Ungeplante Stillstände in vernetzten Produktionen vermeiden
Blick nach Innen
Die in der Standardfamilie IEC62443 definierten Anforderungen an die Sicherung industrieller Informationsnetze zielen auf die vollständige Kontrolle aller Aktivitäten und technischen Rahmenbedingungen. Dafür benötigen Betreiber lückenlose Klarheit über die Vorgänge innerhalb ihrer Netzwerke.
Bild: Rhebo GmbHWenn über die Risiken für industrielle Netzwerke gesprochen wird, fallen in der Regel Namen wie WannaCry, NotPetya oder Spectre. Das Patching der eigenen Systeme gegen diese Gefährdungen ist selbstverständlich wichtig. Doch diese Namen sind nur die Spitze des Eisbergs. Bekannte Gefährdungen sind halb gebannte Gefährdungen. Unter der Oberfläche beginnt das eigentliche tiefe Wasser der Netzwerkrisiken. Und diese haben keine Namen. Sie sind noch unbekannt und damit weder in den Datenbanken der Firewalls noch sonstigen Sicherheits- und Monitoringsystemen gelistet. Wenn dann die Gefährdung identifiziert und von den externen Dienstleistern an ihre Sicherheitssysteme kommuniziert wurde, ist das Unternehmen bereits aufgelaufen. Womöglich ist die Schadsoftware längst in den Rumpf des Netzwerks eingedrungen - also dort, wo selbst gepatchte Grenzwärtersysteme wie die klassischerweise eingesetzte Firewall keinen Einblick mehr haben. Es ist also höchste Zeit, über Anomalien und die innere Sichtbarkeit von industriellen Steuerungssystemen zu reden. Denn auf Kommunikationsebene sind die Steuerungen für deren Betreiber in der Regel Blackboxes.
Bilder: Rhebo GmbHAnomalien sind der neue Virus
Anomalien bezeichnen jeglichen Vorgang an den Grenzen und innerhalb eines Netzwerkes, der nicht zum normalen Muster des Netzwerkverkehrs passt. Diese Veränderungen können sicherheitstechnische Ursachen haben oder aus einem technischen Fehler heraus entstanden sein. Neben Schadsoftware und sicherheitsrelevanten Vorgängen rücken auch Kommunikationsfehler in den Vordergrund, die sich z. B. aus Netzwerkverschleiß, Fehlkonfigurationen oder Materialschäden ergeben. Während ersteres ein unternehmensweites Risiko für die Cybersicherheit und den Datenschutz darstellt, wirken sich letztere auf die Anlagenverfügbarkeit, Produktivität und Produktqualität aus. Beide Kategorien bergen große Gefahren für das übergeordnete Business Continuity Management. Daher ist es nicht verwunderlich, dass der internationale Industriestandard IEC62443 "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme" mehr verlangt, als eine Firewall. Die IEC blicken in ihren Anforderungen bewusst in das Netzwerk. Der Standard IEC62443 beschränkt sich ganz bewusst nicht nur auf den Schutz vor schädlichem Code (SR 3.2). Die Systemanforderung 3.7 in Kapitel 3.3 fordert explizit das Management von Fehlerzuständen. Demnach müssen Fehlerzustände so erkannt und behandelt werden, dass eine wirksame und rechtzeitige Fehlersuche und -behebung erfolgen kann. Fehlerzustände entstehen selbstverständlich auch durch Cyberangriffe. Weitaus typischer sind nach unseren Erfahrungen aus Stabilitätsaudits und Langzeitmonitoring von Steuerungssystemen jedoch Fehlerzustände, die sich aus Kommunikationsfehlern und technischen oder konfigurationsbedingten Störungen an den Netzwerkkomponenten ergeben. Bei punktuellen Audits und der Integration eines kontinuierlichen Monitorings in der Steuerungstechnik vernetzter Produktionen kommt die industrielle Anomalieerkennung Rhebo Industrial Protector zum Einsatz. Dafür werden an kritischen Stellen im Steuerungssystem passiv und rückwirkungsfrei wirkende Sensoren integriert. Diese lesen den gesamten Kommunikationsverkehr mit und schicken diesen an einen zentralen Controller, der in Echtzeit die Kommunikation auswertet und auffällige Vorgänge als Anomalie meldet. Zugleich werden alle Netzwerkkomponenten mit allen Eigenschaften identifiziert und Sicherheitslücken, abgeglichen durch bereits bekannte Schwachstellen (CVE), angezeigt.
Bild: Rhebo GmbHAnomalien in der Blackbox
Auf der Cybersicherheitsseite wird so z. B. Kommunikation gemeldet, die über Ports läuft, für die Sicherheitslücken nach CVE bekannt sind und in der Vergangenheit u.a. für das Einschleusen von Malware verwendet wurden. Weiterhin wird Kommunikation gemeldet, die für das spezifische industrielle Steuerungssystem untypisch oder zum Zeitpunkt des Auftretens neu ist. So wurde bei einem Audit in einem Stahlunternehmen ein Einplatinenrechner identifiziert, der bislang nicht im Netzwerk bekannt war. Auffällig war vor allem die Kommunikation über das ARP-Protokoll. Der Protokolltyp wird häufig für Man-in-the-middle-Angriffe verwendet. Mittels des sogenannten ARP-Spoofings gibt sich der Hacker beispielsweise gegenüber dem Kontrollraum als Steuerung aus, während er in Richtung des Production Floors vorgibt, der Controller zu sein. Damit kann er in beide Richtungen manipulierend in die Prozesse eingreifen. Dem Betreiber waren zuvor weder das Gerät noch die Kommunikation bekannt. Erst das Monitoring mittels Anomalieerkennung brachte sie ans Licht. Die Komponente wurde identifiziert und umgehend aus dem Steuerungssystem entfernt. Technisch bedingten Anomalien können ebenfalls zu erheblichen Störungen in der Fertigung führen. Sie können Echtzeitprozesse negativ beeinflussen oder zu Abweichungen in Produktionsabläufen führen. Im schlimmsten Fall fallen Komponenten aus und es kommt zu einem ungeplanten Stillstand.
Vielfältige Ergebnisse
Die Ergebnisse aus einer Vielzahl von Audits und Langzeitmonitoring in Industrie- und Versorgungsunternehmen (Kritische Infrastrukturen) zeigen, dass technische Anomalien sehr vielfältig sind. Sie äußern sich in u.a. TCP-Prüfsummenfehlern, abweichenden Paketumlaufzeiten, fehlerhaften zyklischen Nachrichten oder Fehlermeldungen, die auf den Interfaces der Steuerungstechnik nicht angezeigt wird. Fehlerhaft ausgelieferte zyklische Nachrichten deuten darauf hin, dass im Steuerungsnetz erhöhte Latenzen auftreten. Die für stabile Prozesse wichtigen zyklischen Nachrichten werden dann zu früh, zu spät oder gar nicht ausgeliefert. Dadurch werden insbesondere Echtzeitprozesse beeinträchtigt, die von einer zeitgenauen Auslieferung der Datenpakete abhängig sind. In einem weiteren Fall wurde eine bislang unentdeckte Fehlermeldung innerhalb des S7-Protokolls identifiziert. Dieses Protokoll des Herstellers Siemens kommt bei der Programmierung von SPS zur Anwendung. Die Fehlermeldung wies auf einen möglichen Programmierfehler hin, der mittelfristig die Funktionalität des SPS gefährden könnte.
Unsichtbare Störfaktoren
Ohne den Blick nach Innen - auf die konkrete Kommunikation innerhalb der Steuerungstechnik - bleiben diese Störfaktoren für Betreiber unsichtbar. Die Gefahr unvorgesehener Ausfälle steigt und bedeutet im Nachgang die Suche nach der Nadel im Heuhaufen. In allen genannten Fällen konnten die versteckten Anomalien mit Hilfe der industriellen Anomalieerkennung dagegen eindeutig identifiziert, analysiert und beseitigt werden, bevor die laufende Produktion beeinträchtigt wurde. Eine stabile, sichere Produktion beginnt mit Sichtbarkeit und Transparenz.
Die in der Standardfamilie IEC62443 definierten Anforderungen an die Sicherung industrieller Informationsnetze zielen auf die vollständige Kontrolle aller Aktivitäten und technischen Rahmenbedingungen. Dafür benötigen Betreiber lückenlose Klarheit über die Vorgänge innerhalb ihrer Netzwerke.
Bild: Rhebo GmbHWenn über die Risiken für industrielle Netzwerke gesprochen wird, fallen in der Regel Namen wie WannaCry, NotPetya oder Spectre. Das Patching der eigenen Systeme gegen diese Gefährdungen ist selbstverständlich wichtig. Doch diese Namen sind nur die Spitze des Eisbergs. Bekannte Gefährdungen sind halb gebannte Gefährdungen. Unter der Oberfläche beginnt das eigentliche tiefe Wasser der Netzwerkrisiken. Und diese haben keine Namen. Sie sind noch unbekannt und damit weder in den Datenbanken der Firewalls noch sonstigen Sicherheits- und Monitoringsystemen gelistet. Wenn dann die Gefährdung identifiziert und von den externen Dienstleistern an ihre Sicherheitssysteme kommuniziert wurde, ist das Unternehmen bereits aufgelaufen. Womöglich ist die Schadsoftware längst in den Rumpf des Netzwerks eingedrungen - also dort, wo selbst gepatchte Grenzwärtersysteme wie die klassischerweise eingesetzte Firewall keinen Einblick mehr haben. Es ist also höchste Zeit, über Anomalien und die innere Sichtbarkeit von industriellen Steuerungssystemen zu reden. Denn auf Kommunikationsebene sind die Steuerungen für deren Betreiber in der Regel Blackboxes.
Bilder: Rhebo GmbHAnomalien sind der neue Virus
Anomalien bezeichnen jeglichen Vorgang an den Grenzen und innerhalb eines Netzwerkes, der nicht zum normalen Muster des Netzwerkverkehrs passt. Diese Veränderungen können sicherheitstechnische Ursachen haben oder aus einem technischen Fehler heraus entstanden sein. Neben Schadsoftware und sicherheitsrelevanten Vorgängen rücken auch Kommunikationsfehler in den Vordergrund, die sich z. B. aus Netzwerkverschleiß, Fehlkonfigurationen oder Materialschäden ergeben. Während ersteres ein unternehmensweites Risiko für die Cybersicherheit und den Datenschutz darstellt, wirken sich letztere auf die Anlagenverfügbarkeit, Produktivität und Produktqualität aus. Beide Kategorien bergen große Gefahren für das übergeordnete Business Continuity Management. Daher ist es nicht verwunderlich, dass der internationale Industriestandard IEC62443 "Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme" mehr verlangt, als eine Firewall. Die IEC blicken in ihren Anforderungen bewusst in das Netzwerk. Der Standard IEC62443 beschränkt sich ganz bewusst nicht nur auf den Schutz vor schädlichem Code (SR 3.2). Die Systemanforderung 3.7 in Kapitel 3.3 fordert explizit das Management von Fehlerzuständen. Demnach müssen Fehlerzustände so erkannt und behandelt werden, dass eine wirksame und rechtzeitige Fehlersuche und -behebung erfolgen kann. Fehlerzustände entstehen selbstverständlich auch durch Cyberangriffe. Weitaus typischer sind nach unseren Erfahrungen aus Stabilitätsaudits und Langzeitmonitoring von Steuerungssystemen jedoch Fehlerzustände, die sich aus Kommunikationsfehlern und technischen oder konfigurationsbedingten Störungen an den Netzwerkkomponenten ergeben. Bei punktuellen Audits und der Integration eines kontinuierlichen Monitorings in der Steuerungstechnik vernetzter Produktionen kommt die industrielle Anomalieerkennung Rhebo Industrial Protector zum Einsatz. Dafür werden an kritischen Stellen im Steuerungssystem passiv und rückwirkungsfrei wirkende Sensoren integriert. Diese lesen den gesamten Kommunikationsverkehr mit und schicken diesen an einen zentralen Controller, der in Echtzeit die Kommunikation auswertet und auffällige Vorgänge als Anomalie meldet. Zugleich werden alle Netzwerkkomponenten mit allen Eigenschaften identifiziert und Sicherheitslücken, abgeglichen durch bereits bekannte Schwachstellen (CVE), angezeigt.
Bild: Rhebo GmbHAnomalien in der Blackbox
Auf der Cybersicherheitsseite wird so z. B. Kommunikation gemeldet, die über Ports läuft, für die Sicherheitslücken nach CVE bekannt sind und in der Vergangenheit u.a. für das Einschleusen von Malware verwendet wurden. Weiterhin wird Kommunikation gemeldet, die für das spezifische industrielle Steuerungssystem untypisch oder zum Zeitpunkt des Auftretens neu ist. So wurde bei einem Audit in einem Stahlunternehmen ein Einplatinenrechner identifiziert, der bislang nicht im Netzwerk bekannt war. Auffällig war vor allem die Kommunikation über das ARP-Protokoll. Der Protokolltyp wird häufig für Man-in-the-middle-Angriffe verwendet. Mittels des sogenannten ARP-Spoofings gibt sich der Hacker beispielsweise gegenüber dem Kontrollraum als Steuerung aus, während er in Richtung des Production Floors vorgibt, der Controller zu sein. Damit kann er in beide Richtungen manipulierend in die Prozesse eingreifen. Dem Betreiber waren zuvor weder das Gerät noch die Kommunikation bekannt. Erst das Monitoring mittels Anomalieerkennung brachte sie ans Licht. Die Komponente wurde identifiziert und umgehend aus dem Steuerungssystem entfernt. Technisch bedingten Anomalien können ebenfalls zu erheblichen Störungen in der Fertigung führen. Sie können Echtzeitprozesse negativ beeinflussen oder zu Abweichungen in Produktionsabläufen führen. Im schlimmsten Fall fallen Komponenten aus und es kommt zu einem ungeplanten Stillstand.
Vielfältige Ergebnisse
Die Ergebnisse aus einer Vielzahl von Audits und Langzeitmonitoring in Industrie- und Versorgungsunternehmen (Kritische Infrastrukturen) zeigen, dass technische Anomalien sehr vielfältig sind. Sie äußern sich in u.a. TCP-Prüfsummenfehlern, abweichenden Paketumlaufzeiten, fehlerhaften zyklischen Nachrichten oder Fehlermeldungen, die auf den Interfaces der Steuerungstechnik nicht angezeigt wird. Fehlerhaft ausgelieferte zyklische Nachrichten deuten darauf hin, dass im Steuerungsnetz erhöhte Latenzen auftreten. Die für stabile Prozesse wichtigen zyklischen Nachrichten werden dann zu früh, zu spät oder gar nicht ausgeliefert. Dadurch werden insbesondere Echtzeitprozesse beeinträchtigt, die von einer zeitgenauen Auslieferung der Datenpakete abhängig sind. In einem weiteren Fall wurde eine bislang unentdeckte Fehlermeldung innerhalb des S7-Protokolls identifiziert. Dieses Protokoll des Herstellers Siemens kommt bei der Programmierung von SPS zur Anwendung. Die Fehlermeldung wies auf einen möglichen Programmierfehler hin, der mittelfristig die Funktionalität des SPS gefährden könnte.
Unsichtbare Störfaktoren
Ohne den Blick nach Innen - auf die konkrete Kommunikation innerhalb der Steuerungstechnik - bleiben diese Störfaktoren für Betreiber unsichtbar. Die Gefahr unvorgesehener Ausfälle steigt und bedeutet im Nachgang die Suche nach der Nadel im Heuhaufen. In allen genannten Fällen konnten die versteckten Anomalien mit Hilfe der industriellen Anomalieerkennung dagegen eindeutig identifiziert, analysiert und beseitigt werden, bevor die laufende Produktion beeinträchtigt wurde. Eine stabile, sichere Produktion beginnt mit Sichtbarkeit und Transparenz.
Rhebo GmbH
Dieser Artikel erschien in SPS-MAGAZIN SPSS 2018 - 19.11.18.Für weitere Artikel besuchen Sie www.sps-magazin.de
