English

Ungute Konvergenz von IT und OT

von VPNHaus | 26.07.2018 |Cybercrime, Cybersecurity Strategy, Internet of Things

Information Technology (IT) und die Operational Technology (OT), also alles, was in industriellen Umgebungen Maschinen vernetzt, steuert und auswertet, wachsen seit einiger Zeit zusammen. Immer mehr Industriegeräte besitzen eine oder mehrere Netzwerkschnittstellen, die klassisches Internet Protocol verstehen und am LAN des Unternehmens angeschlossen sind. Nachdem die Automatisierungstechnik lange mit proprietären Protokollen und Medien nahezu unerreichbar für die IT-sprechende Außenwelt war, sorgt die plötzliche Kommunikationsbereitschaft für Probleme. Häufig wurden die Geräte an den üblichen IT-Sicherheitsmaßnahmen vorbei mit dem Netz verbunden und bildeten so einen gefährlichen, weil von außen erreichbaren Brückenkopf im Unternehmen.

Mittlerweile holt die Industrie vielerorts das Versäumte nach, nicht zuletzt, weil Vorfälle wie Stuxnet (Iran, 2010), Industroyer (Ukraine, 2016) und Triton (Naher Osten, 2017) zeigen, wie drastisch die Auswirkungen für die Betreiber sein können, wenn sich Angreifer der physischen Aktoren bemächtigen. Während beim Vorfall in der Ukraine tatsächlich ein Teil der Hauptstadt im Winter eine Stunde ohne Strom dastand, wurde Triton rechtzeitig entdeckt. Allerdings hätten auch hier die Folgen massiv sein können. Triton zielt auf die Triconex Sicherheits-Controller von Schneider Electric ab. Sicherheit bedeutet in dem Zusammenhang „funktionale Safety“, also alles, was Gefahren für Leib und Leben oder generell die physische Ebene unterbindet. Mit Triton versuchten die Angreifer, vermutlich ein staatlich unterstützter Akteur, mehrere Triconex-Geräte zu übernehmen, so dass sie deren Funktionen nach Belieben kontrollieren konnten.

Auch wenn die laufende Infiltration aufgedeckt wurde, saß der Schock tief. Es stellt einen Unterschied im Bedrohungslevel dar, wenn keine PCs außer Gefecht gesetzt werden, sondern Sicherheitsventile nicht mehr schließen und Explosionen zu Verletzungen, Todesfällen und physisch zerstörten Anlagen führen. Auch wenn es zurzeit keinen konkreten Bedrohungshinweis des BSI gibt, scheint der Angriffsvektor über Triconex und das proprietäre TriStation-Protokoll nach wie vor relevant zu sein. Darum hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Satz an Snort-Regeln veröffentlicht, mit denen Hackerangriffe auf Safety Instrumented Systems (SIS) von Schneider Electrics schneller erkannt werden können.

Das BSI will die Snort-Regeln, an deren Entwicklung unter anderem der Sicherheitssoftwarehersteller FireEye und das National Cybersecurity and Communications Integration Center (NCCIC) beteiligt waren, als "zusätzliche Schicht einer Defense-in-Depth-Strategie" verstanden wissen. Die Regeln analysieren Netzwerkpakete und lösen bei bestimmten Vorgaben einen Alarm aus. Das passiert, wenn gültige Pakete zu unautorisierten Maschinen gesendet werden oder von unautorisierten Maschinen kommen. Auch besonders viele gesendete Pakete oder Pakete in hoher Frequenz triggern den Alarm. Weitere verdächtige Aktivitäten werden mitgeloggt, um etwa im Kontext eines Security Information and Event Management (SIEM) Systems mögliche Einbruchsspuren zu erkennen.

Die Regeln stehen – zusammen mit näheren Details zur Erkennungsmethodik der Netzwerkpakete – im "Tools"-Bereich der BSI-Internetpräsenz zum Download bereit. Wer Snort bislang noch nicht einsetzt, sollte zumindest über eine lokale Installation nachdenken. Snort ist ein freies Network Intrusion Detection System (NIDS) und ein Network Intrusion Prevention System (NIPS). Es kann zum Protokollieren von IP-Paketen genauso wie zur Analyse von Datenverkehr in IP-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren.

Erst vor knapp zwei Wochen hatte das BSI in einer Pressemeldung von Hackerangriffen auf deutsche Energieversorger berichtet. Die Einbrecher hatten es geschafft, in die Büronetzwerke der Betreiber einzubrechen, zum Glück waren (vermutlich) keine Produktions- und Steuerungssysteme betroffen. Dennoch: BSI-Präsident Schönbohm betont immer wieder, dass Deutschland "mehr denn je im Fokus von Cyber-Angriffen" stehe.

Die alte Regel von „Es muss erst etwas passieren“ scheint also nach wie vor zu gelten. Wenn es Berichte über Vorfälle gibt, handeln sowohl die Firmen als auch die Regulierer und Fachgremien. Besser spät als nie, könnte man sagen und bisher ist alles (weitgehend) gut gegangen. Hoffen wir, dass die nächste Schwachstelle in einem industriellen Steuerungssystem ebenfalls entdeckt wird, bevor die Angreifer den roten Knopf drücken.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK