Der Cyberkrieg hält auf vielfältige Art und Weise Einzug in den Produktionsstätten. Dies sollte für die Industrie aber kein Anlass sein, auf die Potenziale vernetzter Systeme zu verzichten oder die überfällige Verzahnung von Industrie und IT weiter zu verzögern. Vielmehr ist es Aufgabe der IT-Security, mithilfe der verfügbaren Sicherheitssysteme die Voraussetzungen für eine sichere Öffnung der Netze zu schaffen.

Dafür benötigen die Verteidiger aber zunächst einmal detaillierte, handlungsrelevante Informationen. Sie müssen die Schwachstellen der Produktionsnetze, die Angriffsvektoren und die verwendeten Tools genau kennen, um die Abläufe der Angriffe zu verstehen, die Ausbreitung von Malware zu verhindern und eventuelle Schäden so schnell wie möglich zu beheben. Dabei kann die IT-Security zwar auf vorhandenes Know-how, existierende Wissensdatenbanken und etablierte Pro­zesse zum Wissensaustausch zugreifen – die Art, wie Industrienetze kom­promittiert werden, ist ja oft mit dem Office-Umfeld vergleichbar. Spätestens, wenn es spezifisch um den Schutz nachgelagerter Produktivsysteme geht, sind verlässliche Informationen bislang aber dünn gesät.

Doch das ändert sich jetzt sukzessive. Eine Reihe engagierter Security-Initiativen rückt derzeit die Absicherung von Industrieumgebungen in den Fokus. Auf zwei innovative ­Projekte soll im Folgenden näher eingegangen werden: die Suchmaschine Shodan und den ICS/SCADA-Honeypot Conpot.

Shodan ist eine 2009 vom Programmierer John Matherly entwickelte Suchmaschine, mit der sich das Internet nach unterschiedlichsten erreichbaren Systemen durchsuchen lässt.

Shodan – Suchmaschine für das IoT

Im Gegensatz zu Content-basierten Engines wie Google lässt Shodan dabei einfach einen Portscan über die IP-­Adressen ­laufen – und sammelt und indiziert ­anschließend die zurückgesen­deten Banner. Auf diese Weise kann man das Web nach Servern und Routern bestimmter Typen oder nach IP-basierten Endpoints durchsuchen. Die User können ihre Suchabfragen dabei über Filter genau spezifizieren – etwa indem sie Herstellernamen, Port-Angaben, Regional-Codes oder Protokolle kombinieren, um gezielt SCADA-Server in einem bestimmten Land zu finden.

Damit ist Shodan ein nützliches Tool, um Schwachstellen oder fehlerhaft konfigurierte Systeme im eigenen Netzwerk zu lokalisieren: Liefert die Suche nach einem über das Internet erreichbaren SPS oder HMI in der IP-Range des Unternehmens einen Treffer, wissen die Verantwortlichen sofort, dass eines ihrer System möglicherweise nicht richtig konfiguriert ist – und können den Fehler entsprechend beheben. Und auch Sicherheitslücken durch ungepatchte Altsysteme, versehentlich geöffnete Ports oder nicht geänderte Default-Passwörter lassen sich zuverlässig ermitteln und schließen. Zu bedenken ist dabei jedoch: Wenn ein System auf Shodan gefunden wurde, ist es auch für alle anderen sichtbar!

Bei allen Vorteilen, die Shodan als Suchmaschine für das Internet der Dinge bietet, gibt es auch kritische Stimmen. Wie fast alle Lösungen für Penetration Testing und Schwachstellen-Management kann sich Shodan nicht dem Vorwurf entziehen, in den falschen Händen leicht als Hacking-Tool missbraucht zu werden. Das entspricht den Tatsachen: Längst sind Hacking-Toolkits mit Shodan-Schnittstelle im Darknet erhältlich. Doch sind sich viele Security-Experten einig, dass die gleichen Suchfunktionen für Botnetz-Betreiber und -Nutzer auch über ihre eigenen Systeme realisierbar sind.

Schwachstellen aufspüren

Die Analyse der eigenen Schwachstellen und, darauf aufsetzend, die Minimierung der Sichtbarkeit der Produktionssysteme im Internet ist ein wichtiger erster Schritt bei der Absicherung der ICS-Umgebung. Doch angesichts der zunehmenden Zahl maßgeschneiderter, mehrstufiger Advanced Persistent Threats (APT), die die vorhandene ­Security-Architektur gezielt umgehen, kommen die Security-Teams nicht ­umhin, auch die Bedrohungen sorg­fältig zu analysieren.

Allerdings gelangen bislang nur relativ wenige Informationen über Angriffe auf Industrieumgebungen an die Öffentlichkeit – und oft erst lange nach den Vorfällen. Verglichen mit der riesigen Zahl dokumentierter Security-Vorfälle in Office-Umgebungen sind die bekanntgewordenen Fallzahlen im Industrieumfeld bis dato überschaubar und die Faktenlage dementsprechend dünn. Die Security-Initiative Conpot ist angetreten, um dies zu ändern.

Conpot (kurz für Control System Honeypot) ist eine von langjährigen IT-Security-Experten, darunter Lukas Rist von Blue Coat, ins Leben gerufene Initiative unter dem Dach des Honeypot-Projects.

Honeypots für die Industrie

Hinter Conpot steht die Idee, im Internet interaktive, virtuelle Systeme zu platzieren, die sich nach außen hin exakt wie ungeschützte ICS-Server oder Industrienetzwerke verhalten. Anschließend wartet der Betreiber des Honeypots ab, bis ein Angreifer das emulierte Kraftwerk, Verteilerhäuschen oder Industrieunternehmen attackiert – und kann Schritt für Schritt die Anatomie des Angriffs beobachten. Schon für sich genommen liefert jeder Fall somit wertvolle Analysen von Angriffsvektoren. Noch aufschlussreicher ist es, wenn im Rahmen der Initiative Dutzende von Angriffen ausgelesen, analysiert und korreliert werden – dann lassen sich Aussagen zu Trends und Entwicklungen, regionalen und thematischen Schwerpunkten der Angriffe und viele weitere Informationen ableiten.

Die Abbildung zeigt die Orte auf der Welt, an denen Industrial Control Systems (ICS) aktiv sind sowie andere damit verbundene Daten.

© https://ics-radar.shodan.io

Auf diese Weise erleichtert der Honeypot maßgeblich die Suche nach ­Anomalien im Produktionsnetz. Diese gleicht in vielen Unternehmen der sprichwörtlichen Suche nach der Nadel im Heuhaufen. Implementiert man aber einen Honeypot, kann sich der Security-Analyst sicher sein, dass es sich bei allen Events an diesem Endpoint um ‚Nadeln‘ (oder um fehlerhaft konfigurierte Systeme) handelt. Denn am Honeypot kann keinerlei reguläre Kommunikation stattfinden. Und schließlich sorgt der virtuelle Köder auch für dringend benötigte Ablenkung der Angreifer: Jede Minute, die ein Hacker damit verbringt, schafft wertvolle zeitliche Freiräume zur Absicherung der echten kritischen Infrastrukturen.

Der Emulator ist als Open-Source-Software unter http://www.conpot.org verfügbar. Auf diese Weise hat jeder Entwickler die Möglichkeit, ein realitätsgetreues, virtuelles Modell seiner Umgebung zu generieren und ins Netz zu stellen. Das Security-Team erhält so einen ersten Eindruck davon, mit wie viel Aufmerksamkeit es online rechnen muss – und kann seine Verteidigungsstrategien entsprechend anpassen.

Zusammenfassend lässt sich festhalten: Unternehmen, die ihre Produktionsumgebungen wirkungsvoll absichern möchten, sollten zunächst die Sichtbarkeit ihrer ICS im Web prüfen und minimieren. Angesichts der hohen Zahl von Advanced Threats kommt ­darüber hinaus der Threat Intelligence eine zunehmend hohe Bedeutung zu. Die Security-Abteilungen müssen umfassend über das Vorgehen der An­greifer und den gesamten Lebenszyklus der Threats im Bilde sein, um darauf aufsetzend eine ganzheitliche Security-Strategie entwerfen zu können.

Security-Maßnahmen ergreifen

Ergänzend dazu gilt es, die Best Practices der IT-Security zu implementieren und die über das Internet erreichbaren Teile des Netzwerks zuverlässig abzusichern. Für sensible Umgebungen sind außerdem dedizierte Security-Systeme für ICS verfügbar. So gibt es beispielsweise von BlueCoat mit der ICS Protection Scanner Station eine Lösung, die Industriecomputer vor Malware auf USB-Datenträgern schützt. Für Security Analytics Platform ist ebenfalls ein spezielles SCADA ThreatBlade erhältlich, das potenzielle Angriffe auf ­SCADA-Systeme in Echtzeit erkennt.

Eine nahtlos integrierte Lösung für die Absicherung von Produktionssystemen wird allerdings erst in greifbare Nähe ­rücken, wenn die proprietären Industriestandards sukzessive durch Standard-IT abgelöst und in die bestehenden Security-Architekturen eingebunden werden. Die dafür erforderlichen Konzepte – IPv6-basiertes Networking, lückenloses Netzwerk-Monitoring und ein durchgängiges Patch- und Vulnerability-Management – liegen längst vor. Jetzt gilt es, die Voraussetzungen für ihren flächendeckenden Einsatz zu schaffen.

Autor: Christophe Birkeland ist Chief Technology Officer of Malware Analysis bei Blue Coat Systems.