Einfallstore schließen Tipps zum Schutz der Steuerungssysteme
Bild: FireEye '2016 Industrial Control
Systems (ICS) Vulnerability Trend Report'Unternehmen nutzen in der Produktion ICS-Protokolle, die oft über keine Authentifizierungsmöglichkeit verfügen. Fehlt diese Funktion, ist es schwierig festzustellen, ob ankommende Daten aus einer vertrauenswürdigen Quelle stammen. Denn ohne Authentifizierung können von jedem Rechner Befehle gesendet werden, die in der Lage sind, die Produktion zu manipulieren. Um Manipulationsversuchen zuvorzukommen, sollten Unternehmen alle Protokolle mit fehlender Authentifizierungsmöglichkeit identifizieren. Im Zuge dessen ist es sinnvoll, auch gleich den Schwere- und Verbreitungsgrad der Sicherheitslücken zu ermitteln. Als weitere Maßnahme empfiehlt es sich, herauszufinden, ob die Anlagen Authentifizierungsoptionen unterstützen und diese gegebenenfalls zu implementieren. Im Anschluss sollten Tests durchgeführt werden, ob die Produktionsstätten mit zwischengeschalteten Authentifizierungsoptionen reibungslos laufen. Durch eine Firewall und/oder von Deep Packet Inspection (DPI) lassen sich nicht-authentifizierte Befehle blockieren.
Veraltete Hardware
Oft ist Hardware für Industrieanlagen jahrzehntelang im Einsatz und daher nicht in der Lage, moderne Cyberbedrohungen zu verhindern. Ein weiteres Sicherheitsrisiko stellt die End-of-Life-Phase von Geräten und Software dar, etwa wenn Hersteller Software nicht mehr mit Patches unterstützen. Regelmäßige Upgrades für ältere Geräte, die mit dem Netzwerk verbunden sind und wichtige Funktionen in der Prozesssteuerung inne haben, senken das Sicherheitsrisiko für einen Hackerangriff. Sinnvoll ist es auch, Firewall-Regeln aufzusetzen, um Netzwerkverbindungen zu veralteter Hardware und Software zu sichern.
Bild: FireEye IncSchwache Benutzerauthentifizierung
Benutzerauthentifizierungen stellen sicher, dass nur berechtigte Personen oder Personenkreise Zugriff auf Programme haben. Die Authentifizierung erfolgt meist über die Eingabe eines Passwortes. Bei alten Steuerungssystemen sind Kennwörter oft einfach zu knacken, da sie hart codiert sind, in leicht zu entschlüsselnden Formaten abgespeichert oder direkt im Klartext übermittelt werden. Hacker haben somit leichtes Spiel und können nach der Entschlüsselung der Passwörter die Produktionsprozesse beliebig manipulieren. Um das Risiko zu senken, sollte in einem ersten Schritt der interne ICS-Gerätebestand mit der Liste der Geräte, die hart codierte Passwörter haben, abgeglichen werden. Dann gilt es, die Geräteprotokolle und den Netzwerkverkehr zu überwachen - so lassen sich passwortbezogene Sicherheitslücken aufspüren.
Unzureichende Integritätsprüfungen
Durch die Integritätsprüfung werden Herkunft und Vollständigkeit von Daten sowie Codes durch kryptografische Überprüfung verifiziert. Doch Industrieanlagen leiden häufig unter folgenden Schwachstellen:
- • Unzureichende Überprüfung der Softwaresignaturen: Diese geben an, ob eine Software von einer vertrauenswürdigen Quelle stammt. Sind keine Signaturen vorhanden, haben Hacker die Möglichkeit, in die Systeme einzudrignen.
- • Unzureichende Überprüfung der Firmwareintegrität: Gelingt es einem Hacker durch ungenügende unternehmensseitige Überprüfung schadhafte Firmware hochzuladen, kann er den gesamten Funktionsbereich eines Gerätes übernehmen.
- • Unzureichende Überprüfung der Integrität der Steuerungslogik: Darunter versteht man ein Programm zur Prozesssteuerung, das von einem programmierbaren Controller ausgeführt wird. Ohne Integritätsüberprüfung der Steuerungslogik übernehmen jedoch SPS-Geräte jede aufgespielte Logik. Angreifer können so u.a. Grenz- und/oder Sollwerte manipulieren und die Kontrolle über Werkzeuge, Maschinen und Anlagen übernehmen.
Das Betriebssystem sollte so konfiguriert werden, dass nur signierte Codes ausgeführt werden können. Zudem ist es ratsam, Software und Updates in einer simulierten Umgebung zu testen.
Einfallstor Windows-Betriebssysteme
Viele Workstations für Produktentwicklung und für die industrielle Produktion laufen mit veralteten Versionen von Windows-Betriebssystemen. Dieses Einfallstor lässt sich durch die Einführung und Pflege einer Bestandsliste der verwendeten Betriebssysteme, die nicht gepatcht sind, bzw. nicht mehr unterstützt werden, schliessen. Zusätzlich müssen regelmäßig Upgrades installiert und/oder Patches während Wartungsarbeiten eingespielt werden.
Die Krux mit Drittanbietern
ICS-Anwender sind selten über die Abhängigkeiten ihrer ICS-Software von Produkten von Drittanbietern im Bilde. Denn ICS-Anbieter wissen meist nicht im Detail, welche Komponenten sie von Drittanbietern verwenden. Hacker kennen diese Abhängigkeiten und nutzen Softwaresicherheitslücken aus, von deren Existenz der Anwender nichts weiß. Unternehmen sollten vom ICS-Anbieter eine Liste anfordern, die die enthaltene Software von Drittanbietern in den Produkten auflistet. Zusätzlich ist es ratsam, regelmäßig nationale und internationale Schwachstellendatenbanken auf Sicherheitslücken in der Software von Drittanbietern zu durchsuchen.
Bild: FireEye '2016 Industrial Control
Systems (ICS) Vulnerability Trend Report'Unternehmen nutzen in der Produktion ICS-Protokolle, die oft über keine Authentifizierungsmöglichkeit verfügen. Fehlt diese Funktion, ist es schwierig festzustellen, ob ankommende Daten aus einer vertrauenswürdigen Quelle stammen. Denn ohne Authentifizierung können von jedem Rechner Befehle gesendet werden, die in der Lage sind, die Produktion zu manipulieren. Um Manipulationsversuchen zuvorzukommen, sollten Unternehmen alle Protokolle mit fehlender Authentifizierungsmöglichkeit identifizieren. Im Zuge dessen ist es sinnvoll, auch gleich den Schwere- und Verbreitungsgrad der Sicherheitslücken zu ermitteln. Als weitere Maßnahme empfiehlt es sich, herauszufinden, ob die Anlagen Authentifizierungsoptionen unterstützen und diese gegebenenfalls zu implementieren. Im Anschluss sollten Tests durchgeführt werden, ob die Produktionsstätten mit zwischengeschalteten Authentifizierungsoptionen reibungslos laufen. Durch eine Firewall und/oder von Deep Packet Inspection (DPI) lassen sich nicht-authentifizierte Befehle blockieren.
Veraltete Hardware
Oft ist Hardware für Industrieanlagen jahrzehntelang im Einsatz und daher nicht in der Lage, moderne Cyberbedrohungen zu verhindern. Ein weiteres Sicherheitsrisiko stellt die End-of-Life-Phase von Geräten und Software dar, etwa wenn Hersteller Software nicht mehr mit Patches unterstützen. Regelmäßige Upgrades für ältere Geräte, die mit dem Netzwerk verbunden sind und wichtige Funktionen in der Prozesssteuerung inne haben, senken das Sicherheitsrisiko für einen Hackerangriff. Sinnvoll ist es auch, Firewall-Regeln aufzusetzen, um Netzwerkverbindungen zu veralteter Hardware und Software zu sichern.
Bild: FireEye IncSchwache Benutzerauthentifizierung
Benutzerauthentifizierungen stellen sicher, dass nur berechtigte Personen oder Personenkreise Zugriff auf Programme haben. Die Authentifizierung erfolgt meist über die Eingabe eines Passwortes. Bei alten Steuerungssystemen sind Kennwörter oft einfach zu knacken, da sie hart codiert sind, in leicht zu entschlüsselnden Formaten abgespeichert oder direkt im Klartext übermittelt werden. Hacker haben somit leichtes Spiel und können nach der Entschlüsselung der Passwörter die Produktionsprozesse beliebig manipulieren. Um das Risiko zu senken, sollte in einem ersten Schritt der interne ICS-Gerätebestand mit der Liste der Geräte, die hart codierte Passwörter haben, abgeglichen werden. Dann gilt es, die Geräteprotokolle und den Netzwerkverkehr zu überwachen - so lassen sich passwortbezogene Sicherheitslücken aufspüren.
Unzureichende Integritätsprüfungen
Durch die Integritätsprüfung werden Herkunft und Vollständigkeit von Daten sowie Codes durch kryptografische Überprüfung verifiziert. Doch Industrieanlagen leiden häufig unter folgenden Schwachstellen:
- • Unzureichende Überprüfung der Softwaresignaturen: Diese geben an, ob eine Software von einer vertrauenswürdigen Quelle stammt. Sind keine Signaturen vorhanden, haben Hacker die Möglichkeit, in die Systeme einzudrignen.
- • Unzureichende Überprüfung der Firmwareintegrität: Gelingt es einem Hacker durch ungenügende unternehmensseitige Überprüfung schadhafte Firmware hochzuladen, kann er den gesamten Funktionsbereich eines Gerätes übernehmen.
- • Unzureichende Überprüfung der Integrität der Steuerungslogik: Darunter versteht man ein Programm zur Prozesssteuerung, das von einem programmierbaren Controller ausgeführt wird. Ohne Integritätsüberprüfung der Steuerungslogik übernehmen jedoch SPS-Geräte jede aufgespielte Logik. Angreifer können so u.a. Grenz- und/oder Sollwerte manipulieren und die Kontrolle über Werkzeuge, Maschinen und Anlagen übernehmen.
Das Betriebssystem sollte so konfiguriert werden, dass nur signierte Codes ausgeführt werden können. Zudem ist es ratsam, Software und Updates in einer simulierten Umgebung zu testen.
Einfallstor Windows-Betriebssysteme
Viele Workstations für Produktentwicklung und für die industrielle Produktion laufen mit veralteten Versionen von Windows-Betriebssystemen. Dieses Einfallstor lässt sich durch die Einführung und Pflege einer Bestandsliste der verwendeten Betriebssysteme, die nicht gepatcht sind, bzw. nicht mehr unterstützt werden, schliessen. Zusätzlich müssen regelmäßig Upgrades installiert und/oder Patches während Wartungsarbeiten eingespielt werden.
Die Krux mit Drittanbietern
ICS-Anwender sind selten über die Abhängigkeiten ihrer ICS-Software von Produkten von Drittanbietern im Bilde. Denn ICS-Anbieter wissen meist nicht im Detail, welche Komponenten sie von Drittanbietern verwenden. Hacker kennen diese Abhängigkeiten und nutzen Softwaresicherheitslücken aus, von deren Existenz der Anwender nichts weiß. Unternehmen sollten vom ICS-Anbieter eine Liste anfordern, die die enthaltene Software von Drittanbietern in den Produkten auflistet. Zusätzlich ist es ratsam, regelmäßig nationale und internationale Schwachstellendatenbanken auf Sicherheitslücken in der Software von Drittanbietern zu durchsuchen.
FireEye Inc
Dieser Artikel erschien in Industrie 4.0 Magazin (I40) 02 2018 - 25.01.18.Für weitere Artikel besuchen Sie www.i40-magazin.de
