Schutz von Produktionsanlagen

Cloud-Lösungen

Schutz von Produktionsanlagen

Der Malware auf der Spur

Mit zunehmendem Einsatz von IoT-Technologien (Internet of Things) rückt auch die Sicherheit sogenannter OT-Netzwerke (Operational Technology) stärker in den Fokus. Denn Angriffe auf OT-Netzwerke und -Maschinen gefährden komplette Betriebsabläufe.

Ein Beispiel ist der WannaCry-Ransomware-Angriff im Mai 2017, der sich nach seinem Ausbruch in einem britischen Kran-kenhausnetzwerk noch in derselben Nacht auf mehrere Produktionsbetriebe in mehr als 150 Ländern ausweitete. Als Infektionsursache wurde eine Malware identifiziert, die öffentliche Adressräume im Internet scannte und sich wie ein Lauffeuer in denjenigen Netzwerken verbreitete, bei denen das Server-Message-Block-Netzwerkprotokoll für externe Verbindungen geöffnet war. Die Malware verwendete von der NSA gestohlene Exploits, die eine bekannte Schwachstelle im Windows-Betriebssystem ausnutzten. Viele Unternehmen aktualisierten ihre Systeme trotz bereitgestellter Patches nicht rechtzeitig oder vertrauten auf eine Trennung von IT- und OT-Netzwerken.

Bei den betroffenen Unternehmen und Organisationen unterbrach die WannaCry-Ransomware die Betriebsabläufe. Sie verschlüsselte wichtige Unternehmens- und Administrationsdaten und forderte für deren Freigabe eine Bezahlung. Was wir aus diesem disruptiven Angriff lernen können?

WannaCry beschränkt sich auf ungepatchte Systeme, sodass ein frühzeitiges Patching die beste Vorsichtsmaßnahme gegen die Bedrohung zu sein scheint. Doch der Sicherheitsansatz bei OT-Netzwerken ist wesentlich komplexer. Denn Produktionsmaschinen sind in der Regel vom Hersteller zertifiziert, Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann dabei unerwünschte Auswirkungen auf die Produktionsparameter haben. Daher sind die klassischen IT-Sicherheitsmaßnahmen für OT-Bereiche nicht immer anwendbar, sodass auf einen mehrschichtigen Sicherheitsansatz gesetzt werden sollte.

Selbst wenn das OT-Netzwerk vom IT-Unternehmensnetzwerk getrennt wird, sind sowohl Menschen als auch Daten oft in beiden Netzwerken unterwegs. Deshalb müssen hier gleichermaßen hohe Sicherheitsstandards gelten. In den allermeisten Unternehmen findet heute in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzwerkverkehrs statt. Im besten Fall führt dies dann „nur“ zu einem Prozessausfall.

Ein Problem ist markant: Häufig werden gar keine Sicherheitsinformationen aus den industriellen Netzen erhoben, sodass sowohl Eintrittspunkt und Angriffspfad, also auch der Angriffszeitpunkt, nicht genau festgestellt werden können. Die zunehmende Bedrohung zwingt Unternehmen deshalb dazu, neben der „Corporate IT“ auch die Sicherheitsprozesse bei industriellen Infrastrukturen zu berücksichtigen.

Präventive Sicherheitsmaßnahmen

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443), dürften innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Außerdem sollten verschiedene Sicherheitsstufen eingeführt und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen.

Jegliche Kommunikation – insbesondere zwischen IT und OT – sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Backup-Daten hinterlegt sind.

Alle bisher dokumentierten großen Angriffe auf Maschinen wie die von WannaCry gelangten über die mit der OT verbundenen IT-Infrastrukturen in das Anlagennetzwerk. Bereits durch angemessenes Patching der IT-Komponenten hätten Unternehmen den erfolgreichen Attacken von WannaCry Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Deshalb hat IBM neben einer Lösung für IT-Systeme auch eine Patch-Management-Version für OT-Systeme entwickelt. Sie wird von ihrem Business-Partner Verve Industrial angeboten.

Die Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. Sowohl IBM BigFix für IT als auch Verve für OT lassen sich im Übrigen auch in IBMs zentrale Security Intelligence (QRadar SIEM, Security Information and Event Management) integrieren.

In dieser Kombination können beide Lösungen:

  • Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;
  • Schwachstellen beseitigen, wenn ein Patch vorliegt;
  • anfällige Dienste erkennen und ggf. deaktivieren, bzw. Informationen zur tatsächlichen Bedrohungslage erhalten;
  • Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;
  • methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.

Detektive Sicherheitsmaßnahmen

Normalerweise sind zentrale Security Information and Event Management-(SIEM-) Systeme dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und – basierend auf vordefinierten Regeln – Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerk-Flussanalysen, die Cyber-Gefahren erkennen können. Beispielweise können auch IBM BigFix für IT und Verve für OT helfen, Bedrohungen schnell zu erkennen, in dem sie anomales Prozessverhalten registrieren und selbst unbekannte und Zero-Day-Bedrohungen identifizieren.Durch eine Kombination dieser Security-Lösungen wäre WannaCry womöglich einfacher und schneller zu identifizieren gewesen.

Die Grafik „SecurityIntelligence.com 3 attacks“ fasst die Wirkungsphasen von Sicherheitsmaßnahmen zum besseren Schutz industrieller Infrastrukturen vor Bedrohungen zusammen.

Zwar gibt es für WannaCry nur begrenzte Möglichkeiten, die Infektion und deren Verbreitung in OT-Umgebungen zu verhindern. Jedoch hätten Kommunikationsversuche des Schadcodes potenziell entdeckt werden können. Erst recht, wenn ein SIEM-System vorhanden gewesen und entsprechend gewartet worden wäre.

Fazit

Natürlich sind insbesondere sehr ausgeklügelte Angriffe nicht immer vermeidbar. Allerdings gibt es in jedem Fall Alarmzeichen, mit denen Cyber-Attacken schneller erkannt und gestoppt werden können. Dazu müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen, zu denen auch automatische OT-System-Updates und der Einsatz von SIEM-Systemen gehören, getroffen werden.

Marcel Kisch,
Weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0)

Ihr Ansprechpartner bei der PROFI AG:
Andreas Rühl,
Consultant Informations-sicherheit der PROFI AG