Transcript
CYBERCRIME
Das kleine Einmaleins für sichere(re) Produktionsanlagen
Angreifer ins Leere laufen lassen … Automotive, Chemie und Pharma: In Deutschland waren diese Branchen in den vergangenen zwei Jahren am häufigsten von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen. Dies belegt eine neue Umfrage des Bitkom. In einigen Fällen zielten die Sabotageakte auch auf die Produktionssysteme der Unternehmen ab. Wie lassen sich industrielle Steuerungssysteme besser gegen Cyberangriffe absichern? Und wie sind Unregelmäßigkeiten, Störungen bis hin zu gezielten komplexen Angriffen in der Produktion treffsicher zu erkennen und zielgerichtet zu bekämpfen? Empfehlungen von Frank Melber, Head of Business Development und Experte für die Abwehr gezielter komplexer Angriffe in Industrieunternehmen bei TÜV Rheinland. Bereits heute existieren adäquate und wirksame Methoden und Technologien, um Produktionsanlagen oder industrielle Steuerungssysteme mit Blick auf offensichtliche Angriffsvektoren nachhaltig und sowohl präventiv als auch reaktiv abzusichern. Zugleich gibt es effiziente und intelligente technische Lösungen, die es ermöglichen, Manipulationsversuche zeitnah zu detektieren und zu behandeln. Die gelebte Praxis allerdings sieht anders aus: Vielfach sind in der Produktions-IT nur wenige oder gar keine IT-Security-Maßnahmen umgesetzt. Häufig sind selbst grundlegende Best Practices wie die konsequente Netztrennung und Kontrolle der Netzwerkübergänge nicht realisiert. Grundsätzlich gilt: Um es Hackern zu erschweren, Angriffsvektoren auszunutzen, ist ein strukturiertes und priorisierendes Vorgehen zu empfehlen, sowohl in der Analyse als auch in der Umsetzung. Sicherheitsmaßnahmen sollten basierend auf Notwendigkeit und Wirksamkeit sukzessive eingeführt werden. Wer intern nicht über das erforderliche Know-how verfügt, der sollte sich externe Unterstützung ins Haus holen. Umfassende Ist-Analyse ist wichtig Unternehmen sollten sich zunächst einen Überblick über die gegenwärtige IT-Security-Landschaft in ihrer Organisation verschaffen. Um herauszufinden, ob die aktuelle IT-Schutzstrategie wirksam ist, sind in die Analyse sowohl die klassische Office-IT als auch die Produktions-IT sowie alle bereits ergriffenen technischen wie organisatorischen Maßnahmen einzubeziehen.
46
IT-SICHERHEIT [5/2015]
Um in einem nächsten Schritt die für Industrieanlagen relevanten Angriffsvektoren zu bewerten, muss Klarheit darüber herrschen, 1. welche Schnittstellen es gibt, 2. aus welchen Netzbereichen heraus ein Zugriff auf die Anlagen möglich ist und 3. wie diese Schnittstellen abgesichert sind. Die nachfolgend aufgeführten Beispiele sind nur ein kleiner Ausschnitt möglicher Angriffsvektoren, die Liste erhebt keinen Anspruch auf Vollständigkeit. Mangelnde Netztrennung: Zu den häufig anzutreffenden „offenen Flanken“, die Cyberkriminelle ausnutzen, gehört unter anderem die mangelnde Netztrennung. Sind in einem Unternehmen die klassischen OfficeIT-Netzwerke und die Produktionsnetze nicht konsequent voneinander getrennt, haben Angreifer gleich eine Reihe von Optionen, nicht oder kaum geschützte Produktionsanlagen zu beeinflussen. Dies reicht von der (sporadischen) Störung der Systeme bis zur gezielten persistenten Manipulation der Anlagen. Sind Office-IT und Produktions-IT bereits getrennt, ist zu prüfen, über welche technischen Maßnahmen die Netzwerktrennung erfolgt ist. Eine klassische „Port Firewall“ ist je nach Angriffsvektor möglicherweise nicht ausreichend. Remotezugänge: Zum Zweck der Diagnose und Wartung durch System-Hersteller oder Anlagenbetreiber sind Produktionssysteme vielfach per Remotezugang direkt oder indirekt über das Internet erreichbar.
Über solch klassische IT-Systeme steigt das Risiko einer Manipulation. Bei der Fernwartung kommt noch erschwerend hinzu, dass der Zugriff auf die Produktionssysteme vielfach von einem System aus erfolgt, das nicht die eigene Organisation kontrolliert, sondern der Anlagenhersteller oder -betreiber. Dieser pflegt unter Umständen weniger strenge Sicherheitsvorgaben als die eigene Organisation. Das kann Sicherheits- und Compliance-relevante Implikationen beinhalten und problematisch sein. Physikalischer Zugriff: Wartung und Diagnose erfolgen oft auch per physikalischen Zugriff – vielfach ebenfalls über ein klassisches System wie einen PC oder ein Notebook. Ist dieses System nicht entsprechend abgesichert, kann Schadsoftware über dieses System auf die PLCs (Programmable Logic Controller) gelangen und somit die Produktionssysteme nachhaltig infiltrieren und manipulieren. Stuxnet ist ein Beispiel für eine solche Kompromittierung. Detektion und Absicherung Zur Trennung beziehungsweise Segmentierung der Produktionsnetze von den OfficeIT-Netzwerken sowie zur Kontrolle und Überwachung der Übergänge zwischen den Netzsegmenten wurden in der Vergangenheit primär klassische „Port Firewalls“ eingesetzt. Diese Art der Firewalls sperrt Kommunikation über unerlaubte Ports. Kommunikation über legitime Ports wird erfahrungsgemäß uneingeschränkt zugelassen und nicht weiter analysiert. Welche Protokolle tatsächlich eingesetzt werden und ob die Kommunikation damit konform ist, ist in der Regel nicht transparent. Das bedeutet: Eine klassische Port Firewall funktioniert wie eine Tür. Ist diese Tür offen, kann jeder die dahinterliegenden Räumlichkeiten betreten. Ob diese Person dazu berechtigt ist beziehungsweise das korrekte Kommunikationsprotokoll nutzt oder ob es sich um einen Angreifer handelt – eine solche Prüfung erfolgt in diesem Falle nicht. Bei klassischen Port Firewalls kann man deshalb nur von einem eingeschränkten Schutz sprechen.
CYBERCRIME
Zur Absicherung von Produktionsanlagen haben sich inzwischen sogenannte Next Generation Firewalls (NGFW), wie sie ebenfalls zur Kontrolle des Internetzugangs eingesetzt werden, etabliert. Damit ist auch eine protokoll- beziehungsweise applikationsspezifische Absicherung zu erreichen. So ist es zum Beispiel möglich, ein IEC-104-Protokoll unabhängig vom genutzten Port zu erkennen und für eine entsprechende Quelle-Ziel-Kommunikation zu erlauben oder zu sperren. Der bei einer klassischen Port Firewall verbleibende Angriffsvektor lässt sich damit signifikant einschränken, die Kommunikation deutlich granularer kontrollieren und die Sicherheit so erheblich steigern, denn die „Tür“ hat einen entsprechend geschulten Wächter. 2-Faktor-Authentisierung – wirksam gegen automatisierte unbefugte Zugriffe Basis für den Remotezugang zu Produktionsanlagen ist meist eine VPN-Einwahl, die den einwählenden Absender in ein virtuelles oder physikalisch getrenntes Netzwerksegment routet. Aus diesem Netzwerksegment ist dann der Zugriff auf die Steuerungssysteme pauschal oder in eingeschränkter Form möglich. Für die Absicherung dieses Zugriffs gibt es eine Reihe präventiver wie reaktiver Optionen, darunter die konsequente 2-Faktor-Authentisierung. Damit ist ein automatischer unbefugter Zugriff weitestgehend auszuschließen. Selbst wenn Schadsoftware Zugangsdaten zu den Produktionssystemen über einen Keylogger mitprotokolliert, ist ein tatsächlicher manipulativer System-Zugriff ausschließlich dann möglich, wenn der zweite erforderliche Faktor – etwa ein OTP (One Time Password) basierend auf einem Hard- oder Software-Token oder einer SMS – verfügbar ist. Eine weitere Option zur Absicherung ist die manuelle Freigabe von Remoteverbindungen, die jeweils fallspezifisch erfolgt, zum Beispiel durch das Personal der Produktions-IT. Die Erfahrung zeigt jedoch, dass
solche vergleichsweise aufwändigen Verfahren nicht von langer Dauer sind und deshalb nicht die gewünschte Nachhaltigkeit haben. Allerdings: Unbemerkte und unbeabsichtigte Manipulationen der Produktionssysteme sind auch bei diesen beiden Verfahren nicht völlig auszuschließen, da sie nicht verhindern können, dass Schadsoftware etwa von unkontrollierten Dienstleistersystemen auf die Produktionssysteme gelangt. Um diesen Angriffsvektor zumindest reaktiv und forensisch nachvollziehbar abzusichern, ist es ratsam, den Zugriff auf die Steuerungssysteme der Produktionsanlagen ausschließlich über ein RDP (Remote Desktop Protocol)/SSH- beziehungsweise Remote-Administrations-Protokoll zu erlauben und diese administrativen Sessions über eine technische Lösung aufzuzeichnen. Damit ist zumindest hinterher transparent nachvollziehbar, wer die Störung bewusst oder unbewusst mit welchem Gerät wann und wie herbeigeführt hat. So ist nicht nur die Art der Manipulation zu ermitteln, sondern die Session gibt auch Aufschluss darüber, wie die Manipulation rückgängig zu machen ist. Erkennen von Anomalien Die 2-Faktor-Authentisierung und die fallspezifische Freigabe von Remoteverbindungen sind freilich keine geeigneten AbwehrLösungen für Manipulationen über physikalische Zugriffe auf die Produktionsanlagen. Auch wenn dieser Angriffsvektor in der Praxis seltener genutzt wird als die klassischen Einfallswege über die Office-IT, ist es sinnvoll, für diesen Bereich IT-Security-Maßnahmen in Erwägung zu ziehen. Nicht zuletzt deshalb, weil die im Folgenden beschriebenen Methoden zusätzlich die Detektion von Anomalien über die klassischen Kompromittierungsketten erlauben.
1. SIEM-Lösungen (Security Information and Event Management): Analog zu konventionellen IT-Systemen wie Firewalls oder Proxies lassen sich auch die Log-Daten von Produktionssystemen in SIEM-Lösungen sammeln, aufbereiten und korrelieren. In der Produktions-IT sind Logmeldungen solcher Systeme sogar homogener und einfacher zu korrelieren als Daten aus Office-ITNetzwerken, weil sich Produktionssysteme mehrheitlich deterministisch und zyklisch verhalten. Basierend auf den korrelierten Logmeldungen der Einzelsysteme ist es vergleichsweise einfach, Anomalien im Verhalten der Anlagen zu erkennen. 2. Network Traffic Baselining: Als ein weiterer, vielversprechender Ansatz zur Detektion von Anomalien hat sich das sogenannte Network Traffic & Command Baselining erwiesen. An zentralen Knotenpunkten der Produktionsnetze werden Sensorkomponenten platziert, die den Netzwerkverkehr der Produktionssysteme an zentrale Korrelatoren ausleiten und ein entsprechendes Baselining (Basisverhaltensmuster) herstellen. Das bedeutet, der Korrelator „erlernt“ das „normale“ Verhalten und die Interaktion der Produktionskomponenten. Erkennt er entsprechende Abweichungen von der Norm, gibt er einen Alarm aus, der geschultem Produktions- beziehungsweise IT-Personal die Möglichkeit gibt, den Sicherheitsvorfall zu qualifizieren und ihn – falls sich der Verdacht eines Manipulationsversuchs erhärtet – entsprechend zu bearbeiten. Wichtig ist, dass diese Systeme in der Lage sein sollten, den generierten Netzwerkverkehr bis auf die konkreten Steuerungskommandos der Systeme zu analysieren und in einen entsprechenden Kontext zu setzen. ■
Für die fokussierte, aktive Überwachung von Produktionsanlagen haben sich mindestens zwei Kategorien technischer Lösungen als sinnvoll bewährt:
Für Abonnenten ist dieser Artikel auch digital auf www.datakontext.com verfügbar Weitere Artikel/News zum Schwerpunkt unter www.datakontext.com/cybercrime
FRANK MELBER, TÜV Rheinland i-sec
[email protected]
IT-SICHERHEIT [5/2015]
47