Industrial Security Industrial Security: der Malware auf der Spur

Autor / Redakteur: Marcel Kisch / Melanie Krauß

Malware, wie Wannacry und Industroyer, hat viel Schaden angerichtet. Zeit für eine Zusammenfassung dokumentierter Risiken und deren Folgen für Operational-Technology-(OT-)Netzwerke.

Firmen zum Thema

(Bild: gemeinfrei (Pixabay, Thedigitalartist) / CC0 )

Mit zunehmendem Einsatz von IoT-Techniken rückt auch die Sicherheit von Operational-Technology-(OT-)Netzwerken stärker in den Fokus. Mit gutem Grund: Beim Angriff auf OT-Netzwerke und -Maschinen können komplette Betriebs- und Prozessabläufe ernsthaft gefährdet werden. Wannacry und Industroyer waren jüngst in der Lage, in OT-Umgebungen vorzudringen und Produktionsabläufe in betroffenen Unternehmen ernsthaft zu stören. Maschinen streikten und Haushalte wurden nicht mehr mit Strom beliefert.

Wannacry: eine Windows-Schwachstelle provoziert Zerstörung

Der Wannacry-Ransomware-Angriff im Mai 2017 konzentrierte sich zunächst scheinbar nur auf medizinische und administrative Netzwerke in britischen Krankenhäusern, weitete sich jedoch nach seinem Ausbruch noch in derselben Nacht auf mehr als 150 Länder und verschiedene Branchen aus. In mehreren Produktionsbetrieben in Europa und Asien kam es zu wiederkehrenden Ausfallzeiten.

Als Infektionsursache wurde eine Malware identifiziert, die öffentliche Adressräume im Internet scannte und sich wie ein Lauffeuer in denjenigen Netzwerken verbreitete, bei denen das Server-Message-Block-Netzwerkprotokoll für externe Verbindungen geöffnet war. Dafür verwendete die Malware von der NSA gestohlene Exploits, also Programmcodes, die eine bekannte Schwachstelle im Windows-Betriebssystem ausnutzten.

Zwar war bereits im März 2017 ein Patch für diese Windows-Schwachstelle veröffentlicht worden, doch viele Unternehmen aktualisierten ihre Systeme nicht rechtzeitig oder vertrauten auf eine Trennung von IT- und OT-Netzwerken. Bei den betroffenen Unternehmen und Organisationen unterbrach die Wannacry-Ransomware die Betriebsabläufe. Sie verschlüsselte wichtige Unternehmens- und Administrationsdaten und forderte für deren Freigabe eine Bezahlung.

Industroyer: Gezielte Industrie-Attacke verdunkelt Heiligabend in Kiew

Industroyer, auch als Crash Override bekannt, war ein gezielter Angriff auf ein 200-MW-Umspannwerk in der Ukraine Ende Dezember 2016. Der Angriff nahm das Umspannwerk vom Netz. Es war über eine Stunde offline und konnte vom Betreiber nicht gesteuert werden. Das führte zu einem Stromausfall in der ukrainischen Hauptstadt Kiew – wenige Stunden vor Heiligabend. Die modular aufgebaute Malware ist auf Industrial-Control-Systeme (ICS) ausgerichtet, um größtmöglichen Schaden anzurichten. Ihr Angriffsvektor ist bis heute unbekannt. Experten vermuten, dass damit nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden sollte. Es ging darum, Informationen zu sammeln, um irgendwann einmal in der Lage zu sein, ganze Betriebsabläufe zu stoppen oder einzelne Geräte zu zerstören.

Der Industroyer-Code enthält gültige Steuerbefehle und konnte den Betrieb tatsächlich unterbrechen. Noch gravierender: Es gibt Hinweise darauf, dass der Malwarecode dem Control Center falsche Werte liefern kann (wie Stuxnet) oder ein Umspannwerk in einen Fail-safe-Modus setzen kann. Was passierte genau? Die Industroyer-Malware sammelte zuerst Informationen über bestimmte Arbeitsläufe innerhalb des Netzwerks, zum Beispiel Informationen über deren Kommunikation und Konfiguration. Sobald sich die Malware als gefälschter Systemprozess in das Netzwerk eingenistet hatte, wurden gültige Steuerbefehle an die angeschlossenen Stromunterbrecher und die Schalter weitergeleitet. Dadurch konnte das Umspannwerk vom Übertragungsnetz oder den Verteilungsleitungen getrennt werden. Sobald die Verbindung unterbrochen war, war der Strom in der Region weg.

Die Malware Industroyer nahm Ende Dezember 2016 ein Umspannwerk in der Ukraine über eine Stunde lang vom Netz.
Die Malware Industroyer nahm Ende Dezember 2016 ein Umspannwerk in der Ukraine über eine Stunde lang vom Netz.
(Bild: gemeinfrei (Pixabay, 127071) / CC0 )

Selbst wenn Sicherheitskontrollen vorhanden gewesen wären, hätten sie vermutlich nur höhere Ebenen des OT-Netzwerks abgedeckt. Denn in den allermeisten Unternehmen findet in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzwerkverkehrs statt. Die Sicherheitsanalyse ergab zudem, dass die modular aufgebaute Industroyer-Malware industrielle Kommunikationsprotokolle nutzte, die speziell in kritischen Infrastrukturen eingesetzt werden. Hinzu kommt: Die Malware lässt sich um zusätzliche Funktionen erweitern und damit auch in anderen industriellen Netzwerken einsetzen.

Patching alleine reicht nicht, um OT-Netzwerke zu schützen

Auch wenn zunächst ein frühzeitiges Patching die beste Vorsichtsmaßnahme zu sein scheint, ist der Sicherheitsansatz bei OT-Netzwerken wesentlich komplexer.

Warum? Produktionsmaschinen sind meist vom Hersteller zertifiziert, Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann jedoch unerwünschte Auswirkungen auf die Produktionsparameter haben. In extremen Fällen kann auch ein Patching zu einem inakzeptablen Risiko für den gesamten Betriebsprozess werden. Daher sind die klassischen IT-Sicherheits-Maßnahmen für OT-Bereiche nicht immer anwendbar. Es sollte ein mehrschichtiger Sicherheitsansatz gewählt werden:

  • Für alle Sicherheitsphasen: von der Vorbeugung bis zur Wiederherstellung des Systems nach einem Angriff;
  • für alle Sicherheitsmaßnahmen: von Arbeitsprozessen bis zum Einsatz passender Technologien;
  • Überwachung aller Technologiebereiche: vom Gateway- bis zum End-Point-Schutz (gegebenenfalls wird das Gateway bis zur Anlage beim Kunden erweitert);
  • Überwachung des OT-Netzwerkes: von der Daten­erfassung bis zur speicherprogrammierbaren Steuerung (SPS), den Remote Terminal Units (RTU) oder sogar bis zur Sensor- und Actuator-Ebene.

Darüber hinaus werden selten Sicherheitsinformationen aus industriellen Netzen erhoben, sodass sowohl Eintrittspunkt, Angriffspfad sowie Angriffszeitpunkt nicht genau festgestellt werden können. Forensische Angriffsanalysen sind dann oft gar nicht möglich. Zudem gilt: Selbst wenn das OT-Netzwerk vom IT-Unternehmensnetzwerk getrennt wird, sind sowohl Menschen als auch Daten oft in beiden Netzwerken unterwegs. Die Verbindung beider Netzwerke sollte daher ebenfalls stets überwacht werden.

Als Fazit lässt sich feststellen: Industrielle Infrastrukturen benötigen heute den gleichen hohen Schutz wie die Corporate IT.

In Teil 2 der Serie zeigen wir, wie Unternehmen Cyberattacken begegnen sollten und was sie bereits im Vorfeld tun können, um sich davor zu schützen:

* Marcel Kisch ist weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0) in 71139 Ehningen, Tel. (08 00) 2 25 54 26, halloibm@de.ibm.com, www.ibm.com/de-de

(ID:45326786)