Claroty-Studie zeigt Schwachstellen auf: Industrieanlagen und KRITIS verstärkt durch Fernzugriffe angreifbar

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 434

ICS ist die Abkürzung für Industrial Control System, was zu Deutsch ein industrielles Kontrollsystem ist. Diese Steuerungen existieren bereits seit vielen Jahrzehnten. Es gibt verschiedene Kategorien von industriellen Kontrollsystemen. Besonders bekannt sind die speicherprogrammierbaren Steuerungen (SPS). Weitere Formen sind verteilte Steuerungssysteme (DCS) und Supervisory Control and Data Acquisition (SCADA)-Systeme. Die Aufgabe eines ICS ist es, Abläufe von wiederkehrenden Aufgaben für Maschinen zu speichern. Die Befehle sind im lokalen Speicher abgelegt und Teil dieses geschlossenen Systems. Zum Einsatz kommen industrielle Kontrollsysteme wie SPS oder SCADA vor allem in der automatisierten industriellen Fertigung. Auch KRITIS wie Kraftwerke, öl- und gasverarbeitende Betriebe oder die chemische Industrie setzen diese Systeme ein.

Die Entwicklung von ICS im Industrial Sector: von geschlossenen Systemen zu IIoT

ICS hat seine Ursprünge Industrial Sector. Die Industrie benötigte für die Automatisierung Systeme, die einfache und auch komplexere Aufgaben steuern. Ein gutes Beispiel sind Roboter in der Automobilindustrie. Bei der Montage von Fahrzeugkomponenten führen diese eine Reihe von Aufgaben durch, die immer wiederkehren. Dies kann beispielsweise eine dreistufige Montage eines Steckteils sein. Der Roboter greift ein Bauteil, schwenkt es zum Montageband und setzt es an der programmierten Stelle ein.

SPS und ähnliche industrielle Kontrollsysteme spielen ihre Stärke aus, wenn der Industrial Sector die Anforderungen an diese Abläufe anpasst. Dies ist zum Beispiel der Fall, wenn das Fahrzeugmodell aktualisiert wird oder wenn das Bauteil an einer anderen Stelle benötigt wird. Durch eine Aktualisierung der Speichersteuerung ist eine schnelle Anpassung der Programmierung möglich. So sind diese Systeme flexibel und übernehmen die Steuerung der Prozessautomatisierung. Die klassischen industriellen Kontrollsysteme wie SPS basieren auf einer eigenen proprietären Plattform. Sie verfügen über eine eigene Kommunikationsinfrastruktur. Ein Anschluss an das Internet ist nicht vorhanden, da entsprechende Schnittstellen fehlen.

Im Zuge von Industrie 4.0 findet nun eine vermehrte Vernetzung aller Bereiche der Industrie statt. Dies betrifft auch die industriellen Kontrollsysteme wie SPS und SCADA. Hier haben sich schnell Brückenlösungen etabliert, die als Schnittstelle zwischen den ICS und dem Netzwerk beziehungsweise dem Internet dienen. Auf diese Weise ist mit einfachen Mitteln eine Integration von Technik, die nicht mit IT-Netzwerken kompatibel ist, in eben diese Strukturen möglich. Dies wird allgemein als Vorteil und Weiterentwicklung betrachtet. So ist eine Überwachung, Steuerung und Anpassung von mit SPS oder SCADA automatisierten Bereichen nun remote über das Internet möglich. Verbundene Sensoren senden laufend aktuelle Daten und ein Zugriff auf die Speicherungen ist über das Internet möglich.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

ICS-Schwachstellen sind Herausforderungen für die IT Security

Die grundlegende Problematik ist, dass ICS niemals dafür konzipiert wurde, in einem öffentlichen Netzwerk zu arbeiten. Durch die Integration in die Netzwerkstrukturen ist jedoch genau dies eingetreten. Aus diesem Grund verfügen die Systeme über keine eigene IT Security und keine Sicherheitskultur. In vielen Szenarien sind diese ICS-Komponenten in die Netzwerkstrukturen integriert, ohne dass sich jemand um diese Schwachstellen oder allgemein die IT-Sicherheit gekümmert hat.

Welche Auswirkungen dies in der Praxis hat, ist bereits mehrfach deutlich geworden: Beispielsweise im Iran im Herbst des Jahres 2010. Die Regierung gab damals bekannt, dass rund 30.000 Rechner im Land von einem Virus namens Stuxnet befallen sind. Bei Stuxnet handelt es sich um eine Sabotagesoftware, die gezielt S7-Anlagen von Siemens attackiert. SIMATIC S7 ist eine speicherprogrammierbare Steuerung, gehört also zur Klasse der ICS. Der Iran nutzte SIMATIC S7 unter anderem im Atomkraftwerk von Buschehr sowie für die Steuerung von Zentrifugen in der Urananreicherung. Über eine Software zur Steuerung der SIMATIC S7 bestand eine Netzwerkverbindung zu dem SPS. Auf diesen Weg infizierte Stuxnet die Systeme in den Atomanlagen des Iran. Dort manipulierte der Virus, entweder automatisch oder ferngesteuert von einem Hacker über einen Command&Control Server, die Geschwindigkeit der Zentrifugen. Außerdem war die Schadsoftware in der Lage, die Eingriffe in die Steuerung zu kaschieren. Dies sorgte für einen Ausfall beziehungsweise sogar die Zerstörung der Zentrifugen. Im Atomkraftwerk von Buschehr erlitt eine Reaktorkühlpumpe einen Schaden. Der Reaktor fiel durch diese Beschädigung eine Zeit lang aus.

Auch im Falle der Cyberattacke auf die Colonial Pipeline im Mai 2021 stand ICS aus dem Industrial Sector im Mittelpunkt. Das Ziel der Attacke waren computergestützte Geräte, wobei Colonial Pipeline keine genau Auskunft über die Art des Systems veröffentlichte. 45 Prozent der Treibstoffversorgung der gesamten Ostküste der USA war von einer auf die anderen Minute unterbrochen. Bereits innerhalb von wenigen Tagen kam es zu Hamsterkäufen, Treibstoffknappheit an Tankstellen und einer Preisexplosion.

Diese Beispiele machen zwei Punkte deutlich: Zum einen, wie anfällig solche Systeme durch diese ICS-Schwachstellen sind. Zum anderen, welche Schäden im Industrial Sector bei Angriffen entstehen. Damit ist die Gesamtsituation jedoch noch längst nicht komplett dargestellt. ICS übernehmen in vielen Situationen kritische Aufgaben. Das Beispiel aus dem iranischen Atomkraftwerk verdeutlicht auch hier die Gefahr der ICS-Schwachstellen. Anhand von Sensordaten steuert die Siemens SPS die Pumpenleistung des Atomkraftwerks. Ähnliche Funktionen übernehmen speicherprogrammierbare Steuerungen in Stromkraftwerken überall auf der Welt. Diese Pumpen sind zentrale Bauteile für den Betrieb und die Sicherheit der Anlage. Außerdem ist eine Abschaltung oder Trennung nicht direkt möglich. Ohne die automatische Steuerung und die Sensordaten, die das System liefert, ist eine Steuerung der Pumpen nicht mehr gewährleistet. Ein Atomkraftwerk beispielsweise benötigt jedoch selbst nach einer Notabschaltung ein funktionierendes Kühlsystem, um die Restwärme abzuführen. Auch hierfür wird die SPS benötigt. Ein Angriff auf solche Schwachstellen resultiert somit in der Abschaltung des Kraftwerks. Im schlimmsten Fall führt dies sogar zu einer Havarie mit entsprechenden Folgen für Mensch und Umwelt.

Bei genauerer Betrachtung dieser Schwachstellen und ihrer möglichen Auswirkungen ist es somit schon als fahrlässig zu bezeichnen, dass die ICS-Schwachstellen und Industrial Security bei vielen Unternehmen und KRITIS nicht ganz oben auf der Agenda stehen.

ICS übernehmen in vielen Situationen kritische Aufgaben. Das Beispiel aus dem iranischen Atomkraftwerk verdeutlicht die Gefahr der ICS-Schwachstellen.

Studie von Claroty deckt Schwachstellen in der Industrial Security auf

Im August 2021 veröffentlichte Claroty, ein Unternehmen, das sich auf Industrial Security spezialisiert hat, den ICS Risk & Vulnerability Report zu ICS-Schwachstellen. Aus dieser halbjährlich erscheinenden Studie geht hervor, dass die Zahl der gemeldeten Schwachstellen in 2021 um 41 Prozent zugenommen hat.

So sind inzwischen 600 ICS-Schwachstellen bekannt. Viel gravierender ist hingegen, dass 71 Prozent der Schwachstellen als hoch oder kritisch eingestuft sind. Ganze 90 Prozent dieser Schwachstellen besitzen eine geringe Angriffskomplexität, sind also sehr leicht auszunutzen. Für die Ausnutzung von 74 Prozent der Sicherheitslücken sind keinerlei Berechtigungen notwendig, ein Zugriff ist also ohne Autorisierung möglich. Hinzu kommt, dass 61 Prozent der ICS-Schwachstellen per Fernzugriff erreichbar sind. Diese Faktoren erhöhen die Gefahren für den Industrial Sector nochmals.

Ebenfalls besorgniserregend ist, dass externe Quellen 81 Prozent der ICS-Schwachstellen entdecken. Für die Hersteller dieser ICS hat das Thema IT Security anscheinend keine hohe Priorität oder es fehlt das Know-how, die Schwachstellen zu identifizieren. Claroty warnt in seiner Studie abschließend vor den unkontrollierbaren Gefahren für den Industrial Sector, die aktuell durch die Einbindung von ICS in die Cloud entstehen.

Handlungsbedarf für die Industrial Security – so lassen sich Schwachstellen in ICS schließen

Für die IT Security ist spätestens durch die breite Einführung von IIoT und Industrie 4.0 der Zeitpunkt gekommen, die Sicherheit von ICS zu überprüfen und zu verbessern. Industrial Security ist ein Thema für sich und erfordert eine ganz andere Herangehensweise als in der regulären IT.

Aus diesem Grund hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein ICS Security Kompendium herausgegeben. In diesem Kompendium sind die zentralen Bedrohungsszenarien für den Industrial Sector zusammengefasst. Ebenfalls findet sich eine Sammlung von Best Practices, wie sich solche Systeme sichern lassen und was es bereits bei der Planung zu berücksichtigen gibt.

Zunächst ist es erforderlich, die Verwaltung der digitalen Sicherheit zu zentralisieren. Somit ist die eigene IT-Sicherheitsabteilung zukünftig auch für Industrial Security zuständig. Klassisch gehören SPS und ähnliche Systeme nämlich nicht zum Aufgabenbereich der IT Security. Auf diese Weise lassen sich einheitliche Standards etablieren. Mit Identitäts- und Zugangs-Management Policies ist eine Kontrolle der Zugriffe auf SPS-Systeme auf Netzwerkebene möglich. Eine weitere Möglichkeit zur Absicherung von ICS ist die Einrichtung von unterschiedlichen Netzwerkzonen. Die IT Security bündelt dann IoT- und IC-Systeme in diesen geschützten Bereichen. In diesem Netzwerk gelten dann Basisberechtigungen. Über eine Übersichtsliste erstellt die IT Security eine Topografie aller ICS im Unternehmensbereich. Auf diese Weise ist es möglich, alle ICS zu erfassen und in diese geschützten Netzwerkzonen einzugliedern. Durch Netzwerkzugangskontrollen mit einer separaten Authentifizierung lassen sich die Zugriffe protokollieren. Außerdem sind Gruppenrichtlinien, Policies und Risikoprofile für diese industriellen Kontrollsysteme sinnvoll.

Ebenfalls ist ein Schutz vor physikalischen Zugriffen notwendig. Endpoint Security ist hier das Stichwort. Dies betrifft neben den IoT-Geräten und der ICS-Infrastruktur auch Switches, Router und vor allem die drahtlosen Netzwerke. Nicht verwendete Ports sind zu deaktivieren, was temporäre Verbindungen mit einem tragbaren Gerät wie einem Laptop verhindert. Die optimale Lösung ist es, die ICS-Netzwerke komplett von den kabellosen Netzwerken zu isolieren, so dass ausschließlich kabelgebundene Verbindungen diese Daten übertragen. Auf diese Weise lassen sich unbemerkte Zugriffe über die Netzwerkstrukturen effektiv verhindern.

Fazit

Industrial Security ist ein höchst relevanter Themenbereich innerhalb der IT Security, für den jedoch in vielen Unternehmen noch immer akuter Nachholbedarf besteht. Beispiele aus der Praxis zeigen, welch verheerenden Auswirkungen gezielte Angriffe auf ICS-Schwachstellen haben. Dies bedroht nicht nur den Industrial Sector, sondern auch kritische Infrastrukturen wie den Energiesektor oder die Wasserversorgung. Die IT Security dieser Einrichtungen hat die Aufgabe, schnellstmöglich bedrohte Systeme zu identifizieren und individuelle Lösungen zu implementieren, die die Industrial Security im Bereich ICS garantieren. Ansonsten drohen Angriffe auf kritische Infrastrukturen mit weitreichenden Auswirkungen für die gesamte Bevölkerung, wie zuletzt in den USA bei der Cyberattacke auf die Colonial Pipeline zu beobachten war.

Kennen Sie die Schwachstellen in Ihrer Industrial Security? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück