OT-Netzwerke werden oft ganz oder teilweise aus dem IT-Netzwerk ausgelagert, um zu verhindern, dass Online-Bedrohungen in diese Bereiche eindringen können. Viele Sicherheitsstandards und Zertifizierungen wie ISO 27001 verlangen, dass die Trennung zwischen IT- und OT-Netzwerken kontrolliert gehandhabt wird. OT-Netzwerke enthalten ICS (Industrielle Steuerungssysteme), die oft als SCADA- (Supervisory Control And Data Acquisition) System / Netzwerk oder als DCS (Distributed Control System) strukturiert sind. Diese enthalten dann Roboter, Speicherprogrammierbare Steuerungen und IIoT-Geräte, die möglicherweise Daten über eine USB-Massenspeicherschnittstelle empfangen oder ausgeben müssen.

Die Standard-USB-Massenspeicherschnittstelle an sich bietet nur sehr begrenzte Möglichkeiten, um Sicherheit zu gewährleisten. Ein USB-Gerät, das sich gemäß dem USB-Standard zu erkennen gibt, erhält im Allgemeinen einen vollen Zugriff auf die Teile des Host-Systems, die von der Art des Geräts vorgegeben werden, sei es als Massenspeichergerät oder als Tastatur.

Bösartige Hardware und elektrische Angriffe

Der Hauptakteur, der maßgeblich das Vertrauen in das USB-Protokoll verletzt hat, ist unter dem Namen BadUSB bekannt. Solche BadUSB-Geräte sind, kurz gesagt, „Betrüger“. Sie geben sich als vertrauenswürdige Laufwerke zu erkennen, führen aber tatsächlich eine böswillige Attacke aus, häufig in Form eines Keystroke-Injection-Angriffs. Das Aushängeschild für diese Art von Angriff ist der von Hak5 produzierte RubberDucky. Theoretisch könnte sogar ein Security-Token wie Yubikey so programmiert werden, dass ein bösartiger Inhalt übertragen werden kann. Dies sind keineswegs die einzigen Übeltäter, da auch andere Allzweck-Computerplattformen wie Arduino oder Raspberry Pi verwendet werden können, um denselben Angriff zu starten. Das vom Angreifer benötigte Know-how und Budget sind sehr gering, da vorgefertigte Angriffe für wenig Geld zu bekommen sind.

Der fehlende Überspannungsschutz führt zu weiterem Misstrauen gegenüber USB-Schnittstellen, da diese einfach alles, was angeschlossen wird, mit Strom versorgen. Dieses Verhalten hat den sogenannten USB-Killer erst möglich gemacht: Das Gerät verwendet die von der Schnittstelle bereitgestellte Energie zum Aufladen und entlässt dann die kumulierte elektrische Last über den USB-Port zurück in den Host. Dies verursacht eine Überspannung und häufig einen vollständigen elektrischen Ausfall des Host-Rechners. Der USB-Killer ist vergleichbar mit einem Schraubenschlüssel, der in eine sich bewegende Maschine geworfen wird. Er verwendet jedoch den USB-Anschluss und hinterlässt dabei weniger Spuren. Das Endergebnis ist ein defekter Roboter ohne wirklich erkennbare Ursache.

USB Jumping Malware

Wie kann man ein Offline-Netzwerk böswillig beeinflussen? Für die Entwickler der Malware Stuxnet war die Antwort einfach: Infiziere so viele USB-Laufwerke wie möglich, irgendwann findet die Malware ihr industrielles Zielsystem. Stuxnet wartete geduldig, bis eines Tages ein passendes Ziel erreicht war: Der Arbeitsplatz-PC eines Ingenieurs mit Zugriff auf die SPS-Geräte in der iranischen Uran-Anreicherungsanlage Natanz. Bei dem Angriff wurden schätzungsweise 1.000 Zentrifugen zerstört. Der Stuxnet-Angriff und die dazu verwendete Technologie brachten weitere ICS-spezifische Bedrohungen hervor, etwa Trisis. Trisis, auch als Triton oder Hatman bezeichnet, ist in der Lage, eine Fehlfunktion im Triconex Safety Instrumented System (SIS), einer häufig eingesetzten Logiksteuerung von Schneider Electric, zu erzwingen. Diese Steuerungen werden in erster Linie zur Verwaltung der Anlagen in Kernkraft-, Öl- und Gasproduktionswerken sowie Papierfabriken eingesetzt. Diese Angriffe können außergewöhnliche Folgen haben, wie 2019 im Technology Review des MIT berichtet wurde: „Die Schadsoftware kann Sicherheitssysteme, die entwickelt wurden, um katastrophale Industrieunfälle zu verhindern, außer Kraft setzen. Sie wurde im Nahen Osten entdeckt, doch die verantwortlichen Hacker haben es jetzt auch auf Unternehmen in Nordamerika und anderen Teilen der Welt abgesehen.“ Dies veranlasste MIT Technology Review dazu, sie als „die mörderischste Malware der Welt“ zu bezeichnen. Der Grund dafür ist ein aufsehenerregender Angriff, den TechCrunch als den Versuch, „eine saudische petrochemische Fabrik in die Luft zu sprengen“, zusammenfasste.

Die allgemein gültige Schwäche der SPSen, die bei diesen Angriffen ausgenutzt wird, ist die fehlende Verifizierung auf der Basis von kryptografischen Signaturen, da die Geräte mehr oder weniger das verarbeiten, was ihnen angeliefert wird – vorausgesetzt, das Format ist korrekt. In diesem Zusammenhang ist zu beachten, dass sich alle normalen Desktop-Computer in OT-Netzwerken natürlich mit Standard-Malware-Angriffen infizieren lassen. Ein Beispiel ist die Anfang 2020 entdeckte Ransomware Spora, die sich über generische USB-Laufwerke ausbreiten kann.

USB-Sicherheitslösungen

Eine sichere USB-Hardware-Lösung bietet das Unternehmen Datalocker mit dem Sentry K350, der seit November 2021 erhältlich ist.

© Prosoft

Der Umgang mit der Sicherheit in einer ICS-Umgebung erfordert im Allgemeinen einen mehrschichtigen Ansatz, wie ihn das NIST (National Institute of Standards and Technology) im Guide to Industrial Control Systems (ICS) Security empfiehlt. USB-Schutzmaßnahmen sind dabei nur ein Teil eines komplexen Schutzkonzeptes. Speziell für das Verwenden von USB-Laufwerken hat das ICS-CERT, das National Cybersecurity and Communications Integration Center, einen Leitfaden herausgegeben: Er empfiehlt, strenge Richtlinien für Unternehmens- und ICS-Netzwerke zu erstellen. Wie diese gestaltet werden, is abhängig der jeweiligen Organisation.

Das physische Layout von Anlagen- und OT-Netzwerken kann sich stark unterscheiden: Von der einzelnen Industrieanlage bis hin zum weitverzweigten Netzwerk eines Stromnetzbetreibers.

Nachstehend Lösungsvorschläge, die die erforderlichen Kriterien erfüllen.

Standardisierte USB-Geräte im OT-Netzwerk

Mit physische Sicherheitskontrollen sollte gewährleistet werden, dass nur ausgewählte, vertrauenswürdige, verwaltete und sichere USB-Geräte zur Verwendung im OT-Netzwerk zugelassen werden. So wird die Bedrohung durch bösartige Hardware-Angriffe und vor allem ein elektrischer Angriff ausgeschlossen. Einige OT-Netzwerke sind in Bezug darauf, welche Geräte physischen Zugang haben dürfen, schwieriger zu kontrollieren, sodass diese Vorgehensweise oft unterstützende Maßnahmen benötigt, um wirksam zu sein.

Ein Beispiel, um OT-Netzwerke besser abzusichern, sind USB-Sticks mit alphanumerischem Tastaturfeld. Diese Tastaturgeräte lassen sich vollständig verwalten und überwachen. Werden diese Geräte an Client PCs angeschlossen, lassen sie sich auch als Wechselmedium mit kontrollierter, eigenständiger Authentifizierung einsetzen. Die Fähigkeit zum eigenständigen Entsperren ist entscheidend, damit SPS- und IoT-Geräte Daten lesen und schreiben können. Die Geräte bieten auch die Möglichkeit, die Medien mithilfe einer kryptografischen Löschung zu bereinigen. Dies ist entscheidend, um die Anforderungen unterschiedlicher Netzwerke zu erfüllen. Eine kryptografische Löschung kann auch Teil einer gesetzlichen Anforderung sein, um sicherzustellen, dass vertrauliche Daten nach Abschluss eines Projektes zerstört werden.

Bereichsschutzgrenzen einrichten

Eine weitere Schutzmaßnahme sind Kiosksysteme beziehungsweise Wechseldatenträgerschleusen. Der Zweck dieser, auch White Stations genannten Systeme besteht darin, eine Zugangskontrolle zwischen dem IT- und dem OT-Netzwerk zu implementieren. Dadurch lässt sich für alle Daten, die in das OT-Netzwerk eingebracht werden, ein bestimmtes Sicherheitsniveau erreichen. Die White Station soll so konzipiert sein, dass sie der Wächter und das einzige Gerät ist, welches den Bedrohungen von außen begegnet. Es gibt eine Vielzahl von Möglichkeiten, einen Desktop-Computer als White Station einzurichten. Im Allgemeinen sollte das Gerät über eine aktuelle Anti-Malware-Engine und einen regelmäßigen Wartungsplan für Betriebssystem-Updates verfügen. Die Standardhardware lässt sich auch durch einen ESD (Electrostatic Discharge) geschützten USB-Hub ergänzen, der eine Überspannung ausschließt. Es wird außerdem empfohlen, nur eine HID-Tastatur zuzulassen, um die meisten BadUSB-Gefahren umgehend zu eliminieren.

Optionale Richtlinien zur Beschränkung der Dateitypen

Durch die Kombination unterschiedlicher Technologien ist es je nach Richtlinie möglich, eine oder mehrere White Stations einzurichten. Der USB-Stick lässt sich so konfigurieren, dass ein integrierter Malware-Schutz sicherstellt, dass über USB eingebrachte Malware sofort gestoppt wird. Bei der Verwaltung des Sticks ist es möglich, mithilfe einer Dateibeschränkungsrichtlinie vorzugeben, welche Dateitypen für das OT-Netzwerk zugelassen sind. Kombiniert man das Gerät bei der Installation mit einer USB-Port-Kontrollsoftware auf einem Desktop, kann ein weiterer Schutz erreicht werden. Die Software kann dann so konfiguriert werden, dass nur Lesevorgänge von Geräten an der White Station zugelassen sind.

USB-Ports jederzeit kontrollieren

Nach Möglichkeit sollte zudem der Zugang zu USB-Anschlüssen an SPS- und Computergeräten durch abschließbare Schränke oder physische USB-Schlösser – wenn diese nicht mit einer USB-Port-Kontrollsoftware ausgestattet werden können – beschränkt werden. Für jedes Standardbetriebssystem sollte eine Port-Kontrollsoftware installiert sein. Die Logik hinter diesem Schutz ist ganz einfach: Durch die Beschränkung des Zugangs zum USB-Port ist die Bedrohung durch nicht zugelassene USB-Geräte ausgeschlossen. Die USB-Port-Kontrollsoftware sollte auf allen kompatiblen Computern im OT- und IT-Netzwerk installiert sein, um sicherzustellen, dass nur die autorisierten Geräte als USB-Massenspeicher verwendet werden können.

Datenbereinigung von Speichergeräten

Verwendeten Speichermedien regelmäßig zu bereinigen, ist eine weitere sinnvolle Maßnahme, um die Verbreitung von Schadsoftware zu verhindern. Dies gewährleistet saubere Kontrollpunkte im Betrieb und kann auch Teil der Einhaltung von Vorschriften sein, um nachzuweisen, dass sensible Daten niemals unbegrenzt auf Wechselmedien gespeichert werden können. Normale USB-Laufwerke können auch als Datenhortungsgeräte bezeichnet werden, da sie so konstruiert sind, dass sie eine maximale Lebensdauer des Geräts gewährleisten. Das bedeutet, dass die Datensektoren nur dann überschrieben werden, wenn es absolut notwendig ist und unabhängig davon, ob die Dateizuordnungstabelle (FAT) ein „sauberes“ Gerät anzeigt. Bei einem regulären USB-Laufwerk wiegt sich der Anwender in Sicherheit, doch die Daten lassen sich von jedem einfach wiederherstellen.

Hardware-verschlüsselte Laufwerke lösen das komplizierte Bereinigungsproblem, indem sie eine Methode namens ‚Kryptografische Löschung‘ verwenden. Dabei handelt es sich um die Zerstörung des bisherigen sowie die Generierung eines neuen AES-Schlüssels. Dieser Prozess stellt sicher, dass die Medien sauber sind und den NIST 800-88-Richtlinien für die Medienbereinigung (Media Sanitization) entsprechen. Die meisten Länder haben ähnliche Standards, da eine vollständige kryptografische Löschung die schnellste und effektivste Löschung darstellt.

Anti-Malware und Datenauthentizität

Der Autor: Robert Korherr ist Geschäftsführer bei Prosoft.

© Prosoft

Die White Stations und alle kompatiblen Endpunkte im OT-Netz sollten mit mindestens einer Malware-Schutzschicht ausgestattet sein, um insbesondere die Malware zu bekämpfen, die sich über USB ausbreitet. Darüber hinaus sollten alle Daten, die für PLCs oder Maschinen bestimmt sind, auf den White Stations vorverifiziert werden. Dies kann durch das Überprüfen kryptografischer Signaturen oder der Hashwerte erfolgen, die der Softwarehersteller bereitstellt. Dieser Schritt stellt sicher, dass die übertragenen Daten die exakte Kopie derjenigen Daten sind, die der Softwareentwickler ursprünglich angeliefert hatte.

Empfohlen wird daher ein USB-Stick sowohl mit integriertem Malware-Schutz als auch Dateitypbeschränkungen. So ist es einem Administrator möglich, den MD5-Hashwert aller auf dem Gerät gespeicherten Daten zu überprüfen, um sicherzustellen, dass nur die korrekten Daten auf die SPS übertragen werden.