.jpg)
Ein aktuelles Strategiepapier des Bundesamtes für Sicherheit in der Informationstechnik (BSI) thematisiert die Cyber-Sicherheitslage von Betreibern industrieller Steuerungsanlagen. In einer dreiteiligen Serie aus Blogbeitragen stellen wir die BSI-Analyse vor, benennen mögliche Bedrohungsszenarien und empfohlene Gegenmaßnahmen (Teil 1 hier nachlesen).
Sicherheit und Vernetzung
In der Fabrik der Zukunft setzen maschinelle Produktionsanlagen auf eine sehr hohe Vernetzung integrierter Systeme. Vielfältige Kommunikationsverbindungen zwischen Steuerungsrechnern und Cloud-Systemen bis hin zur Anbindung webbasierter Fernwartung stellen auch die Sicherheit auf eine neue Grundlage. Gerade in ICS-Installationen (ICS, Industrial Control Systems) sind externe Zugänge für Wartungszwecke häufig genutzte Zugriffspunkte für Administratoren und Service-Techniker.
Beim Remote Access Management steht die unmittelbare Produktivität häufig über datenschutzrechtlichen Erwägungen. Wurden in der Vergangenheit noch dedizierte Punkt-zu-Punkt-Verbindungen genutzt, ist jetzt der Zugriff auf Maschinen über das Internet gängiger Standard. Im Rahmen einer eng verzahnten Wertschöpfungskette sind so mittlerweile ganze Fertigungsstraßen in externe Unternehmensnetze von Zulieferern integriert. Für Wartungszwecke bieten sie über das Internet Fernzugriffsmöglichkeiten auf Roboter, Maschinen und Diagnosesysteme.
Externer Zugriff — aber sicher
Vernetzte Systeme lassen sich indes über das Internet hacken, wenn die IT-Abteilung nicht die Standardpasswörter für den Default-Zugang aktualisiert und starke Kennwörter eingerichtet hat. Problematisch ist auch, dass die externen Zugänge oft mittels Virtual Private Networks (VPN) angebunden sind, die in punkto Erreichbarkeit weiterer Systeme wenige Beschränkungen kennen. Über einen Wartungszugang für ein bestimmtes System sind dann womöglich zusätzliche IT-Systeme einsehbar, erreichbar und konfigurierbar. In flachen Netzwerkhierarchien können mangelnde Authentisierung und Autorisierung schwerwiegende Sicherheitsfolgen nach sich ziehen.
Auf zu Wartungszwecken genutzte Zugänge drohen Web-spezifische Angriffe, falls Administrationsarbeiten nicht kontrolliert und autorisiert werden. Durch Ausnutzen von Sicherheitslücken lässt sich beispielsweise Schadsoftware einschleusen, oder aber Computersysteme werden per Cross-Site-Request-Forgery attackiert. Ebenfalls denkbar ist, dass Tokens heimlich aufgezeichnet und für weiterführende Folgeattacken wiederverwendet werden. Und nicht zuletzt birgt jede Verbindung nach außen die Gefahr in sich, dass rein mit Passwort geschützte Wartungszugänge durch Direktangriff mittels Brute Force kompromittiert werden.
Bedrohung für kritische Infrastrukturen
Auch indirekte Angriffe über die IT-Systeme eines Dienstleisters hält das BSI in seiner Sicherheitsanalyse für realistisch. Ohne zusätzliche Sicherungsmaßnahmen ist demnach ein externer Zugang, der im Rahmen von Service-Verträgen geschaffen wurde, anfällig für unterschiedliche Angriffsversuche. Hacker könnten den Direktzugang auf dem externen Wartungsrechner ausnutzen und Trojaner installieren. Der Diebstahl von Passwörtern, Zertifikaten oder sonstigen Tokens ist natürlich auch auf Seiten der beauftragten Dienstleister brandgefährlich. Das muss nicht zwangsläufig durch technische Manipulationen und Tricks erfolgen, sondern die begehrten Zugangsdaten lassen sich auch ganz „klassisch“ durch Bestechung oder Erpressung eines Mitarbeiters beschaffen. Die Verwendung gestohlener Notebooks, auf denen eine Software für den externen Zugriff konfiguriert ist, stellt ein weiteres Sicherheitsrisiko dar.
Angesichts der vielfältigen Bedrohungsszenarien verbindet das BSI die Sicherheit industrieller Kontrollsysteme direkt mit der Großgefahrenlage für kritische Infrastrukturen (KRITIS). Schließlich wirken sich erfolgreiche Angriffe gegen Umgebungen für Fabrikautomation und Prozesssteuerung unmittelbar auf alle angrenzenden Netzwerke aus. Noch sind in Deutschland „nur“ Fälle bekannt, bei denen Produktionsausfälle durch IT-Angriffe den ICS-Betreiber selber mit allen wirtschaftlichen Negativfolgen getroffen haben. Andere Länder hatten weniger Fortune: Ende 2015 waren in der Ukraine mehr als 700.000 Haushalte für mehrere Stunden ohne Elektrizität, weil Hacker offenbar die Infrastruktur sabotieren konnten.
Experten befürchten, dass die Sabotage industrieller Steuerungssysteme auch hierzulande den Ausfall einer wichtigen, nachgelagerten KRITIS-Umgebung – wie dem Stromnetz oder einem Transportsystem – verursachen wird. Im dritten Blogbeitrag geht es daher um die Gegenmaßnahmen, die das BSI zur Absicherung von Fernwartungszugängen empfiehlt.