Nach den Erkenntnissen des Bundesamtes für Sicherheit in der ­Informationstechnik (BSI) besteht bei einem Großteil der IT-Sicherheitsvorfälle in Deutschland der initiale Angriffsvektor im Phishing beziehungsweise im gezielten Spear Phishing. Der Spam-Anteil am gesamten E-Mail-Verkehr liegt derzeit bei etwa 77,3 %, der Anteil von mit Schadprogrammen behafteten E-Mails am gesamten Kommunikationsaufkommen beläuft sich auf immerhin 1,6 %. Das heißt: Das Potenzial für einen erfolgreichen Angriff über infizierte E-Mails ist relativ hoch.

Der Anteil von Windows XP in deutschen Büros liegt bei 6 %. Insgesamt arbeiten 12 % der Rechner ohne ein gepatchtes Betriebssystem oder mit verwundbaren Standardanwendungen. Nicht zuletzt sind in Deutschland zirka 3 % aller Webseiten mit sogenannten Drive-by Exploits infiziert. Aber auch nicht-infizierte Webseiten können zu ­einer Infektion führen, da zunehmend Schadcode über manipulierte Werbe­banner eingeschleust wird.

Wie einfach eine Kompromittierung eines Unternehmens tatsächlich gelingt, haben interne Tests in verschiedenen Unternehmen gezeigt. Bei simulierten Phishing-Angriffen lag die Erfolgsquote meist im Bereich von 15 bis 25 %. Beschränkt auf die Managementebene ließen sich sogar Erfolgsquoten von bis zu 80 % beobachten. Auch sogenannte APT-Angriffe – also hochprofessionelle und zielgerichtete Angriffe – nehmen häufig mit gezielten E-Mails ihren Anfang.

Soviel zur grundsätzlichen Bedrohungslage. Was Cyber-Sicherheitsvorfälle speziell in Produktionsanlagen betrifft, so müssen diese nicht immer auf zielgerichtete Angriffe zurückzuführen sein. Schon vor mehr als zehn Jahren haben verschiedene nicht-zielgerichtete Würmer wie Blaster oder Slammer massive Produktionsausfälle in den unterschiedlichsten Branchen verursacht. Deren einzige Funktionalität bestand darin, sich zu verbreiten, was in vielen Fällen zu einer Überlastung der Produktionsnetze führte. Auch heute gibt es immer wieder solche Kollateralschäden. Man stelle sich etwa die Auswirkungen vor, wenn in einer Molkerei plötzlich sämtliche Bedienterminals nur noch einen Bluescreen anzeigen, die Speicher-programmierbaren Steuerungen ihren Dienst verweigern und diese Situation nicht zeitnah behoben werden kann. Die Schadsoftware Conficker aus dem Jahre 2008 findet sich übrigens noch heute immer wieder in Produktionsanlagen.

Deutschland im Fokus der Angreifer

Zielgerichtete Angriffe auf industrielle Anlagen werden zunehmend professioneller vorbereitet und durchgeführt. Ein prominentes Beispiel aus 2014 ist Havex. Hierbei handelte es sich um eine modular aufgebaute Schadsoftware, die insbesondere auch Anlagen in Deutschland zum Ziel hatte. Zunächst wurde Havex über Spear Phishing verbreitet. Das heißt: Einzelne Mitarbeiter beim angegriffenen Unternehmen erhielten eine E-Mail die recht authentisch wirkte, und den Empfänger zum Klicken auf einen Link verleiten sollte, oder die teilweise direkt mit Schadsoftware behaftet war.

Die klassische Auto­matisierungspyramide offenbart eine Vielzahl von ­Komponenten, die Teil eines Angriffs-Szenarios werden können.

© BSI

Später kam mit so genannten Waterhole Attacks ein weiterer Verbreitungsweg hinzu. Dabei wurden die Webseiten von Herstellern von Industriekomponenten gehackt und die darauf zum Download angebotenen Softwarepakete beziehungsweise Firmware-Updates für Industriekomponenten mit dem Schadcode versehen. Jeder Anlagenbetreiber oder Integrator, der anschließend einen entsprechenden Download vornahm, wurde somit infiziert.

Havex spionierte anschließend die auf den befallenen Systemen gespeicherten Zugangsdaten, Verbindungsdaten für VPN-Zugänge und weitere sensible Daten aus – vermutlich zur Vorbereitung von schwerwiegenden und umfassenden Folge-Angriffen. Zudem wurde ein Scan nach verschiedenen Industriekomponenten durchgeführt. Hierzu gehörte auch das Mitlesen der Kommunikation auf Basis des industriespezifischen Protokolls OPC. Zu diesem Zeitpunkt versuchte Havex noch, möglichst unentdeckt zu bleiben, so dass weitere Schadroutinen später nachgeladen werden konnten. Jedoch war die Implementierung des OPC-­Protokolls fehlerhaft, was dazu führte, dass verschiedene Industriekomponenten mit OPC-Unterstützung plötzlich abstürzten und den Dienst verweigerten. Havex richtete also bereits Schaden an, ohne dass dies beabsichtigt war! Repräsentativ dafür ist zudem die Tatsache, dass viele Unternehmen längere Zeit infiziert waren, ohne dies selbst zu bemerken.

Stuxnet – der Millionen-Dollar-Angriff

Viele Anlagenbetreiber fühlen sich auch heute noch recht sicher, da sie sich nicht als attraktives Ziel für die Angreifer verstehen. Schließlich wurde von verschiedenen Stellen für den allseits bekannten Stuxnet-Vorfall ein Kostenaufwand seitens der Angreifer jenseits von einer Million US-Dollar geschätzt. Wer also sollte ein kleines oder mittelständisches Unternehmen angreifen und dessen Produktion sabotieren, wenn damit solche Kosten verbunden sind?

Der Angriff auf ein Stahlwerk im Jahr 2013 hat jedoch gezeigt, dass eine signifikante Beschädigung von Produktionsanlagen auch mit weniger Entwicklungsaufwand umsetzbar ist! Bei diesem Vorfall wurde eine zielgerichtete Schadsoftware im Produktionsnetz platziert, die zu einem bestimmten Zeitpunkt zum Ausfall verschiedener Steuerungskomponenten sowie zu einer massiven Beeinträchtigung von Teilen des Produktionsnetzes führte. Dies bewirkte, dass selbst sicherheitsgerichtete Geräte nicht mehr wie geplant funktionieren konnten. Somit befand sich der Hochofen in einem nicht geregelten Zustand. Ein händischer Eingriff konnte nicht rechtzeitig vorgenommen werden, so dass in der Zwischenzeit eine massive Beschädigung der Anlage auftrat. Zunächst glaubte man noch an einen technischen Fehler. Einige Wochen später trat dasselbe Verhalten jedoch erneut auf. Erst dann wurde durch intensive Untersuchungen festgestellt, dass es sich um einen gezielten Cyber-Angriff handelte.

Schafft es ein Angreifer erst einmal in ein Produktionsnetz, sind ihm die dort installierten Komponenten häufig hoffnungslos ausgeliefert. So kann beispielsweise ein Angreifer sukzessive das Produktionsnetz unterwandern und zu einem bestimmten Zeitpunkt vorhandene Schwachstellen ausnutzen, die zu einem Ausfall der Steuerungskom­ponenten führen. Ein Neustart der ­betroffenen Geräte ist nutzlos, da die Schadsoftware sofort wieder aktiv ­werden kann.

Für eine erste Einschätzung der Verwundbarkeit im eigenen Unternehmen genügt häufig schon ein interner Scan mit Tools wie OpenVAS – etwa von ­einem Engineering-PC aus. Hier werden bereits eine Vielzahl von ungepatchten Schwachstellen sichtbar, für die es meist frei zugänglichen Schadcode gibt.

Erfahrungen aus der Revision

Cyber-Angriffe beschränken sich aber nicht nur auf funktionale Anlagenteile, sondern können durchaus auch die funktionale Sicherheit betreffen. So sind häufig die PCs, von denen aus ­Safety-Steuerungen programmiert oder parametriert werden, entgegen der einschlägigen Empfehlungen nicht vom lokalen Netzwerk getrennt. Immer wieder ergibt sich in Revisionsbesuchen, dass diese sogar direkten Internet-Zugriff haben. Zudem sind in vielen Unternehmen gerade die Safety-SPSen noch nie einer Sicherheitsanalyse unterzogen worden. Dies öffnet sowohl allgemeiner Schadsoftware als auch zielgerichteten Angriffen Tür und Tor. Da diese Steuerungen in der Regel außerdem keiner Einbruchsdetektion oder Anomalie-Erkennung unterliegen, kann ein Angreifer hier ungestört agieren.

Die VDI/VDE 2182 zeigt die Verzahnung der Produkt-lebens­zyklen zwischen Her­stellern, Integra­toren und Betreibern.

© BSI

Ein aktuelles Beispiel: Erst vor Kurzem wurde bei einer Revision festgestellt, dass die Not-Aus-Taster in einem produzierenden Betrieb über einen Protokollumsetzer an das allgemeine Produktionsnetz angebunden waren. Eine simple Überlastung des Produktionsnetzes oder die gezielte Manipulation von Netzwerk-Komponenten hätte hier zu einer äußerst kritischen Situation führen können.

Vor diesem Hintergrund erfordert die Cyber-Sicherheit von sicherheitsgerichteten Komponenten ein abgestimmtes Handeln von Herstellern, Integratoren und Betreibern, wie dies auch für die Cyber-Sicherheit funktionaler Steuerungssysteme in der VDI/VDE 2182 postuliert wird. Zunächst sind hier die Hersteller von Safety-Steuerungen in der Pflicht, ihre Produkte und Entwicklungsprozesse angemessen zu gestalten. Dabei geht es nicht darum, ein maximales IT-Sicherheitskonzept umzusetzen, sondern vielmehr um ein solides Basisniveau. Besonders wichtig sind die sorgfältige Dokumentation und die Definition von Anforderungen und Empfehlungen für Integratoren und Betreiber.

Was ist zu tun?

Die Integratoren müssen diese Anforderungen und Empfehlungen beachten und ihrerseits darauf hinwirken, dass die sicherheitsgerichteten Elemente in ihrer Maschine oder Anlage einem soliden Basisniveau der Cyber-Sicherheit genügen. Auch sie haben letztlich Anforderungen und Empfehlungen zu de­finieren, die dann seitens der Betreiber zu beachten sind.

Ziel der Anlagenbetreiber muss es mit Blick auf die aktuelle Bedrohungslage schließlich sein, die Eintrittswahrscheinlichkeiten und die Schadensfolgen von verbreiteten Angriffsarten zu minimieren. Dementsprechend müssen sie sich von der Vorstellung eines sicheren ‚Plug & Produce‘ lösen und dies beim Einsatz der sicherheitsgerichteten Steuerungen auch berücksichtigen. Ein Ansatz hierfür kann sein, zunächst die Mitarbeiter für die Risiken und Bedrohungen im Bereich der Cyber-Sicherheit zu sensibilisieren. Anschließend können die Bedrohungen der Cyber-Sicherheit im Rahmen einer HAZOP-Analyse diskutiert und analysiert werden.

Bei dieser im Deutschen auch als ‚PAAG‘ (für Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen) bekannten Methode führt ein Expertenteam unter Leitung eines erfahrenen Moderators eine systematische Safety-Analyse einer Anlage durch. Durch Ergänzung des Expertenteams um Mitarbeiter aus dem IT-Betrieb sowie IT-Sicherheitsexperten lassen sich tiefgehende Erkenntnisse über die Konsequenzen eines Cyber-Angriffs auf eine Anlage gewinnen. Langfristig anzustreben ist schlussendlich ein kontinuierliches Sicherheitsmanagement, in welches insbesondere sicherheitsspezifische Informationen von Herstellern und Integratoren sowie aktuelle Informationen zur Bedrohungslage einfließen.

Herausforderung Industrie 4.0

Während für Bestandsanlagen eine meist überschaubare Menge an Sicherheitsmechanismen genügt, um ein hinreichendes Sicherheitsniveau bezüglich der IT-Sicherheit zu erreichen, müssen für Industrie 4.0 neue Konzepte erarbeitet werden. In erster Linie gilt es, die mit der starken Vernetzung einhergehende Komplexität der Systeme beherrschbar zu machen. Die klassische Herangehensweise der Segmentierung und minimalen Kopplung von unterschiedlichen Teilnetzen in der Automatisierungspyramide wird dabei nicht mehr funktionieren. Zudem sehen viele Szenarien für Industrie 4.0 eine unternehmensübergreifende Vernetzung entlang der gesamten Wertschöpfungskette vor. Dies macht es ­erforderlich, umfassende und dezentralisierte Konzepte für das Management von Identitäten, Rollen und Berechtigungen zu etablieren. Ein händisches Etablieren statischer Vertrauensbeziehungen ist mit Industrie 4.0 jedenfalls nicht mehr praktikabel.

Hinzu kommt: Wenn die Prozesse und Abläufe einer Industrie 4.0 hoch-dynamisch gestaltet werden sollen, so muss sich auch die Safety in solchen Szenarien dynamisch anpassen lassen. Dies wird vermutlich kein rein manueller Prozess sein, sondern gewisse Automatismen erfordern. Zunächst müssen aber Safety- und Security-Normen – allen voran die IEC 61508 sowie die IEC 62443 – dahingehend angepasst werden, dass sie ineinandergreifen. Derzeit folgen sie vielmehr unterschiedlichen Ansätzen, die Stand heute nicht miteinander kombinierbar sind.

Autor: Holger Junker leitet das Referat C12–Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen – beim BSI.

Eine Roadmap für Cyber-Sicherheit

Das BSI bietet eine Vielzahl von kostenfreien Empfehlungen und Hilfsmitteln im Kontext Industrial Control Systems (ICS) an, die nun sukzessive für den Bereich Safety adaptiert werden. Für den Einstieg eignen sich ins­besondere die ‚ICS Top 10 Bedrohungen‘. Hier werden nicht nur die zehn kritischsten Angriffsvektoren beschrieben, sondern auch geeignete Gegenmaßnahmen aufgezeigt. Zudem ist eine Checkliste für Betreiber und Integratoren enthalten.

Letztendlich ist nur durch kontinuierliche Überprüfung und Umsetzung von Sicherheitsmaßnahmen seitens der Betreiber ein hinreichendes Sicherheitsniveau zu gewährleisten. Bei diesen Maßnahmen handelt es sich nicht nur um technische Maßnahmen, denn Cyber-Sicherheit gibt es nicht als ein fertiges Produkt zu kaufen! Sondern vielmehr spielen gerade organi­satorische Maßnahmen – beispielsweise im Bereich Sicherheits­management, Sensibili­sierung oder Notfallvorsorge – eine zentrale Rolle.
Da viele Unternehmen nicht ad hoc auf einen der komplexen Standards für das Sicherheitsmanagement aufsetzen können, hat das BSI mit dem ‚ICS Security Kompen­dium‘ die wichtigsten Vorgehensweisen und Methoden zusammen­gefasst. Ergänzend steht mit dem kostenfreien Tool ‚Light and Right Security for ICS‘ (LARS ICS) ein Werkzeug zur Verfügung, welches die wichtigsten Maßnahmen auf eine Referenzarchitektur abbildet und so den ‚sanften‘ Einstieg in das Sicherheitsmanagement ermöglicht.

Ziel eines Anlagenbetreibers muss es sein, langfristig ein ganzheitliches Informations-Sicherheits-Management-System (ISMS) zu etablieren. Dabei sollte auf ein bewährtes ISMS wie IT-Grundschutz oder IEC 62443 aufgesetzt werden, ohne jedoch die Anfor­derungen und Beschränkungen des eigenen Unternehmens zu vernachlässigen. Ergänzend dazu muss der Dialog mit Herstellern und Integratoren bezüglich der gegenseitigen Anforderungen geführt werden. Eine Grundlage hierfür liefern beispielsweise die vom BSI erstellten ‚Anforderungen an netzwerkfähige Industriekomponenten‘, die Anlagenbetreiber ver­wenden können, um die von ihnen erwarteten Sicherheitsanforderungen zu beschreiben.