Industrielle Systeme gegen Cyber-Attacken schützen
End-to-End Lifecycle-Planung
Scada-Netzwerke in Industriebetrieben oder kritischen Infrastruktur-Applikationen erfordern geeignete Schutzmaßnahmen gegen ausgefeilte und gut fundierte Bedrohungen aus dem Cyberspace. Die derzeit entstehenden Sicherheitsstandards wie IEC62443 stärken das Vorgehen der Industrie gegen diese Gefahren. Ein effektiver Schutz verlangt End-to-End Sicherheitsmaßnahmen mit einem durchgehenden Lifecycle-Plan für die schützenden Systeme. Sie sollten sich über die zugrunde liegende Hardware bis hinauf zu den Top-Level Applikationen erstrecken und auch die Versorgungsketten einschließen.
Cyber-Attacken gegen industrielle Anlagen und Infrastrukturen wie Stromversorgungsnetze zielen auf den Diebstahl von Geschäftsgeheimnissen, die Unterbrechung der Dienste und wirtschaftliche Verluste. Die Manipulation von industriellen Systemen kann deren Sicherheit beeinträchtigen und zu Verletzungen oder Todesfällen von Mitarbeitern oder unbeteiligten Dritten führen. Die Angreifer können 'einsame Wölfe', terroristische oder kriminelle Organisationen sein, oder sogar von ihren Regierungen unterstützte Gruppen mit breitem technischen Fachwissen, finanziellen Ressourcen und starker Motivation.
Wie auch immer sie operieren, und was ihre Ziele sind: Es ist klar, dass die Fähigkeiten von Hackern und ihre finanzielle Ausstattung immer umfangreicher werden. Deshalb müssen alle Organisationen, die industrielle Systeme verwalten oder betreiben, davon ausgehen, dass sie irgendwann das Ziel von Cyber-Angriffen werden. Sie müssen geeignete Schritte unternehmen, um sich zu schützen. Dies verlangt eine eingehende Analyse der industriellen Netzwerke und ihrer Verletzlichkeiten, sowie ein durchdachtes Vorgehen beim Management von Embedded Steuersystemen. Es sollte sich mit einer Lifecycle-Planung über alle möglichen Betriebssituationen erstrecken.
Sicherheits-Nachbarschaften
Ein modernes industrielles Steuersystem gliedert sich in IT- (Information Technology) und OT-Bereiche (Operational Technology), die miteinander vernetzt sind. Der notwendige Sicherheitsrahmen muss sich somit über das gesamte System (End to End) erstrecken. Er lässt sich wie in Bild 1 gezeigt in Form von allgemeinen Sicherheitszonen oder 'Nachbarschaften' adressieren und analysieren. Anhand dieser Darstellung, und am Beispiel des Cyber-Angriffs von 2015 auf die Stromversorungs-Infrastruktur der Ukraine, lässt sich ermitteln, wie angemessene Schutzmaßnahmen für IT- und OT-Infrastrukturen aussehen sollten. Der Angriff in der Ukraine begann damit, dass Hacker Phishing-Mails schickten, deren Anhänge mit Malware infiziert waren. Mindestens einer dieser Anhänge wurde unbedacht geöffnet, so dass die Hacker wichtige Log-in Details und Passwörter erbeuten konnten. Obwohl das IT-Netzwerk durch Firewalls von der Steuerung der Stromversorgungsysteme abgetrennt war, ermöglichten die gestohlenen Zugangsdaten den Hackern den Log-in mit Fernzugriff auf die Scada-Systeme des betroffenen Netzbetreibers. Die Hacker starteten ihre Attacke also mit einem erfolgreichen Angriff auf einen Schwachpunkt der IT-Infrastruktur. Anschließend nutzten sie auch Schwächen der OT-Seite. Das ermöglichte es ihnen, die Steuerung diverser Systeme im Netzwerk zu übernehmen, um maximale Störwirkungen zu erzielen. Dies umfasste auch das Überschreiben der Firmware von Controllern, wie PLCs, um die Operatoren daran zu hindern, die Kontrolle zurück zu gewinnen, als die dadurch hervorgerufenen Blackouts eintraten. Die Stromversorgung konnte erst wiederhergestellt werden, nachdem die Operatoren Arbeitsteams zu jeder betroffenen Anlage schickten, um dort die manuelle Kontrolle zu übernehmen. Alles das nahm mehrere Stunden in Anspruch und führte neben den Unannehmlichkeiten und Schäden durch den Ausfall auch zu beträchtlichen Kosten. Deshalb sind Wachsamkeit, geeignetes Training der Operatoren zur Bedrohungserkennung und regelmäßige Überprüfungen auf das Vorhandensein von Malware von essentieller Bedeutung, um Angriffen auf die IT-Seite des Netzwerks zu widerstehen. Doch der Schutz der eingebetteten Controller auf der OT-Seite ist von ebenso großer Bedeutung. Eine effektive Sicherheitsstrategie muss berücksichtigen, dass die IT- und OT-Netzwerke mit unterschiedlichen Protokollen arbeiten. Sie muss außerdem unterschiedliche Nutzer-Erwartungen in Bezug auf die Sicherheits-Trias 'Vertraulichkeit, Integrität und Verfügbarkeit' (Confidentiality, Integrity, Availability, CIA) erfüllen. In der Tabelle 1 sind die typischen High-Level IT- und OT-Betriebsbedingungen und deren Prioritäten in Bezug auf die Systemsicherheit aufgelistet.
Sicherheit über die gesamte Lebensdauer
Die von Hackern eingesetzten Hardware- und Software-Techniken entwickeln sich laufend weiter. Sie werden immer leistungsfähiger und ausgeklügelter. Die Sicherheitsvorkehrungen eines Systems, das mit den bei seinem ersten Einsatz besten verfügbaren Verteidigungslinien aufgebaut wurde, werden also im Verlauf seines Einsatzes naturgemäß immer unwirksamer. Eine vollständige Sicherheits-Lösung auf der Basis eines vierstufigen Lifecycle-Plans hilft bei der Reduzierung der erkennbaren Schwächen eines Systems. Sie bietet nicht nur eine starke Schutzwirkung, sondern sie detektiert auch nicht autorisierte Systemzugriffe. Damit wird das Schadenspotenzial begrenzt und der Wiederanlauf erleichtert.
Die erste Stufe dieses Lifecycle-Plans besteht in der Einrichtung des stärksten möglichen Schutzes ('Protect') des Systems auf der Basis des am Tag des ersten Einsatzes verfügbaren Wissens. Diese sollte auf einer detaillierten Strategie aufbauen, die mehrere Schutz-Ebenen für die Hardware und Software umfasst. Die detaillierte Verteidigungsstrategie darf sich nicht nur auf die Boot-Software erstrecken. Sie muss auch die Runtime-Operationen des Systems abdecken können.
Die zweite Stufe des Lifecycle-Plans zieht in Betracht, dass das System irgendwann einem Hackerangriff ausgesetzt sein wird. Sie stellt sicher, dass eine solche Störung des Systems erkannt ('Detect') wird. Dazu dienen eine sichere Bestätigung und Messtechniken, die nach nicht intendierten oder nicht autorisierten Änderungen im System Ausschau halten. Beim genannten Angriff in der Ukraine, und auch bei anderen Vorfällen, wie dem legendären Stuxnet-Vorfall, wurden die Zielsysteme über mehrere Monate hinweg gestört: Nach dem erfolgreichen Eindringen in einen Teils des Systems konnten die Hacker auch auf andere Bereiche des Systems zugreifen und damit das Ausmaß ihres Angriffs erweitern.
Die dritte Stufe: Wenn sich herausstellt, dass ein System als Teil einer industriellen Anlage angegriffen wird - und wenn deren Verfügbarkeit und Sicherheit die höchste Priorität haben - ist es von besonderer Bedeutung, dass das System mit einer gewissen Widerstandsfähigkeit ('Resilience') ausgestattet wird, damit es schnell wieder in einen sicheren Status oder in einen eingeschränkten Betriebsmodus übergehen kann. Dabei kann es die Operatoren und das Wartungspersonal alarmieren und auf die Störung hinweisen.
Die vierte Stufe: Letztlich ist es wichtig, den Sicherheits-Lifecycle als geschlossene Schleife einzurichten, in der die eingesetzten Bausteine und Systeme die Details der vorliegenden Angriffe und Störungen kommunizieren können. Dadurch können die zu reparierenden ('Remediate') Systeme mit Sicherheits-Patches ausgerüstet werden. Sie tragen dann ihrerseits zur Verbesserung der Sicherheit von Systemen mit vergleichbarer Konfiguration bei.
Schutz von eingebetteten Systemen
Effektive Sicherheitsmaßnahmen für OT-Infrastrukturen benötigen ein solides Fundament, auf dem geeignete Sicherheitslösungen für die Controller, Steuer-Netzwerke und I/O-Bereiche ('Nachbarschaften') aufgebaut werden. Zur Abhärtung des Systems können in diesen Sicherheitszonen oder 'Nachbarschaften' die unterschiedlichsten Technologien eingesetzt werden. Die allgemeinen Ziele der Sicherung sind dabei in jedem Fall dieselben. In den Sicherheitszonen ist die Aufrechterhaltung der 'Vertrauenskette' (chain-of-trust) während des Betriebs jedes digitalen Einzelsystems essentiell. Dazu Bild 2. Nach der Regel, dass ein System nur so stark ist wie der schwächste Link seiner Vertrauenskette, bietet das Xilinx Zynq Ultrascale+ SoC (System on Chip) die passenden Eigenschaften zur Errichtung einer soliden Sicherheitsbasis auf der Hardware- und der Boot-Time Software-Ebene (siehe Kasten).
Best Practice zur Verbesserung der Sicherheit
Es ist eine Tatsache, dass immer besser geschulte und gut finanzierte Hacker eine ständig wachsende, Bedrohung darstellen. Doch auch die industriellen Sicherheits-Experten entwickeln laufend ein tieferes Verständnis der Methoden, mit denen die Angriffe gestartet werden, und effektivere Abwehrmaßnahmen. Belege dafür sind die Publikation des internationalen Standards IEC62443 zur Sicherheit von Steuersystemen und die Arbeit von Organisationen wie die Trusted Computing Group (TCG) und das Industrial Internet Security Framework (IISF) des Industrial Internet Consortium (IIC), die sich mit Best Practice Vorschlägen für eingebettete Systeme befassen. Xilinx war an der Abfassung von IEC62443 beteiligt und ist ein aktives Mitglied von TCG und IIC. Wichtige Sicherheitsfunktionen, die von der FPGA-Hardware und deren Design Tools (Bild 3) unterstützt werden, ermöglichen den Anwendern die Entwicklung von industriellen Steuerplattformen, die konform mit IEC62443-4-2 sind. Sie beschleunigen dadurch die Marktreife ihrer Produkte. Außerdem werden neue Verfahren eingeführt, mit denen die Kunden ihre Schlüssel und Geräte-Identifikatoren sicher installieren können. Das umfasst auch die Lieferketten.
Schlussfolgerung
Alle heute eingesetzten industriellen Steuersysteme sind mit größter Wahrscheinlichkeit irgendwann Cyber-Attacken ausgesetzt. Die Wirkungen und die Raffinesse dieser Angriffe werden in Zukunft noch zunehmen. Eine effektive Sicherheitsstrategie sollte also nicht nur einen starken Schutz gewährleisten. Sie sollte auch die Detektion, die Widerstandsfähigkeit und geeignete Abhilfemaßnahmen in einem vierstufigen Lifecycle-Plan umfassen. Eine starke Hardware-Authentifizierung, sowie Funktionen zur Unterstützung des sicheren Bootens, Software-Measurement und Verschlüsselung sind die Schlüssel zur Minimierung der Angriffsflächen, wie sie OT-Bausteine (Operational Technology) darstellen. Das alte Sprichwort 'Wissen ist Macht' gilt auch für die Sicherheit im Cyberspace. Die Entwickler von OT-Equipment sollten sich die Zeit nehmen, die Cyber-Bedrohungen genau zu verstehen und industrielle Best Practice Verfahren einsetzen. Sie sollten auch die Schutzfunktionen nutzen, die bereits in die neuesten SoC-Bausteine eingebaut sind. Die weitere Untersuchung der Materie wird empfohlen. Neben den in diesem Beitrag genannten Ressourcen bietet Xilinx ein a Webinar in Verbindung mit Sicherheits-Experten von Avnet, Infineon und Mocana. Es vermittelt einen guten Überblick über die Bedrohungen der Sicherheit und erörtert die Gegenmaßnahmen auf der Basis der IIC- und TCG-Richtlinien und der Schlüsselelemente von IEC62443.
Xilinx Zynq Ultrascale + SoC
Nach der Regel, dass ein System nur so stark ist wie der schwächste Link seiner Vertrauenskette, bietet das Xilinx Zynq Ultrascale+ SoC (System on Chip) die passenden Eigenschaften zur Errichtung einer soliden Sicherheitsbasis auf der Hardware- und der Boot-Time Software-Ebene. Dies umfasst eine nicht veränderbare Baustein-Identität und einen Boot-ROM, außerdem Funktionen zur Abwehr von Angriffen, integrierte Secure-Key Speicherung in eFuses, sowie eine Bitstream-Autentifizierung und Verschlüsselung zum sicheren Hardware Loading. Die geschützte Boot-Firmware erzwingt dann das sichere Booten und die Ausführung des First-Stage Boot Loader. Sie bricht diesen Prozess ab, wenn sie detektiert, dass die Integrität der Software manipuliert wurde und ein Störversuch vorliegt. Auf den höheren Ebenen wird nur ein authentifiziertes, digital signiertes OS-Image geladen. Nachdem ein System gestartet wurde und regulär läuft, sollten alle Kommunikationen mit anderen Bausteinen durch den Einsatz authentifizierter Datenkanäle geschützt werden. Außerdem ist, falls erforderlich, eine Verschlüsselung der übertragenen Daten angebracht. Die Xilinx FPGAs umfassen integrierte Hardware-Beschleuniger für Verschlüsselungs-Algorithmen im Industrie-Standard, wie RSA-SHA und AES, zur Unterstützung einer sicheren verschlüsselten Kommunikation. Der Datenaustausch mit anderen ICs im System, wie nichtflüchtigen Speicherchips (NVM), lässt sich mit geräte-spezifischen Schlüsseln schützen, die vom Anwender nicht gelesen werden können. Auch die Funktionen zum System-Monitoring wie Measured Boot, Measured Application Start und der Einsatz von TPM- (Trusted Platform Module) PCR-Erweiterungen wird unterstützt. Alle diese Links in der Vertrauenskette sind notwendig, um den Betrieb und die Integrität jedes dieser Bausteine vom Anfang bis zum Ende der Sicherheits-Architektur zu schützen. Die untereinander verbundenen Layer der Sicherheitsfunktionen, von der grundlegenden Hardware bis herauf zur validierten OS- und Applikations-Software, schützen nicht nur den Betriebszustand des Bausteins, sondern auch das geistige Eigentum des FPGA-Hardware-Designs und des Codes, der auf dem Baustein läuft. Im Falle eines Diebstahls dieser IP sind die Konsequenzen nicht nur potenzielle Einkommensverluste für den Baustein-Hersteller. Sie bedeuten ein zusätzliches Risiko, dass die Bausteine geklont werden können, um weitere Angriffe zu starten.
Scada-Netzwerke in Industriebetrieben oder kritischen Infrastruktur-Applikationen erfordern geeignete Schutzmaßnahmen gegen ausgefeilte und gut fundierte Bedrohungen aus dem Cyberspace. Die derzeit entstehenden Sicherheitsstandards wie IEC62443 stärken das Vorgehen der Industrie gegen diese Gefahren. Ein effektiver Schutz verlangt End-to-End Sicherheitsmaßnahmen mit einem durchgehenden Lifecycle-Plan für die schützenden Systeme. Sie sollten sich über die zugrunde liegende Hardware bis hinauf zu den Top-Level Applikationen erstrecken und auch die Versorgungsketten einschließen.
Cyber-Attacken gegen industrielle Anlagen und Infrastrukturen wie Stromversorgungsnetze zielen auf den Diebstahl von Geschäftsgeheimnissen, die Unterbrechung der Dienste und wirtschaftliche Verluste. Die Manipulation von industriellen Systemen kann deren Sicherheit beeinträchtigen und zu Verletzungen oder Todesfällen von Mitarbeitern oder unbeteiligten Dritten führen. Die Angreifer können 'einsame Wölfe', terroristische oder kriminelle Organisationen sein, oder sogar von ihren Regierungen unterstützte Gruppen mit breitem technischen Fachwissen, finanziellen Ressourcen und starker Motivation.
Wie auch immer sie operieren, und was ihre Ziele sind: Es ist klar, dass die Fähigkeiten von Hackern und ihre finanzielle Ausstattung immer umfangreicher werden. Deshalb müssen alle Organisationen, die industrielle Systeme verwalten oder betreiben, davon ausgehen, dass sie irgendwann das Ziel von Cyber-Angriffen werden. Sie müssen geeignete Schritte unternehmen, um sich zu schützen. Dies verlangt eine eingehende Analyse der industriellen Netzwerke und ihrer Verletzlichkeiten, sowie ein durchdachtes Vorgehen beim Management von Embedded Steuersystemen. Es sollte sich mit einer Lifecycle-Planung über alle möglichen Betriebssituationen erstrecken.
Xilinx Inc.
Dieser Artikel erschien in Industrial Communication Journal 3 2018 - 05.10.18.Für weitere Artikel besuchen Sie www.sps-magazin.de