IT-Security, CIO-KongressLSZ Consulting Wien, Big Data Kongress

06.02.2018

Cyberbit GmbH - ICS Sicherheit

 

Cyberbit GmbH

5 Gründe, warum Investitionen in die ICS-Sicherheit hinterherhinken


Heute werden industrielle Steuersysteme (Industrial Control Systems – ICS) für den Betrieb der verschiedensten industriellen Anlagen eingesetzt – von der Produktion über den Transport bis hin zur Wasser- und Stromversorgung. Bei den meisten modernen ICS handelt es sich um hybride Netzwerke aus IT- und operativer Technologie (OT). Doch während der Großteil der IT-Netzwerke durch eine Reihe von fortschrittlichen Security-Tools gut gesichert ist, sind OT-Netzwerke den Gefahren nahezu schutzlos ausgeliefert. In Anbetracht der Tatsache, dass kritische Infrastrukturanlagen immer häufiger Ziel der Angriffe von hoch motivierten nationalstaatlichen Akteuren werden, ist es an der Zeit, sich ein genaues Bild vom Stand der OT-Sicherheit zu machen und wohlüberlegte, strategische Maßnahmen zu ergreifen, um die Sicherheit schnell zu erhöhen.

Viele Experten für Cyber-Security von kritischer Infrastruktur versuchen herauszufinden, warum der OT-Schutz so sehr hinterherhinkt. Aus meiner Erfahrung, die ich in der Leitung von Cyber-Abwehr-Projekten für militärische und öffentliche Versorgungsanlagen in Deutschland und anderen Ländern weltweit sammeln konnte, sind mir fünf entscheidende Faktoren aufgefallen.


5 Gründe, warum Investitionen in die ICS-Security hinterherhinken

  1. Getrennte Abteilungen – IT und OT sind innerhalb des Unternehmens in der Regel getrennte Teams. Diese Teams haben unterschiedliche Ziele und Qualifikationen. Das OT-Personal konzentriert sich auf den operativen Betrieb und verfolgt das Ziel, dass alles reibungslos und zuverlässig funktioniert. Das IT-Personal verfügt über einen eher intuitiven Sinn für Cyber-Security und betrachtet sie als integralen Teil seiner Zielsetzung. Es ist mit den Trends, Methoden und Tools der Cyber-Security bestens vertraut. Die getrennten Teams haben darüber hinaus ihre eigenen Manager und Budgets.

  2. OT-Technologie wird viele Jahre lang eingesetzt – Die meisten IT-Manager aktualisieren Software und Systeme mindestens alle 3-5 Jahre, oft sogar noch häufiger. Die IT-Welt ist stolz auf ihre schnelle Innovation und darauf, mit immer neuen Updates und neuen Produktversionen Schritt zu halten. Die OT-Welt dagegen ist dafür verantwortlich, Computer und Anlagen zu pflegen und zu schützen, die in einigen Fällen bis zu 30 Jahre alt sind. Der Boom für den Bau von ICS-Anlagen fand in den meisten Weltregionen vor 30–40 Jahren statt. Aufgrund der astronomischen Kosten für den Bau von Energie-, Wasser- und Transportinfrastruktur wird diese nicht sehr häufig verbessert oder ersetzt. Neue Technologien werden in die vorhandene Anlage integriert, was zu sehr vielgestaltigen OT-Netzwerken führt, die aus 30 Jahre alten Turbinen, einer 3 Jahre alten SPS-Steuerung, einem letzte Woche aktualisierten Windows- oder Linux-HMI und allem dazwischen bestehen können.

  3. Strenge Regulierung – Die meisten kritischen Infrastrukturanlagen sind entweder staatliches Eigentum und werden vom Staat betrieben oder durch diesen streng reguliert. Diese umfassende Beaufsichtigung schafft ein konservatives Umfeld, das auch die Organisation und ihre Führungskräfte beeinflusst. Das Augenmerk ist auf die Einhaltung und Aufrechterhaltung einheitlicher Standards gerichtet, wodurch Innovation und Wandel sehr schwierig werden können und eher langsam geschehen.

  4. Übermäßiger Konservatismus – OT-Manager sind berechtigterweise davon besessen, dass „alles läuft“. Sie haben eine große Verantwortung zu tragen. Leider geht das mit einer übermäßigen Angst vor Veränderung einher. Aus ihrer Perspektive sollte man die Systeme in Ruhe lassen, wenn alles reibungslos und zuverlässig funktioniert. Sie wollen nicht das Risiko tragen, dass Upgrades, Veränderungen und neue Anlagen und Software neue Probleme und die Gefahr mit sich bringen, dass die Dienste unterbrochen werden. Das Ergebnis dieser „Never change a running System“-Haltung ist, dass Software und Hardware nur selten aktualisiert werden.

  5. Der Air-Gap-Mythos – Es gibt den verbreiteten Mythos, dass OT-Systeme vor Cyber-Gefahren geschützt sind, weil sie nicht direkt mit den Internet-artigen IT-Systemen verbunden sind. Viele IT-Security-Tools sind darauf ausgerichtet, Angreifer von außen am Eindringen in das Netzwerk über Internetverbindungen zu hindern. Da ICS-Systeme jedoch „offline“ betrieben werden, sollten sie ja eigentlich dieser Gefahr nicht ausgesetzt sein. Dieser Air-Gap-Mythos wurde durch die Entdeckung der Stuxnet-Schadsoftware im Jahr 2010 widerlegt, die von der IT-Welt auf die OT-Welt übersprang und in iranischen Nuklearanlagen massive Sachschäden verursachte. Auch wenn das OT-Netzwerk vom Internet entkoppelt ist, gibt es dennoch zahlreiche Möglichkeiten, wie eine Schadsoftware das ICS erreichen kann, vor allem, wenn hoch motivierte und kapitalkräftige nationalstaatliche Akteure beteiligt sind. Dennoch hält sich der Air-Gap-Mythos hartnäckig.

Neuer Feind, neue Verteidigung
Die heute sehr vertraute Welt der Computerhacker wurde weitestgehend von bösartigen Computerverrückten entwickelt, die vom Wunsch getrieben wurden, möglichst viel Schaden anzurichten. Die ursprünglichen „Script Kiddies“, wie sie genannt werden, waren im Grunde die Informatiker-Version jugendlicher Delinquenten, die statt Graffitis zu sprühen und Fenster einzuwerfen ihre Programmierkenntnisse nutzten, um Internetseiten lahmzulegen, in sichere Netzwerke einzubrechen und dort sensible Daten zu stehlen.

Heute wird das Potenzial des Cyberhackings von den mächtigsten internationalen Gruppen erkannt und ausgenutzt. Das organisierte Verbrechen erbeutet mittlerweile jedes Jahr einige Milliarden US-Dollar, indem Privatleute und Unternehmen mit Ransomware erpresst werden. Internationale Terrorgruppen und feindlich gesinnte Nationalstaaten beschäftigen Hacker, um alle Arten von kritischen Netzwerken anzugreifen und zu stören. Die Liste der sensiblen und schutzlosen Ziele, die potenziell angegriffen werden könnten, ist endlos: Energie- und Wasserversorgung, Flughäfen und Transportinfrastruktur, Krankenhäuser und Gesundheitswesen, und viele mehr.

Die Cyber-Angreifer von nationaler Infrastruktur verstehen
Es ist wichtig zu verstehen, dass es sich bei den Cyber-Angreifern von kritischer, nationaler Infrastruktur um eine besondere Art handelt. Sie haben die Fähigkeiten, Ressourcen und Motivationen, um die wichtigsten nationalen Ziele anzugreifen. Das sind keine „einsamen Wölfe“, sondern Teil eines großen und mächtigen Netzwerks von Terroristen oder feindlich gesinnten nationalstaatlichen Akteuren. Wenn sie durch Geld motiviert sind, dann wollen sie die riesigen Summen zur weiteren Finanzierung des Terrorismus einsetzen. Wahrscheinlich wollen sie massiven nationalen Schaden anrichten und Furcht unter Politikern und ´Bürgern verbreiten.

Selten, aber sehr bedrohlich
Angriffe auf kritische Infrastruktur werden über längere Zeit sorgfältig geplant und sind auf eine bestimmte Anlage zugeschnitten. Deshalb sind sie sehr viel seltener als die endlose Flut an IT-Bedrohungen; seltener, aber ungleich bedrohlicher. Leider hat die Seltenheit der Angriffe die OT-Manager zu dem Glauben verleitet, dass keine ernsthafte Gefahr für ihre Systeme besteht. Viele machten einfach sorglos weiter und nutzten bis vor kurzem nur grundlegende Sicherheitsmaßnahmen.

2010 - Stuxnet
Stuxnet war das erste bekannte Beispiel für eine als Waffe eingesetzte Schadsoftware, die gezielt für den Angriff auf die Urananreicherungsanlage in Natanz, Iran, entwickelt wurde. Obwohl es sich um eine vollständig vom Internet entkoppelte Anlage handelte, schafften es die Hacker mehrmals, die Anlage anzugreifen. Dazu infizierten sie zunächst verschiedene Unternehmen, die für die Bereitstellung von Produkten und Dienstleistungen für Industriesteuerungen und Verarbeitungen für die Anlage verantwortlich waren. Die Schadsoftware verbreitete sich selbst über USB-Laufwerke, bis sie schließlich die Anlage infizierte. Dann erreichte sie anfällige SPS-Steuerungen von Siemens, die für die Steuerung der Zentrifugen zur Anreicherung des Urans sowie von zu diesen führenden Gaspipelines zuständig waren.

Als die Schadsoftware die SPS-Steuerungen erreicht hatte, wurde sie dazu eingesetzt, die Zentrifugen dazu zu bringen, außerhalb der Spezifikation zu rotieren. Das verursachte Sachschäden an den Aluminiumzylindern, wodurch diese ihre Funktion einstellten. Stuxnet war ein beeindruckender Angriff, der zeigte, dass die Air-Gap-Lücke leicht überwunden werden kann – ein Beleg dafür, wie anfällig die IT/OT-Verbindung ist.

Obwohl IT-zu-OT-Angriffe die am häufigsten genutzte Möglichkeit sind, um kritische Infrastrukturnetzwerke anzugreifen und ein erhebliches Risiko darstellen, haben Cyber-Security-Konzepte und -Tools noch keine Antwort auf diese Multivektor-Angriffe und sie bleiben ein ungelöstes Problem der OT-Security.

2014 - Angriff auf ein deutsches Stahlwerk
Kommerzielle Produktionsanlagen sind ebenfalls der Gefahr durch fortschrittliche Cyber-Angriffe ausgesetzt. Industriespionage ist kein neues Problem der führenden Industriezweige Deutschlands und es überrascht nicht, dass böswillige Akteure versuchen, die Computernetzwerke zu hacken, um so Zugriff auf wichtige firmeninterne Informationen zu erhalten. Im Jahr 2014 griffen Cyber-Kriminelle das ICS-Netzwerk eines deutschen Stahlwerks an. Der Angriff begann mit einer gezielten Spear-Phishing-E-Mail, die einen bösartigen Link oder Anhang enthielt. Als die Schadsoftware im IT-Netzwerk des Unternehmens angelangt war, breitete sie sich Schritt für Schritt bis zum ICS aus, dass die Anlage und alle ihre Maschinen steuerte. Der Hacker erkundete einige Zeit lang unerkannt das Netzwerk und entwickelte seinen Angriffsplan. Als der eigentliche Angriff begann, konnten viele Systeme im gesamten Netzwerk beschädigt werden und zahlreiche Steuersysteme fielen aus. Der Sachschaden war immens. In einem Fall war ein Maschinenleiter nicht in der Lage, einen Hochofen kontrolliert herunterzufahren, wodurch diese teure und wichtige Anlage verheerende Schäden erlitt. Dieser Angriff schreckte die Produktions- und IT-Experten in Deutschland auf, doch letztlich gingen die meisten Unternehmen wieder zur Tagesordnung über. Auch wenn dieser Art des Angriffs auf Privatunternehmen zielt, muss berücksichtigt werden, dass die finanziellen Schäden Auswirkungen auf das gesamte Land haben können. Darüber hinaus macht die Möglichkeit, Feuer, Explosionen oder schlimmeres zu verursachen, ICS-Hacking zu einer möglichen Angriffsart für Terroristen, die möglichst viele Menschen schädigen wollen.

2014–2016 – Mehrere Angriffe auf das ukrainische Stromnetz
Im ukrainischen Stromnetz kam es zu zwei massiven Ausfällen, die auf Angriffe durch die von Russland finanzierte Hackergruppe BlackEnergy zurückgeführt wird. Weltweit kam es zu weiteren „unerklärlichen Ausfällen“. Während dieser Zeit gab es in den US-Metropolen New York, San Francisco und Los Angeles gleichzeitig Stromausfälle. Die Ursache wurde noch nicht gefunden, aber IT-Experten vermuten, dass hier ein qualifizierter Hacker am Werk war.

Auf die neuen ICS-Bedrohungen vorbereiten
All das zeigt, dass Cyber-Angriffe auf ICS-Netzwerke auf dem Vormarsch sind und wohl noch schlimmer werden. Während das Bewusstsein dafür wächst, haben „Early Adopter“ bereits damit begonnen, neue, verbesserte OT-Cyber-Security-Abwehrlösungen zu implementieren. Die staatlich finanzierte öffentliche Infrastruktur ist an der Spitze dieses neuen Cyber-Security-Ansatzes, da hier Gelder relativ einfach bewilligt werden und der Nutzen der Ausgaben belegt werden kann.

Ganzheitliche OT-Sicherheit
Das Aktualisieren von Soft- und Hardware ist zwar immer ein notwendiger Bestandteil zur Aufrechterhaltung der Sicherheit, aber es ist nicht ausreichend, um Netzwerke sicher zu machen. Umfassende Sicherheit erfordert einen ganzheitlichen Ansatz, der den zuverlässigen Schutz des gesamten Netzwerks gewährleistet: vom HMI bis zu den physischen Anlagen.

  1. HMI-SPS-Sicherheitslösungen – Die am häufigsten eingesetzten Cyber-Sicherheitslösungen im OT-Umfeld führen eine Deep Packet Inspection (DPI) des Netzwerkverkehrs zwischen dem Human Machine Interface (HMI), mit dessen Hilfe ein menschlicher Bediener die Befehle der Speicherprogrammierbare Steuerung (SPS) überwacht und sendet, und der SPS aus. Die meisten Anbieter bieten Lösungen an, die diesen Netzwerkverkehr passiv überwachen, die DPI ausführen und zuvor erstellte Whitelist-/Blacklist-Regeln anwenden. Das ist nur eine Teillösung, denn es wird für nur ein Teilsegment des Netzwerks überwacht, lässt andere Bedrohungen jedoch ungehindert zu. Wenn beispielsweise jemand die HMI oder die SPS und die Eingabe/Ausgabe (EA) angreift, kann die Lösung des Anbieters das nicht erkennen.

  2. IT/OT-Sicherheitslösungen – Diese Lösungen bieten mehr Schutz, denn zusätzlich zur Überwachung des Netzwerkverkehrs zwischen der HMI und der SPS schützen sie auch die HMI vor Angriffen von außen. Bei den HMIs handelt es sich um gewöhnliche Windows- oder Linux-Agenten, die mit fortschrittlichen Endpoint Detection and Response (EDR) Lösungen geschützt werden können. Durch das Hinzufügen dieser Schicht wird ein sehr viel besserer Schutz des IT-Endpoints und der über die SPS an das OT-Netzwerk gesendeten Befehle erreicht.

  3. Ganzheitliche IT/OT/EA-Sicherheitslösungen – Diese Lösung bietet einen ganzheitlichen Schutz über alle drei gefährdeten Angriffspunkte hinweg, von der HMI über die SPS/Steuerungen bis hin zu den an die physischen Anlagen gesendeten elektrischen Befehlen. Der EA-Teil ist von entscheidender Bedeutung, denn hier kann ernsthafter Schaden angerichtet werden. Bei der berüchtigten Stuxnet-Schadsoftware haben wir gesehen, dass es möglich ist, die SPS mit schadhaftem Code zu infizieren, der falsche oder schädliche elektrische Befehle an die Anlagen sendet. Im Fall von Stuxnet führten die Befehle dazu, dass die Zentrifugen der iranischen Urananreicherungsanlage sehr schnell rotierten und dann plötzlich langsamer wurden, was wiederum zu Schäden an den Aluminiumrohren führte. Zugleich sendete Stuxnet normale Daten zurück an die HMI, sodass kein ungewöhnliches Verhalten erkannt wurde. Diese Angriffstechnik hat den Praxistest bestanden. Von nationalstaatlichen Akteuren engagierte Hacker entwickeln sicher neue Möglichkeiten, um sich Zugang zu SPS-Steuerungen zu verschaffen und verheerende Schäden anzurichten, indem schädliche EA-Befehle direkt an die physischen Anlagen in den Sektoren Versorgung, Gesundheitswesen, Transport und anderen werden. Daher muss eine ganzheitliche Cyber-Sicherheitslösung für SCADA auch einen EA-Schutz enthalten.


Verwalten Sie Cyber-Ereignisse über ein einziges Dashboard
Ganzheitliche IT/OT/EA-SCADA-Sicherheitslösungen müssen außerdem ein einziges, zusammengefasstes Dashboard für die Steuerung und Verwaltung von Cyber-Ereignisse über eine Konsole bereitstellen. Diese zusammengefasste Ansicht ist entscheidend, weil SCADA-Netzwerke groß und vielfältig sind. Es ist unmöglich, die Sicherheit zu erhöhen und effektiv zu reagieren, wenn dem OT-Sicherheitsleiter keine Benutzeroberfläche zur Verfügung steht, die ihm ein klares Bild der gesamten Netzwerkarchitektur, -aktivität und -meldungen vermittelt. Ein zusammengefasstes Dashboard ermöglicht darüber hinaus die schnelle Erkennung, Untersuchung und Reaktion auf jedes Cyber-Ereignis.

Obwohl die ganzheitliche IT/OT/EA-Lösung deutlich überlegen ist, klingt sie für viele OT-Verantwortliche mehr wie Science-Fiction als nach einer praktisch einsetzbaren Lösung. Nur die innovativsten OT-Manager, die über einen ausreichenden Etat und die nötige Entscheidungsbefugnis verfügen, haben erfolgreich ganzheitliche Sicherheitslösungen implementiert, die einen End-to-End-Schutz bieten. Das ist die richtige Richtung und der Markt wird sich weiter in diese Richtung bewegen.

Schützen Sie die gesamte IT/OT/EA-Angriffsfläche
Wenn wir uns die Angreifer und ihre Motivation ansehen, stellen wir fest, dass Infrastruktur-Hacker sehr strategisch agieren, hoch qualifiziert und finanziell bestens ausgestattet sind. Es ist unbedingt erforderlich, dass wir die gleichen Voraussetzungen mitbringen, wenn wir ihre Angriffe abwehren wollen. Jetzt ist es an der Zeit, die traditionellen, konservativen Ansätze und allgegenwärtigen Air-Gap-Mythen über Bord zu werfen und eine fortschrittliche, ganzheitliche Sicherheitsstrategie umzusetzen, mit deren Hilfe kritische OT-Infrastrukturen gegen Cyber-Bedrohungen geschützt werden können.