Sicherheitsansatz für OT-Netze

Um Malware-Risiken effektiv abzuwenden, sollte deshalb auf einen mehrschichtigen Sicherheitsansatz gesetzt werden. Dieser sollte folgende Kriterien umfassen:

• Berücksichtigung aller Sicherheitsphasen: von der Vorbeugung bis zur Wiederherstellung des Systems nach einem Angriff;

• Berücksichtigung aller Sicherheitsmaßnahmen: von Arbeitsprozessen bis zum Einsatz der passenden Technologien;

• Überwachung aller Technologie-Bereiche: vom Gateway- bis zum End-Point-Schutz;

• Überwachung des gesamten OT-Netzwerkes: von der Datenerfassung bis hin zur speicherprogrammierten Steuerung (SPS), den Remote Terminal Units (RTU) oder sogar bis zur Sensor- und Aktor-Ebene.

Selbst wenn das OT-Netz vom IT-Unternehmensnetz getrennt wird, sind sowohl Menschen als auch Daten oft in beiden Netzwerken unterwegs. Deshalb müssen hier gleichermaßen hohe Sicherheitsstandards gelten. Die Verbindung beider Netze sollte stets überwacht und analysiert werden, immer unter dem Leitgedanken: "Vertrauen ist gut, Kontrolle ist besser".

Auch die Angriffsmethode des Industroyer ist robust und darüber hinaus effizient: Es kommen gleich mehrere industrielle Protokolle IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OLE für Process Control Data Access (OPC DA) zum Einsatz. Das Angriffsziel hier waren Low-Level-Controller - weit unterhalb des SCADA-Systemlevels. Hacker machen sich also zunehmend mit industriellen Netzwerkspezifika vertraut.

Was passierte genau? Die Industroyer-Malware sammelte zuerst Informationen über bestimmte Arbeitsläufe innerhalb des Netzwerks, zum Beispiel ICS-Informationen über deren Kommunikation und Konfiguration, zugehörige Dateien und Variablen innerhalb der RTU-Ebene. Sobald sich die Malware als gefälschter Systemprozess in das Netz eingenistet hatte, wurden gültige Steuerbefehle an die angeschlossenen Stromunterbrecher und Schalter weitergeleitet. Dadurch konnte ein Umspannwerk vom Übertragungsnetz oder den Verteilungsleitungen getrennt werden. Sobald die Verbindung unterbrochen war, war der Strom in der Region weg.

Die Gefahr aus der Tiefe

Selbst wenn Sicherheitskontrollen vorhanden gewesen wären, hätten sie vermutlich nur höhere Ebenen des OT-Netzwerks abgedeckt, etwa die SCADA-Systeme und möglicherweise den Fernwartungszugriff. In den allermeisten Unternehmen findet heute in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzverkehrs statt. Im besten Fall führt dies dann "nur" zu einem Prozessausfall. Die Sicherheitsanalyse ergab, dass die modular aufgebaute Industroyer-Malware industrielle Kommunikationsprotokolle nutzte, die speziell in kritischen Infrastrukturen eingesetzt werden. Eine weitere beunruhigende Tatsache ist, dass sich die Malware durch ihren modularen Aufbau um weitere Funktionen erweitern lässt und damit auch in anderen industriellen Netzen eingesetzt werden könnte.

Manuellen Betrieb testen

Was wäre also im konkreten Fall eine Option gewesen? Die Steuerung eines Stromnetzes ist relativ robust und funktioniert auch im manuellen Betrieb. Ähnlich wie beim Flugzeug, wo der Autopilot regelmäßig deaktiviert wird, um manuelle Prozeduren zu trainieren. Der Autopilot im Strombetrieb sind die verschiedenen Umspannwerke, die automatisch arbeiten, aber eben auch in einen manuellen Betriebsmodus versetzt werden können sollten - zumindest, wenn genügend Ingenieure für einen Vor-Ort-Betrieb zur Verfügung stehen. Unternehmen sollten einmal prüfen, ob das Betriebspersonal im Notfall in der Lage ist, einen Prozess auch manuell zu steuern und wann dies das letzte Mal getestet wurde.

Fazit

Die Beispiele zeigen, dass Sicherheitsvorfälle für industrielle Infrastrukturen ein Risiko sind, das zunehmend berücksichtigt werden sollte. Ein Problem ist markant: Häufig findet in den industriellen Netzen kein Security-Monitoring statt, so dass sowohl Eintrittspunkt und Angriffspfad, und damit also auch der Angriffszeitpunkt nicht genau festgestellt werden können. Damit ist eine forensische Angriffsanalyse unter Umständen gar nicht möglich. Die zunehmende Bedrohung zwingt Unternehmen deshalb dazu, die Sicherheitsprozesse und -verfahren in ihren Betrieben kontinuierlich neu zu bewerten und zu verbessern und neben der "Corporate IT" auch industrielle Infrastrukturen zu berücksichtigen.