Sie sind hier: HomeSteuerungsebeneSafety & Security

Fernwartung: Transparenz ist oberstes Gebot

"Punktuelle" Fernwartung einzelner Maschinen ist heute weit verbreitet und auch hinsichtlich Security gut beherrschbar. Wenn es allerdings um das Unternehmen als Ganzes geht, sind sich viele Betreiber der dort stattfindenden Kommunikationsströme und der damit lauernden Einfallstore nicht bewusst. Ein zentralisiertes Fernwartungskonzept hilft, die Sicherheit zu erhöhen.

Punktuelle Fernwartung, NTT Bildquelle: © NTT

Mittelständische Unternehmen bilden das Rückgrat der Industrie in Deutschland. Unter ihnen finden sich zahlreiche 'Hidden Champions', die in einer speziellen Sparte oftmals zu den Weltmarktführern zählen. Diese Stärke auf der einen Seite kann sich allerdings schnell zu einer Schwäche auf der anderen Seite entwickeln: Denn gerade diese Firmen sind nicht selten Risiken ausgesetzt, die ihnen oftmals kaum oder gar nicht bewusst sind. Aus Kreisen des Bundesamts für Verfassungsschutz lässt sich das durch folgende Aussagen belegen: "Die Gefahr, dass sensible Informationen aus einem Betrieb in die falschen Hände fallen, ist […] real. Besonders innovative mittelständische Unternehmen sollten ihr Potenzial daher ausreichend schützen" und "Viele mittelständische deutsche Unternehmen sind leichte Beute. Sie können oft nur schlecht einschätzen, was ihre Kronjuwelen sind, wofür sich die Gegenseite interessiert […]." Es sei dahingestellt wer auch immer die Gegenseite sein mag und welche Ziele diese konkret verfolgt. Die mögliche Spanne reicht hier jedenfalls von Industrie- beziehungsweise Wirtschaftsspionage, über Schädigung von Prozessen durch ­Denial of Service (DoS) oder mutwillige Än­derung von Prozessdaten bis hin zu ­Erpressung.

Bei nahezu all diesen Unternehmen kommen IT-gestützte Systeme in der Produktion zum Einsatz, für die der Hersteller zumindest zeitweise ­einen Fernwartungszugang benötigt. Durch die historisch gewachsenen Umgebungen mit Anlagen und Systemen, die typische Laufzeiten von zehn bis 20 Jahren – oder länger – ­haben, sind die Techniken und Protokolle für die Fernwartung ebenfalls sehr heterogen und oft nur unzu­reichend geschützt: Von analogen ­Modems, die über serielle Schnittstellen direkt an Systeme angebunden sind, über ISDN-Modems und -Router bis hin zur eher modernen Variante über Internet-VPN ist heute in den ­Fertigungen alles zu finden. Allen ­gemein ist, dass es sich meist um ­dezentrale Zugänge sowohl in ein Unternehmen als auch aus diesem heraus handelt. Vielfach sind diese Zu- oder Ausgänge in kein zentrales Sicherheitskonzept eingebunden. Oder noch schlimmer: Sie sind sogar komplett ­unbekannt!

Um die Kommunikationsströme zu regeln und zu überwachen, kommen meist Sicherheitstechnologien am Perimeter – dem Übergang zu Fremdnetzen wie dem Internet – zum Einsatz. Dies hat zum Ziel, das Unternehmen vor Angriffen zu schützen und einen Datenabfluss nach außen zu verhindern. Über die unterschiedlichen Fernwartungszugänge werden diese Bemühungen jedoch konterkariert, wenn nicht sogar ad absurdum geführt. Dies ist vergleichbar mit einer mit Sicherheitsschlössern, Kamera-Überwachung und Einbruchmelde-Anlage ausgestatteten Eingangstür eines Hauses, wobei die Absicherung weiterer Zugänge wie Fenster oder andere Türen außer Acht gelassen wird. Ein zugegebenermaßen recht althergebrachter Vergleich, der aber nichts an Aktualität eingebüßt hat.

Angesichts der Tatsache, dass gerade in letzter Zeit vermehrt Angriffe auf Unternehmen über diesen Weg bekannt werden, müssen genau diese Zugänge beziehungsweise das Thema Fernwartung im Allgemeinen bei den Unternehmen mit hoher Priorität in den Fokus rücken. Allein schon deshalb, weil die Dunkelziffer der nicht bekannt gewordenen Vorfälle um ein Vielfaches höher anzusiedeln ist. Zwei unlängst öffentlich bekannt gewordene Vorfälle sollen dies verdeutlichen:

  • "Kreditkartendaten von mehr als 40 Millionen Kunden bei der US-Kaufhauskette Target gestohlen" - Mit sehr hoher Wahrscheinlichkeit wurden diese Daten über einen Zugang einer externen Firma für die Fernwartung der Haus- beziehungsweise  Klimatechnik verbreitet. Über diesen Zugang wurde die Malware letztendlich in Systeme eingepflanzt, die Kreditkartendaten verarbeiten. Der Abfluss der gesammelten Daten geschah offensichtlich nicht über diesen Zugang, sondern versteckt im normalen Internetverkehr.
  • "Hacker infizieren Schaltzentralen der Stromnetze" - Die Infektion geschah unter anderem durch die gezielte Manipulation von Softwarekomponenten, die im Bereich Fernwartung von Industriesteuerungen zum Einsatz kommen. Bekannt geworden ist dieser Angriffstyp unter dem Namen Dragonfly/Havex. Aktuelle Analysen zeigen, dass immer noch nicht klar ist, wer die Urheber und welche die eigentlichen Ziele des Angriffs waren. Ebenfalls nicht konkret definierbar ist die Intention des Angriffs. Bewiesen ist nur, dass auf dem OPC-Protokoll basierte Kommunikation im Fokus der Attacke stand. Eine reine Einschränkung auf den westlichen Energiesektor scheint, im Gegensatz zu ursprünglichen Behauptungen, nicht valide zu sein.


Das Beispiel von Dragonfly/Havex zeigt deutlich, wie Schadsoftware über dezentrale Fernwartungszugänge in ein Unternehmen hinein- und Daten aus einem Unternehmen herausgeschleust werden können – und zwar ohne große Gefahr einer zeitnahen Erkennung. Dieser Angriff kann in letzter Konsequenz einen Eingriff in die OPC-basierte Kommunikation bedeuten und unter Umständen katastrophale Auswirkungen nach sich ziehen – je nachdem, welche Prozesse in den angegriffenen Unternehmen damit gesteuert werden.