SSV Software Systems

Unterschätztes digitales Risiko

26. Juli 2022, 12:20 Uhr | Klaus-Dieter Walter
SSV - Unterschätztes digitales Risiko
© Pixabay/CC0

Jüngste Cyberangriffe machen das gestiegene Sabotagerisiko auch in industriellen Anwendungen deutlich: Zwei Attacken werden näher beleuchtet.

Die Cyberangriffe auf IoT-Anwendungen häufen sich:Der Beitrag „Cyber-Resilienz für IoT-Anwendungen“ zeigt, dass Kommunikationsanwendungen im IoT-Umfeld nicht gerade sicher sind, und dass offensichtlich ein erheblicher Nachbesserungsbedarf besteht. Wir berichteten vom Zusammenbruch des Satellitennetzwerks KA-SAT (Eutelsat / Viasat) als Folge eines Cyberangriffs und damit von den rund 6.000 nicht mehr erreichbaren Enercon-Windkraftanlagen.

Nahezu zeitgleich haben auch deutsche Dienstleister für das bargeldlose Zahlungswesen zusammen mit dem US-Terminalhersteller Verifone ein weiteres Beispiel geliefert, das zeigt, weshalb wir uns um die Cyber-Resilienz kümmern müssen, um Vorfälle mit noch größeren Auswirkungen zu vermeiden. Seit dem 24. Mai kann man bei unzähligen Einzelhändlern und sogar einigen großen Einzelhandelsketten nicht mehr mit Kredit- oder EC-Karten zahlen, weil die Verifone-H5000-Terminals wegen eines angeblichen „Softwarefehlers“ überraschend ausgefallen sind. Sie müssen nun entweder ausgetauscht oder vor Ort durch einen Techniker mit einem Software-Update wieder zum Leben erweckt werden. Man erkennt gewisse Parallelen: Sowohl beim KA-SAT- als auch beim H5000-Fall wurde durch „unvorhersehbare Ereignisse“ die im Flash eines Embedded Systems gespeicherte Firmware unbrauchbar. Wie lange es dauern wird, bis alle betroffenen Verifone-H5000-Nutzer ihren Kunden wieder bargeldlose Zahlungen anbieten können, war zumindest Mitte Juni 2022 noch nicht bekannt. Ebenfalls identisch ist, dass beim KA-SAT- und auch beim Verifone-Vorfall neben dem Hersteller einer Kommunikationsbaugruppe zahlreiche weitere Unternehmen als Betreiber einer komplexeren IoT-Anwendung sowie verschiedene Aufsichtsbehörden beteiligt sind, die insgesamt nicht gerade durch proaktive Aufklärungsarbeit auffallen.

Die Ursachenforschung

Unterschätztes digitales Risiko
Bild 1. Das Verifone-H5000-Zahlungsterminal wurde vom BSI nach Common Criteria (CC) überprüft. Eigentlich soll eine CC-Zertifizierung den Fall, der nun eingetreten ist, verhindern. Hilfreich wäre eine Gap-Analyse, um herauszufinden, warum die H5000-Ausfallsursachen bei den BSI-Verifizierungs- und Validierungsarbeiten nicht zu erkennen waren, und, ob die Prüftiefe nach EAL POI ausreicht.
© BSI

Hinsichtlich der Verifone-H5000-Zahlungsterminals ist die genaue Ausfallursache bisher nicht bekannt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es allerdings in diesem Fall keine konkreten Hinweise auf einen Cyberangriff. Im Internet wird darüber spekuliert, dass möglicherweise ein abgelaufenes Sicherheitszertifikat für die Fernzugriffsberechtigung auf die zentralen Server die Ursache für den Ausfall sein könnte, was durchaus auch bei industriell genutzten IoT-Anwendungen hin und wieder vorkommt. Da die Finanzdienstleister Payone und Concardis als Betreiber der betroffenen Verifone-Terminals in Deutschland der sogenannten kritischen Infrastruktur zugeordnet werden, befassen sich neben dem BSI auch andere staatliche Organisationen mit dem Vorgang, so etwa die Bundesbank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

In Bezug auf die KA-SAT-Attacke wurden inzwischen schon weitere Details veröffentlicht. Die Angreifer hatten sich offensichtlich sehr ausführlich mit den Viasat-Surfbeam2-Modems auseinandergesetzt und herausgefunden, wie sich über die TR-069-Serviceschnittstelle ein schadhafter Programmcode ausführen lässt, um die Surfbeam2-Firmware im Flash mit einem beliebigen Inhalt zu überschreiben und somit die Geräte dauerhaft außer Betrieb zu setzen.

Erfolgreiche Cyberangriffe auf Modems und Router im Zusammenhang mit TR-069-Schwachstellen sind nicht neu. Als „hochentwickeltes Remote-Management-Protokoll“ für kundeneigene Endgeräte unterstützt TR-069 nicht nur ein vollständiges Firmware-Update, sondern bietet darüber hinaus auch Remote-Code-Execution-Eigenschaften (XML-RPC), die von sachkundigen Angreifern bereits vielfach missbräuchlich genutzt wurden. Die TR-069-Kommunikation zwischen Modem und KA-SAT Network Operation Center (NOC) ist zwar durch ein VPN geschützt, aber auch hier haben die Angreifer offensichtlich eine Schwachstelle gefunden.

Klar ist inzwischen auch, dass der KA-SAT-Angriff in erster Linie das Satelliten-basierte Internet in der Ukraine zum Ausfall bringen sollte. Die in Deutschland ebenfalls betroffenen 6.000 Windkraftanlagen waren wohl nicht das Ziel. Da die Enercon-Anlagenfernsteuerungen aber die gleichen Modems wie die überwiegend privaten KA-SAT-Internetkunden und vermutlich einige ukrainische Behörden nutzen, ist der Anlagenausfall als unbeabsichtigter Spillover-Effekt einzuordnen. Der Fragestellung, warum Bundesnetzagentur und BSI den Einsatz von Satellitenverbindungen mit Baugruppen aus der Konsumerelektronik in kritischer Infrastruktur nicht unterbinden, ist allerdings noch ungeklärt.

Function-by-Design

Bei der Entwicklung von IoT-Produkten und Lösungen stehen in erster Linie die gewünschten Funktionen im Mittelpunkt. Sie werden vor dem Beginn der Entwicklungsarbeiten beziehungsweise beim Start eines Projektes üblicherweise in einem Dokument oder einer Datenbank festgehalten und am Ende an Hand eines Prototypen verifiziert. Darüber hinaus spielen die Entwicklungs- und Stückkosten sowie das Time-to-Market eine sehr große Rolle. Hinzu kommen noch Zulassungsaspekte, wie CE- und UL-Zertifizierungen sowie die erforderlichen Funkzulassungen plus weitere Normen und Vorgaben, die ein Kommunikationsprodukt erfüllen muss. Vor der Vermarktung erfolgt sicherlich auch noch eine Validierung, um zu prüfen, ob mit dem Entwicklungsergebnis die gewünschten Nutzungsziele zu erreichen beziehungsweise die angestrebten Anwendungsfälle realisierbar sind.

Die Cybersicherheit spielt in den meisten Entwicklungsvorhaben und IoT-Projekten nur eine Nebenrolle. Vielfach gibt man sich damit zufrieden, dass die Verbindungen über öffentliche Netze TLS-gesichert erfolgen und, dass durch ein TLS-Protokoll an sich die elementaren IT-Schutzziele Vertraulichkeit, Integrität sowie Verfügbarkeit erfüllt werden – hinsichtlich der Vertraulichkeit und Integrität trifft das für zwei TLS-Endpunkte auch zu, bezüglich der Verfügbarkeit allerdings nicht. Übersehen wird vielfach, dass TLS-Verbindungen nicht unangreifbar sind, der TLS-Code nicht fehlerfrei ist und dass keine Ende-zu-Ende-Sicherheit über Medienbrüche hinweg existiert.

Was die Enercon-Ingenieure bei der Evaluierung der KA-SAT-Satellitenverbindung mit den Surfbeam2-Modems neben der Kommunikationsfunktionalität noch geprüft haben und welche Risikoanalysen durchgeführt wurden, ist nicht bekannt. Da Surfbeam2-Satellitenmodems auch bei Amazon bestellbar sind und somit ein potenzieller Cyberangreifer die Technik eines solchen Gateways in Bezug auf Schwachstellen, wie etwa die TR-069-Serviceschnittstelle und der dafür benutzte TCP-Port 7547, sehr genau untersuchen und Angriffsszenarien entwickeln kann, wurde vermutlich nicht als Risiko erkannt.

Etwas anders verhält es sich mit der Cyber Security beim Verifone-H5000. Auf Grund der Anwendung besitzt diese Baugruppe eine sehr umfangreiche Common-Criteria-Sicherheitszulassung durch das BSI (Bild 1). Allerdings sollten Hersteller und Betreiber daraus nicht ableiten, dass nun überhaupt nichts mehr schiefgehen kann. Trotz der Zulassungsprüfung kann es einen fehlerhaften Programmcode geben, der im Rahmen der Codeanalyse nicht erkannt wurde. Auch das Ablaufdatum eines Sicherheitszertifikats und andere mögliche Angriffsvektoren bilden nach wie vor existente Betriebssicherheitsrisiken mit entsprechender Eintrittswahrscheinlichkeit. Es ist allerdings davon auszugehen, dass die Beteiligten sich auf Grund der BSI-Zertifizierung vor dem ersten H5000-Einsatz schwerpunktmäßig auf Use-Case-Evaluierungen konzentriert haben.

Mögliche Verbesserungsvorschläge

Unterschätztes digitales Risiko
Bild 2. Bei einem A/B-Bootkonzept befinden sich zwei voneinander unabhängige Firmware-Image-Dateien im Flash der jeweiligen Hardware. Ein speziell angepasster Bootloader kann wahlweise das Image A oder B starten. Ist der Flash-Bereich für Image A zum Beispiel durch einen Cyberangriff oder ein abgelaufenes Zertifikat unbrauchbar, wird Image B gestartet und ein Remote-Update für Image A durchgeführt.
© SSV

Einen Vorteil haben beide Ereignisse: Man kann aus ihnen lernen und sich Verbesserungen für zukünftige Entwicklungen überlegen, um unerwartete Ausfälle zu vermeiden. Hierzu drei Beispiele:

CC-Zertifizierung: Eine Sicherheitszertifizierung ist in mehrfacher Hinsicht lediglich ein Snapshot, also eine Momentaufnahme zu einem bestimmten Zeitpunkt, die nicht unbedingt auf den gesamten Produktlebenszyklus übertragbar ist. Ohne entsprechende Prozesse (z. B. DevOps) zur Anpassung der Hard- und Software an veränderte Anforderungen, lässt sich weder die Cybersicherheit noch die Serviceverfügbarkeit über den gesamten Lebenszyklus eines Produkts oder einer Lösung gewährleisten.

Unterschätztes digitales Risiko
Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.
© SSV

TR-069: Remote-Management-Werkzeuge, wie etwa TR-069-basierte Lösungen, die für Providerfernzugriffe über öffentliche Netzwerke benutzt werden, sollten in Anwendungen mit hohen Sicherheits- und Verfügbarkeitsanforderungen überhaupt nicht zum Einsatz kommen. Falls sich solche Remote-Management-Zugänge nicht vermeiden lassen, sollte die betreffende Baugruppe oder die lokale Netzwerkseite einen redundanten Out-of-Band-Kommunikationskanal plus zusätzliche Resilienz-Funktionen aufweisen.

A/B-Boot: In Bezug auf die Anforderungen an die Software der beiden Baugruppen hätte ein A/B-Bootkonzept (Bild 2) die Betriebsunterbrechung verhindern können. In einigen industriellen Kommunikationsbaugruppen, aber auch in unzähligen Automotiv-Steuergeräten ist ein solches Verfahren schon längst Stand der Technik.


Das könnte Sie auch interessieren

Verwandte Artikel

SSV Software Systems GmbH

Safety & Security