Logo IT-Cluster

Netzwerksicherheit

Die zunehmende Vernetzung von Industrieanlagen

Industrielle Produktions- und Steueranlagen werden immer stärker vernetzt. Dies gilt sowohl für die Kommunikation untereinander als auch für die Anbindung an das Firmen-Intranet und sogar das Internet, mit dem viele Anlagen zumindest mittelbar verbunden sind.

Die Nutzung einer gemeinsamen Kommunikationsinfrastruktur bringt viele neue Möglichkeiten mit sich. Darunter fällt die Effizienzsteigerung in der Logistik durch Anbindung an ein Manufacturing Execution System (MES) ebenso wie die Möglichkeit, bequem über das Internet auf tägliche Stückzahlenreports zugreifen zu können. Die zunehmende Vernetzung kulminiert in der Idee der Industrie 4.0, der vollständigen Vernetzung aller Teile der Anlage und der verbundenen Infrastruktur mit dem Ziel einer selbstoptimierenden und hochflexiblen Fertigung bis hin zur Losgröße 1.

Ermöglicht wird diese hohe Konnektivität durch die Konvergenz von Industrieanlagen und klassischen IT-Systemen auf Basis von Ethernet und dem Internet Protocol IP. Mittels dieser Protokolle lassen sich auch große Anlagen sehr flexibel und kosteneffizient vernetzen. Spezialhardware kann zum Teil durch herkömmliche IT-Hardware ersetzt werden. So kommen zum Beispiel Switches zum Einsatz, wie sie auch in Büroumgebungen genutzt werden. Steuersoftware oder Datenserver laufen fast ausschließlich auf Standard-IT-Hardware. Damit allerdings holen sich Anlagenbetreiber Probleme ins Haus, die für sie neu, in klassischen IT-Umgebungen aber seit langem bekannt sind.

Gefahren durch die zunehmende Vernetzung

Zum Einen macht die Vernetzung von Steueranlagen diese oft zum Ziel für Angriffe aus dem Internet, wie sie bei allen vernetzten IT-Systemen auftreten. Oft werden Steuersysteme zufällig aufgrund ihrer öffentlichen Erreichbarkeit zum Angriffsziel. Die Aufgabe des in den Jahren 2012 bis 2014 laufenden Projektes SHINE  war, herauszufinden, wie viele solcher Systeme aus dem Internet erreichbar sind und welche Verwundbarkeiten sie gegebenenfalls aufweisen. Die gewonnenen Daten sind erschreckend: Mehrere Millionen solcher Systeme sind direkt ans Internet angebunden, viele davon wohl auch ohne das Wissen ihrer Betreiber. 15 Prozent der gefundenen Steuerungen befinden sich in Deutschland.

Aber auch Anlagen, die nicht unmittelbar aus dem Internet erreichbar ist, sind potentiell gefährdet. Die möglichen Angriffsvektoren sind auch hier vielfältig. Da gibt es einerseits den vermeintlich auf dem Firmenparkplatz “verlorenen” USB-Stick, der mit Schadsoftware bespielt ist, in der Hoffnung, dass ein neugieriger Mitarbeiter ihn an einen mit dem Steuernetz verbundenen PC anschließt. Auch Wartungslaptops werden oft nicht nur für die vorgesehenen Aufgaben benutzt, sondern womöglich auch für private Zwecke, wodurch sich viele Arten von Malware einschleichen können. Ist ein Angreifer hinreichend motiviert, können ausgeklügelte gezielte Angriffe wie Spear Phishing zum Einsatz kommen. WLANs sind inzwischen in Produktionshallen weit verbreitet, so dass ein Angreifer, mit einer entsprechenden Richtantenne ausgestattet, nicht einmal physischen Zugang zur Ziel-Hardware benötigt. Vielfach wählen sich Mitarbeiter von Drittfirmen zu Wartungszwecken per Virtual Private Network (VPN) ein. Das Netz, von dem aus sie sich verbinden, ist jedoch ungesichert. Auch die Gefährdung durch Insider, seien es bezahlte Angreifer, die sich gezielt in das Unternehmen eingeschlichen haben, oder unzufriedene Mitarbeiter, sollte nicht unterschätzt werden.

Die Situation wird insbesondere dadurch verschlimmert, dass die für den Betrieb notwendige Steuersoftware oft auf Betriebssystemen läuft, für die keine Sicherheits-Updates mehr bereitgestellt werden, wie zum Beispiel Windows XP. Für das veraltete Betriebssystem wurden im Jahr 2012 25 kritische Sicherheitslücken gefunden sowie 18 in 2013. Seit 2014 werden für Windows XP keine Updates mehr herausgegeben, was jedoch keinesfalls darauf schließen lässt, dass in entsprechenden Kreisen keine Lücken mehr bekannt wären.

Nicht nur in Betriebssystemen, sondern auch in Steuerungen selbst werden immer wieder Lücken gefunden. Die Open-Source Schwachstellendatenbank (OSVDB) etwa weist einen achtfachen Anstieg entsprechender Schwachstellen zwischen 2009 und 2014 aus. Erst im April fand zum Beispiel die Firma Positive Technologies eine ganze Reihe von Schwachstellen in mehreren Produkten bekannter Hersteller, wobei es in einem Fall sogar möglich wäre, von außen die vollständige Kontrolle über das System zu erlangen.

Aber selbst eine vollkommen isolierte Anlage mit keinerlei Anbindung an ein externes Netz bietet keine absolute Sicherheit vor netzwerkbedingten Störungen. Denn mit dem Grad der Konnektivität der Maschinen und Steuerungen untereinander erhöht sich auch die Komplexität  und damit die Wahrscheinlichkeit eines Ausfalls. Kommt es zu einem solchen Ausfall, sind die Auswirkungen weit drastischer und teurer als bei autarken Systemen.

Anders als bei busbasierten Systemen kann es bei paketorientierter Kommunikation schnell zu Überlastzuständen kommen. So kann etwa das tägliche Hochladen von Logdaten auf einen FTP-Server eine erhebliche Last verursachen, die bei auf dem gleichen Medium übertragener zeitkritischer Kommunikation inakzeptabel ist. Problemen dieser Art auf die Spur zu kommen ist mit herkömmlichen Tools nur schwer möglich. Die in industriellen Umgebungen üblichen Protokolle werden von gängiger Netzwerkdiagnose-Software kaum unterstützt. Industriespezifische Protokoll-Analyzer sind nicht hinreichend auf das Auswerten von Informationen der unteren Protokollschichten (Ethernet und IP) vorbereitet.

Deterministische Kommunikation als Lösungsansatz

Angesichts der zunehmenden Komplexität und der sich entwickelnden Bedrohungslage sind neue Lösungen gefordert. Ein Ansatz basiert auf der Idee, dass in Industriesteueranlagen zu jeder Zeit deterministische Prozesse ablaufen, die folglich auch in deterministische Kommunikation im Netzwerk resultiert. Das Kommunikationsmuster, das diesen Prozess widerspiegelt, wird vollautomatisch erlernt und verwendet, um spätere Abweichungen davon jederzeit und unmittelbar zu erkennen und zu melden. Diese Abweichungen, oder Anomalien, machen alle Probleme im Steuernetz, die zu einer Beeinträchtigung des Betriebs führen können, direkt sichtbar. Darunter fallen unter anderem Fehlkonfigurationen oder Fehlfunktionen einzelner Komponenten, Überlastungen und Kommunikationsausfälle, aber auch gezielte und ungezielte Angriffe von innen oder außen.

Das Erlernen des normalen Kommunikationsverhaltens erfolgt mittels vollständiger Überwachung, Erkennung und Dekodierung des Datenverkehrs im Steuernetz. Dabei werden die Fernwirk- und Feldbusprotokolle bis auf Befehlsebene mittels Deep-Packet-Inspection-Technologie analysiert und validiert. Jeder Befehlsaustausch zwischen Komponenten im Steuernetz (z.B. Steuerungen, Sensoren, Aktoren) wird in der Lernphase als Normverhalten registriert. Jede Abweichung von diesem Normverhalten erzeugt im späteren Betrieb eine Meldung. Damit wird zum Beispiel erkannt, ob über ein neues oder unbekanntes Protokoll kommuniziert wird, ob ein Wartungslaptop auf eine Steuerung zugreift, mit der es zuvor noch nicht kommuniziert hat, ob eine Malware das Netz scannt, ob die Rate zyklischer Ereignisse sich verändert oder auf ein Gerät schreibend zugegriffen wird, auf das zuvor nur lesend zugegriffen wurde. Kurz, alle Anomalien im Netzwerk werden unmittelbar angezeigt, und zwar mitsamt aller für die Auswertung notwendigen Daten, inklusive der Rohdaten, wie sie auf dem Netzwerk mitgeschnitten wurden.

Solche Anomalien weisen auf Ereignisse hin, die zu einem Ausfall der Anlage führen können. Mittels dieser Echtzeitanomaliemeldungen lassen sich viele Ausfälle verhindern. In bestimmten Fällen kann die Zeitverzögerung zwischen Auftreten der Kommunikationsanomalie und dem Ausfall eines Anlagenteils zu kurz sein für einen Korrektureingriff durch den Automatisierungstechniker. Kommt es dann zu einen Ausfall, liefern die detaillierten Anomaliemeldungen allerdings spezifische Hinweise auf die Ursache des Ausfalls, so dass der Fehler schnell und gezielt beseitigt werden kann. Insgesamt lassen sich mit diesem Ansatz Ausfallzeiten von Industriesteueranlagen drastisch reduzieren. Aufgrund der hohen Kosten von Anlagenausfällen ergibt sich für die Betreiber ein enormes Einsparpotential.

Anwendungspotenziale

Betreiber kritischer Infrastruktur wie Energieversorger oder Wasser- und Abwasserbetriebe werden durch das neue IT-Sicherheitsgesetz angehalten, sich angemessen nach aktuellem Stand der Technik vor Cyber-Angriffen zu schützen und darüber hinaus erhebliche IT-Sicherheitsvorfälle zu melden. Aber auch in produzierenden Betrieben ist damit zu rechnen, dass entsprechende Anforderungen steigen, sei es durch eigene Richtlinien oder auch Auflagen von Versicherungen. Eine Lösung stellt zum Beispiel der Rhebos Industrial dar, denn er macht Sicherheitsvorfälle unmittelbar sichtbar und liefert die zur forensischen Analyse eines Angriffs oder einer Störung notwendigen Daten gleich mit.

Ansprechpartner

Oliver Desch,
Rhebo AG

c/o Spinlab, Halle 14, 2. OG
Spinnereistraße 7
04179 Leipzig
Tel. 0172 1 67 66 44

mail