiber von Industrieanlagen und deren Steuerungen, denn hier ist ein umgehender Handlungsbedarf vorhanden, zumindest die bestehenden Systeme hinsichtlich dieser Gefahr hin zu überprüfen. Die Anbieter dieser Systeme sind ebenso in der Pflicht, jedoch gilt es hier zu bedenken, dass die Umsetzung der Absicherung erst in die neuen Versionen einfließen muss und dann noch die Zeit vergeht, bis diese neuen Version auf die Produktionssysteme ausgerollt werden können. Von einer zeitnahen Umsetzung kann hier also keine Rede sein. Der größte Teil der Angriffe war für die üblichen Betriebssystem Protokolle zu verzeichnen. Aber alleine die Tatsache, dass Industrieprotokolle wie Modus/TCP und S7Comm ganz gezielt aus aller Welt angegriffen wurden, zeigt nur zu deutlich die Gefahr hinter solchen Angriffen. Auch wenn es „nur“ um die Betriebssystem Protokolle geht, ist das Risiko nicht weniger hoch. Denn ein gekaperter PC zur Steuerung oder Überwachung von Industrieanlagen ist ebenso ein Primärziel für den Angreifer wie die Steuerung der Anlage selbst. Wenn nicht die Anlage direkt zu erreichen ist, so ist das PC System Mittel zum Zweck zum indirekten Angriff auf die Anlage.
Der wichtigste Grundsatz ist jetzt trotzdem die Ruhe zu bewahren, den IST-Zustand aufzunehmen und das Gefahrenpotential anhand einer Risikoanalyse zu ermitteln. Auf Basis dieser Analyse wird dann ein Konzept zur Absicherung erarbeitet. Wichtig ist zu erkennen, dass dieses Risiko alle Betreiber dieser Systeme betrifft, ohne Ausnahme. Dabei spielt es keine Rolle ob die Systeme direkt von extern zu erreichen sind oder nicht. Es spielt lediglich eine Rolle ob die Industrieanlagen bzw. Steuerungen von System per IP zu erreichen sind, die ihrerseits über eine (mögliche) Internetverbindung verfügen. Akuter Handlungsbedarf besteht natürlich bei Industrieanlagen direkt aus dem Internet per IP zu erreichen sind. In diesen Fällen darf die Überprüfung nicht lange hinausgezögert werden und sollte sehr zeitnah angegangen werden.
Dies ist schon in diesem Jahr der zweite Artikel hier im Blog zu diesem Thema. Leider muss man konstatiert zur Kenntnis nehmen, dass viele Betreiber von Anlagen sich dieser Gefahr nicht bewusst sind oder die Dringlichkeit hier nicht erkennen. Zugegeben ist dies ein schwieriges und auch ein technisch anspruchsvolles Thema, welches sich nicht ohne tiefergehende technische Details erklären lässt. Aber gerade wegen dieser besonderen Gefahr ist es um so wichtiger, dass verstanden wird wie hoch das Risiko für Industriesteuerungen und Anlagen ist. Vor allem auch deshalb, weil es einfach jeden betrifft der vernetzte Steuerungen verwendet, vom kleinen Handwerksbetrieb, über kleinen und mittelständischen Betrieben oder Versorger bis hin zu großen Infrastrukturbetreibern. Alle sind hier in der Pflicht ihre Anlagen und Systeme entsprechend abgesichert zu betreiben. Selbst die Politik hat erkannt, dass das „Neuland“ doch viele Gefahren birgt und ein IT Sicherheitsgesetz erlassen, was ganz konkret sich dem Schutz kritischer Infrastrukturen annimmt. Denkt man hier nur ein wenig weiter, so sind für Unternehmen ihre Produktionsanlagen kritische Infrastrukturen, die es zu schützen gilt. Ein Angriff auf eine unzureichend gesicherte Steuerung ist für den Angreifer mit nur wenig Aufwand durchzuführen, verursacht aber immense Kosten und bedeuten im günstigsten Fall nur einen Ausfall. Werden dazu noch Betriebszustände erzeugt, die Beschädigen an den Anlagen hervorrufen, ist der Schaden um ein Vielfaches höher.
Zu einer solchen Absicherung gehören vor allem durchdachte Konzepte die auch den Blick über den Tellerrand haben um alle Aspekte einer solchen Infrastruktur sicher zu betrieben. Zudem gibt es Produkte, man denen man die vorhandenen Infrastrukturen ohne grundsätzliche Änderung der Netzwerktopologie schützen kann. Daher gibt es gar keinen Grund sich dem Schutz dieser Anlagen nicht umgehend anzunehmen. Vor allem gibt es keinen Grund so zu tun, als können dies einem nicht passieren, denn dies hat der TÜV SÜD nun wirklich eindrucksvoll widerlegt. Uns beschäftigt dieses Thema schon seit Jahren und haben engen Kontakt mit unseren Partnern aber dieses Thema dringt nicht in das Bewusstsein der Betreiber vor. Dies macht uns ehrlich gesagt etwas Sorge, warum der Schutz dieser Infrastrukturen nicht den Stellenwert hat, den er haben sollte. Aus diesem Grund haben wir uns entschlossen eine Informationsveranstaltung zum Thema Schutz von Industriesteuerungen und Anlagen bei uns im Hause durchzuführen. Als Leser unseres Blogs würden wir uns daher sehr freuen, sie bei uns begrüßen zu dürfen. Wenn sie also Interesse an diesem Thema haben, möchten wir sie bitte sich einfach formlos an event@salutec.de zu wenden.
Selbstverständlich stehen wir wie gewohnt unter den bekannten Kontaktmöglichkeiten zur Verfügung, wenn sie Fragen an uns haben.