Schwachstellen in ICS-Netzen

Typische Schwachstellen in ICS-Netzen

Die Frage „Wie sicher ist eigentlich mein Produktionsnetz?“ ist sowohl naheliegend als auch spannend. Deshalb haben in der Vergangenheit viele Unternehmen, die eine Antwort auf diese Frage suchen, sowohl organisatorische als auch technische Analysen bei secunet in Auftrag gegeben. Im Folgenden haben wir die spannendsten Ergebnisse zusammengefasst:

Eine wichtige Prämisse bei der Betrachtung von Produktionsnetzen ist, dass es einem Angreifer häufig egal ist, ob er auf eine Office-Umgebung trifft oder auf ein Produktionsnetz. Die Systeme sind anders, es werden andere Protokolle genutzt, aber letztendlich sind Human Machine Interfaces (HMI) oder Industry Control Systems (ICS) auch nur (sehr spezialisierte) Computer.

Eine Herausforderung in Industrienetzen ist die sehr lange Betriebszeit der Maschinen. 30 Jahre sind hier keine Seltenheit. Die Betriebssysteme, die mit dem Aufstellen der Maschine aktuell waren, sind zumeist schon nach wenigen Jahren so stark veraltet, dass keine Updates mehr bereitgestellt werden. Das hier tickende Zeitbomben existieren ist offenkundig.

Entsprechend wenig verwunderlich ist es, dass auf ICS-Geräten Standard-Services wie HTTP und FTP unverschlüsselt genutzt werden. Auch die hinlänglich unsichere SMBv1 Variante wird immer wieder für den Datenaustausch genutzt. Und das obwohl sichere Alternativen verfügbar sind.

Bei der Analyse von HMI-Systemen, die häufig auf abgespeckten Windows Versionen betrieben werden, finden unsere Penetration-Tester immer wieder stark veraltete Betriebssysteme. Gerade Windows XP wird hier noch regelmäßig eingesetzt. Ein weitläufig bekannter Windows XP-Bug erlaubt es einem Angreifer, direkt administrativen Zugriff auf das System zu erlangen. Wenn dann das betroffene HMI sich auch noch beim Hochfahren automatisch mit einem Domänenkonto (häufig mit einem Domänen-Administrator) anmeldet, dann ist der Penetration-Test quasi vorbei, bevor er begonnen hat, da Autologin-Daten im Klartext in der Registry gespeichert sind.

Betrachtet man die Software von Leitwarten, so arbeiten auch hier viele Benutzer mit den Berechtigungen eines Administrators (wenn nicht eines Domänen-Administrators). Dies ist teilweise den genutzten Anwendungen geschuldet, die besondere Berechtigungen benötigen (von der zu deaktivierenden UAC (User-Access-Control) einmal ganz abgesehen). Teilweise ist es einfach auch bequemer. Eine Härtung der Systeme, auf denen die Anwendungen laufen, erfolgt nur in seltenen Fällen. Regelmäßige Updates und insbesondere Updates, die aus reinen Cybersecurity-Aspekten erforderlich wären, werden häufig nicht durchgeführt. Erst in den letzten Jahren rücken Anforderungen an die Informationssicherheit überhaupt in das Blickfeld der Hersteller und Lieferanten – vor allem durch die Betreiber gefordert. Diese zählen häufig zu der sogenannten „Kritischen Infrastruktur“ und unterliegen somit den Anforderungen von Seiten der Gesetzgeber und Regulierer (z. B. EnWG, BSI-Gesetz, BSI-KritisV, IT-Sicherheitskataloge, B3S). 

Die Hersteller und Lieferanten solcher (Leit-) Systeme sind prozessual und technisch häufig allerdings noch nicht gut auf die Umsetzung der Anforderungen eingestellt. Die Anforderungen zu erfüllen erfordert häufig tiefe Eingriffe in Design, Entwicklung und Wartung der Systeme, neue oder tiefgreifend geänderte Prozesse und zuletzt auch eine Änderung der Kultur, Cyber-Security zu denken. Auch die Fahrweise von Anlagen bzw. die Wartungsabläufe sind anzupassen oder geschickt zu nutzen.

Tritt man bei der Betrachtung eines ICS-Netzen einen Schritt zurück und schaut sich die Struktur der Netze an, so fällt ebenso regelmäßig auf, dass weder eine Abschottung von Systemen bzw. von Systembereichen unter einander noch eine Kontrolle der Kommunikation und Kommunikationsübergange etabliert ist. Ein Angreifer, der es geschafft hat, ein System zu übernehmen kann in Folge häufig leicht weitere Systeme angreifen und sich so im Netzwerk „ausbreiten“ (sog. Lateral Movement). Szenarien, die Angriffe von der Feldebene über die Prozessankopplung in Richtung der SCADA-Systeme betrachten, sind nicht nur eine theoretische Überlegung. Bei den wie oben beschrieben häufig schlecht gesicherten Systemen, kann damit bspw. der Einbruch in eine Pumpenstation bei einem Betreiber von Wassernetzen schnell die Sicherheit seines kompletten OT-Netzes gefährden. Auch die Kopplung von Produktionsnetzen und der klassischen Büro-IT stellen häufig ein Gefahrenpotential dar.

Um diese generell gefährliche Gemengelage zu entspannen, ist die offenkundige und in Office-Netzen breit angewendete Lösung, die IT-Systeme zu patchen und zu härten, in OT-Netzen in den meisten Fällen nicht anwendbar. Als probates Mittel hat sich hier die Etablierung einer zusätzlichen Sicherheitsschicht bewährt, die zumindest auf der ICS- und HMI-Seite die potenziell unsicheren Dienste gegenüber unberechtigten Zugriffen kapselt und nach Möglichkeit die Protokolle sogar umsetzt. Damit werden die Lücken auf die Verbindung zwischen einem ICS/HMI zur Sicherheitsschicht reduziert, die maximal kurz ist, wenn die Sicherungsschicht direkt an das ICS/HMI angeschlossen wird.

Digitalisierungsvorhaben bedingen eine immer dichter werdende Kopplung der Welten und einen zunehmenden Bedarf an Datenaustausch. Geschäftsanforderungen müssen häufig schnell umgesetzt werden, für Sicherheit bleibt da keine Zeit. Projektleiter erhalten häufig kein direktes Mandat, Sicherheitsziele umzusetzen. Die Funktion steht im Vordergrund. Dabei sind die Methoden und Maßnahmen, solche Probleme in den Griff zu bekommen, Teil des Projektmanagement. Gelebtes Risikomanagement schafft Transparenz und ermöglicht die bewusste Steuerung der Risiken. Awareness-Maßnahmen helfen das nötige Bewusstsein im Unternehmen zu verankern und regelmäßige technische Analysen ermöglichen die Wirksamkeitskontrolle und technische Systeme helfen die Anforderungen in den Griff zu bekommen und Prozesse effizient zu gestalten.