IT-gestützte Kontrollsysteme steuern Motoren, Pumpen und Maschinen oder regeln Kühlkreise. Da immer mehr Industrieanlagen über das Internet vernetzt sind, macht sie das für Hackerattacken verwundbar. Wie schützt man die Infrastruktur?
Wie können IT-gestützte Kontrollsysteme gegen Hackerangriffe geschützt werden?
Der Autor ist Regional Director DACH & Middle East beim Sicherheitsspezialisten Cyber-Ark.
Lahmgelegte Fabriken in der Automobilindustrie, Engpässe bei Medikamenten wegen Attacken auf die Pharmaindustrie oder flächendeckende Stromausfälle – die denkbaren Szenarien für Hackerangriffe auf Industrieanlagen sind vielfältig. Die Manipulation der iranischen Urananreicherungsanlage in Natanz 2010 durch den Wurm Stuxnet hat die Gefahr, die für Industrieanlagen, Strom- und Wasserversorgungssysteme oder die Zug- und Flugsicherung besteht, deutlich aufgezeigt. Hacker haben mit Stuxnet einen Wurm geschaffen, den Nachahmer mit wenig Know-how und Aufwand portieren und damit fast jedes Unternehmen angreifen können. Würmer wie Stuxnet suchen meist nach Schwachstellen in speicherprogrammierbaren Steuerungen (SPS) von SCADA-Systemen (Supervisory Control and Data Acquisition), die Industrieanlagen überwachen, steuern und optimieren. Sie werden in der Wasseraufbereitung, Stromerzeugung, in Telekommunikationseinrichtungen, chemischen Betrieben oder der Fahrzeugproduktion eingesetzt. Im Oktober 2012 warnten das US-amerikanische Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) sowie das Bundesamt für Sicherheit und Informationstechnik (BSI) vor speziellen Tools und Suchmaschinen, die Attacken auf Industrieanlagen oder die Steuerungseinheiten von Stromnetzen vereinfachen. Über die Suchmaschine Shodan, die jedes an das Internet angeschlossene Gerät findet, haben Forscher schon mehr als 500000 ungesicherte Geräte entdeckt. Werkzeuge, mit denen sich die digitalen Steuerungssysteme von Firmen manipulieren lassen, gibt es ebenfalls. Lesen Sie auf der nächsten Seite: Sicherheitslücken bei Passwörtern
Sicherheitslücken bei Passwörtern
Industrial Control Systems (ICS) basieren zwar im Wesentlichen auf branchen- und anwendungsspezifischen Technologien, doch die Anlagenwelt wächst immer stärker mit der IT-Welt zusammen. Im Gegensatz zur IT, in der Sicherheits-Updates, Virenschutz und Firewalls Standard sind, gibt es jedoch bei den digitalen Steuerungssystemen (noch) keinen derartigen Schutz. Denn beim Entwurf der Industrieanlagen mussten sich die Konstrukteure noch wenig Gedanken über die Sicherheit der Daten machen, es gab schliesslich keine Bedrohung. Erst durch die Digitalisierung und die Vernetzung über das Internet entstanden Probleme. Viele SCADA-Protokolle kennen weder Verschlüsselung noch Authentifizierung und sie haben keine oder nur eine mangelhafte Zugriffskontrolle bzw. -beschränkung. Das bedeutet, wenn eine SPS mit einem Webserver und dem Internet verbunden ist, kann jeder, der die IP-Adresse entdeckt, Steuerbefehle an das Gerät schicken und dieses manipulieren. Selbst mit Passwortschutz gibt es mehrere Einfallstore. Als Erstes sind die Default-Passwörter zu nennen, die in den Systemen vorhanden und manchmal nur dem Hersteller bekannt sind. Laut BSI setzen viele Hersteller diese Default-Passwörter ein, damit die Maschinen, die oft jahrzehntelang im Einsatz sind und zuverlässig laufen müssen, auch nach einem Personalwechsel administriert werden können, falls Zugangsdaten verloren gehen. Der neue Administrator kann dann das Default-Passwort nutzen und so auf die Steuerung der Maschine zugreifen. Der Haken: Über das Default-Passwort können auch Angreifer auf das System zugreifen – Stuxnet hat das deutlich gezeigt. Ein weiteres Sicherheitsproblem besteht bei eingebetteten Passwörtern von Application Accounts, sprich bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Diese liegen in der Regel im Klartext vor und werden selten oder nie geändert, da ein manuelles Passwortmanagement zeitaufwendig und fehlerbehaftet wäre. Besonders achten sollten Unternehmen zudem auf das Management von privilegierten Benutzerkonten, etwa von Administratoren. Zu den Privilegien gehören beispielsweise der Zugriff auf vertrauliche Informationen, die Installation und Ausführung von Applikationen und die Veränderung von Konfigurationseinstellungen. Eine typische IT- und Produktionsumgebung besteht aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten sowie SCADA-Systemen, die alle über privilegierte, standardmässig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Dazu zählen Accounts wie «Root» bei Unix und Linux oder «Administrator» bei Windows. Die Passwörter dieser Accounts sind der Schlüssel zu allen unternehmenskritischen Datenbeständen und Systemen. Ein verantwortungsvoller Umgang mit den privilegierten Benutzerkonten ist aber heute in vielen Unternehmen noch die Ausnahme. Auf den Systemen finden sich identische, oftmals leicht zu entschlüsselnde Passwörter, die nur selten oder überhaupt nicht geändert werden. Problematisch sind dabei insbesondere die Shared Accounts. Wenn eine grössere Gruppe von Administratoren Zugriff auf dieselben Passwörter hat, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heisst, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich. Lesen Sie auf der nächsten Seite: An PIM führt kein Weg vorbei
An PIM führt kein Weg vorbei
Die Passwortproblematik kann man mit Privileged-Identity-Management-Plattformen (PIM) in den Griff bekommen, mit denen privilegierte Benutzerkonten automatisch verwaltet, regelmässig geändert und überwacht werden können. Mit einer PIM-Lösung kann jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden. Superuser Accounts lassen sich vollautomatisch verwalten, in Anwendungscodes eingebettete Klartextpasswörter gänzlich eliminieren und Admin-Sessions vollständig protokollieren. Dadurch sind auch administrative Tätigkeiten mit generischen Benutzerkonten transparent bis auf die Personenebene nachvollziehbar. In einer Zeit, in der zunehmend Methoden entwickelt werden, um Hardware mittels Software zu attackieren und dabei gerade Passwörter als Einfallstor verwendet werden, führt an einer Lösung im Bereich Privileged Identity Management kein Weg vorbei. Nur so können auch Industrial Control Systems oder SCADA-Systeme zuverlässig geschützt werden.
Best Practice: Privilegierte Benutzerkonten managen
Mit folgenden Schritten schützen Sie die Benutzer-Accounts im Unternehmen: 1. Die wichtigsten Systeme, Anwendungen und Datenbanken und deren zugrunde liegenden privilegierten Konten ermitteln. 2. Personen bestimmen, die Zugriff auf privilegierte Konten haben sollen. 3. Richtlinien und Workflows für einen privilegierten Zugang zu den wichtigsten Systemen definieren. 4. Prozesse einrichten, die automatisch die Security-Richtlinien umsetzen. 5. Passwörter in einem virtuellen Tresor sichern. 6. Kritische Geräte per Proxyserver isolieren, der das Abfangen von Passwörtern verhindert und damit auch, dass Malware auf das Zielgerät gelangt. 7. Accounts und privilegierte Aktivitäten überwachen; Warnmeldungen, wenn die Richtlinien nicht eingehalten werden.
