Angriffe auf die Operational Technology (kurz OT) nehmen durch die zunehmende Vernetzung der Systeme immer mehr zu. Ein Grund dafür ist, dass Standards und Protokolle größtenteils in den 70er und 80er Jahren entwickelt wurden, als IT-Sicherheit noch keine Priorität hatte. Hinzu kommt, dass eine Adaption von IT-Security Mechanismen in der OT nur bedingt möglich ist, da jegliche Software, die den Betrieb behindern könnte, von den Herstellern untersagt wird. In diesem Artikel wollen wir die Angriffsvektoren auf Industrieanlagen beleuchten und Abwehrmaßnahmen aufzeigen. Der Artikel gliedert sich hierbei in folgende Teilbereiche:

• Design
• Human Maschine Interface (kurz HMI)
• Programmable Logic Controller (kurz PLC)
• Protokolle
• Vulnerability Management und Penetration Tests

Sicheres Design von Industrieanlagen

Es ist Best Practice, Industrieanlagen in separierten Netzwerksegmenten auszurollen, um die Angriffsvektoren zu minimieren. Ein Betrieb innerhalb der klassischen IT-Infrastruktur sollte hierbei nicht angestrebt werden. Leider werden derart grundlegende Vorgehensweisen bereits ignoriert, so dass Systeme teilweise auch direkt mit dem Internet verbunden und öffentlich einsehbar sind. Shodan hat dies sehr ansprechend in seinem ICS-Radar visualisiert und bietet auch eine dedizierte Suche für OT-Protokolle wie Modbus oder BACnet an. Aber auch Lieferanten von IIoT-Systemen umgehen gängige Sicherheitsdesigns, indem diese Router für eine VPN-Einwahl auf den Systemen ausliefern und direkt ans Internet koppeln. Diese befinden sich jedoch nicht in separierten Zonen und unterwandern meist gängige Sicherheitsstandards wie eine 2-Faktor-Authentifizierung oder die Protokollierung der Zugänge. Beides sind jedoch geforderte Maßnahmen in branchenspezifischen Sicherheitsstandard (B3S) oder der ISO 27001 Norm für IT-Sicherheit.

Die Purdue Enterprise Reference Architecture bietet hier eine Möglichkeit der Segmentierung, welche sich an den Bedürfnissen der Unternehmen orientiert, aber einen starken Sicherheitsfokus bietet. Hierbei werden Prozesse, wenn möglich, isoliert betrachtet und diese Systeme in einzelne Level untergliedert. Die Kommunikation ist nur mit dem nächst höheren/niedrigeren Level innerhalb des Prozesses zulässig. Andere Prozesse sind nur über ein übergeordnetes Management sichtbar. Der Bereich lokales Control Center umfasst hier:

• Master Server
• HMI
• Speichersysteme für historische Daten

Der Bereich Side Wide Control ermöglicht die Kontrolle über alle lokalen Control Center und enthält auch Jump Hosts für die Verbindung aus externen Zonen, wie z.B. aus dem Office IT-Netzwerk. Es empfiehlt sich die DMZ nach Quelle bzw. Ziel zu unterteilen, um unterschiedliche Sicherheitsrichtlinien zu ermöglichen. Der Zugriff aus diesen Zonen darf jedoch nur über Jump Hosts erfolgen.

Hierbei handelt es sich um gehärtete Server oder Client-Systeme mit einem vordefinierten Set an Software, welche durch den Benutzer nicht verändert werden können. Optimal ist es, die Clients mittels VDI bereitzustellen und nach der Nutzung zu verwerfen und neu auszurollen. Für neu aufzubringende Software oder Updates ist ein Prüfprozess vorzusehen. Die Software sollte möglichst nicht durch Externe ins Netzwerk eingebracht werden. Die Abbildung 1 zeigt dieses Modell noch einmal grafisch. Die Segmentierung der Systeme kann hierbei auf vLAN Ebene erfolgen, so dass eine logische Trennung der Prozesse erfolgt und die Kommunikation über zentrale Gateways überwacht und geregelt werden kann. Zugriffe auf Netzwerkebene von nicht autorisierten und unbekannten Geräten sind hierbei zu unterbinden. Sofern die eingesetzten Switche dies unterstützen, können hierzu auch private vLANs zum Einsatz kommen, so dass die Anzahl an vLANs überschaubar bleibt.

Human Machine Interface

Die HMI dienen der Interaktion mit den Controllern und ermöglichen Eingaben zur Steuerung der Prozesse. Diese zeigen meist Statusinformationen, bieten je nach Prozess aber auch Eingriffe in selbigen an. Hierbei ist darauf zu achten, dass Anpassungen am Bedienfeld, soweit diese möglich sind, nur durch privilegierte Nutzer durchgeführt werden können. Die täglichen Arbeiten durch das Bedienpersonal sollten aber nur mit normalen Nutzerrechten durchgeführt werden. Ansonsten kann es auch auf dieser Ebene zu Manipulationen kommen. Teilweise kommen hier windowsbasierte Systeme zum Einsatz. Da gängige Schutzmaßnahmen aufgrund von Herstellervorgaben nicht umsetzbar sind und Betriebssysteme teilweise veraltet sind, ist hier die oben genannte Segmentierung umso wichtiger.

Programmable Logic Controller

PLCs steuern die Aktoren und sammeln Informationen von Sensoren nach einem vorgegebenen Programmablauf. Die Ansteuerung erfolgt über Feldbus, serielle Schnittstellen oder IP. Für Angreifer bieten diese ein lohnendes Ziel, da hier direkt auf Protokollebene mit dem Zielsystem kommuniziert werden kann. Eine Validierung der Anfrage nach Sicherheitsaspekten erfolgt nur bei Einsatz neuerer Protokolle und wenn die notwendigen Einstellungen gesetzt sind. Dies ist jedoch selten der Fall. Somit können Angreifer an dieser Stelle Daten manipulieren, um Systeme zu sabotieren. Details hierzu werden im nächsten Abschnitt erläutert.

Protokolle

Es gibt eine Vielzahl an Protokollen zur Steuerung der PLCs, Sensoren und Aktoren. Die gängigsten Protokolle wie Modbus, HART oder Profinet wurden allerdings im letzten Jahrhundert entwickelt und bieten keinerlei Verschlüsselung, Authentifizierung oder Zeitstempel. Dies ermöglicht eine Vielzahl von Angriffsmöglichkeiten. Ein Beispiel sind Replay-Attacken, welche aufgezeichneten Datenverkehr wiederkehrend abspielen und so den Programmablauf des PLC stören. Dies kann in Einzelfällen bis zur Beschädigung der Anlage führen. So zum Beispiel wenn Pumpen aktiviert werden, wenn keine Flüssigkeit vorhanden ist. Neuere Protokolle wie z.B. IEC-104, MMS und ICCP bieten derartige Sicherungsmaßnahmen und sollten bei Anschaffungen von Neusystemen bevorzugt werden. In Abhängigkeit von den physischen Sicherheitsmaßnahmen gelten diese Angriffsvarianten auch für Feldbus und serielle Verbindungen.

Somit ist je nach Einsatzzweck auch der physische Zugriffsschutz relevant und sollte betrachtet werden. So sind z.B. kleine Verteilerstationen für Strom, Wasser, Abwasser oder auch Verkehrsregelanlagen selten mit Personal besetzt. Dementsprechend fallen auch Videoüberwachung und Zäune in eine mögliche Präventionsmaßnahme. Dies gilt für alle Level von Produktionssystemen.

Vulnerability Management und Penetration Tests

Um Schwachstellen aufzudecken, haben sich Penetration Tests und Schwachstellenscanner in der IT bewährt. Dieses Vorgehen sollte aber nicht 1:1 auf OT-Infrastrukturen angewendet werden, da hier sehr viel aktiver Traffic gegenüber den Systemen erzeugt wird, wofür diese nicht ausgelegt sind. Somit kann eine Schwachstellenüberprüfung zu einem kompletten Systemausfall führen, welcher einen Neustart der Anlage erfordert. Hier bietet sich ein Vorgehen aus folgenden Punkten an:

• Design Review durch Security Experten
• Sicherheitsbegehung vor Ort
• Auswertung des Netzwerkdatenverkehrs
• Penetration Tests und Schwachstellenscans ausgewählter Systeme

Bei den Penetration Tests und Scans sollte sich auf folgende Systeme konzentriert werden:

• Gateways und Accesspoints mit Zugriff in das Produktionsnetz
• Jump Hosts im Produktionsnetz
• ICS Traffic welcher über öffentliche Netze transportiert wird
• Neue Geräte vor der Inbetriebnahme
• Test einzelner Geräte nach Absprache und Risikobewertung

Sie wollen mehr über die Absicherung von OT-Systemen erfahren oder wünschen eine Überprüfung Ihrer Sicherheitsmaßnahmen? Kontaktieren Sie uns.