Cyber Security Center

Kompetenzzentrum für Informationssicherheit
Vortrag Prof. Dr. Tobias Heer

Cyber-Angriffe auf Industrieanlagen: wo stehen wir?

Der Stuxnet-Angriff auf das iranische Urananreicherungswerk Natanz vor einigen Jahren ist sicherlich weithin als die populärste Cyber-Attacke auf Industrieanlagen bekannt. Was hat sich jedoch seit Stuxnet getan? Welchen Bedrohungen sind Industrieanlagen heute ausgesetzt und was ändert sich mit Industrie 4.0? Dieser Vortrag gibt sowohl einen Einblick in die Sicherheit von Industrieanlagen als auch einen Ausblick auf Ansätze zur Schaffung von mehr Sicherheit bei industriellen Anwendungen.

Mittwoch, 07. November 2018

Prof. Holger Morgenstern

0 Kommentare

Vorträge

Heer, Vortrag

Seit dem Ende des allseits bekannten Stuxnet Angriffs auf die iranische Uran-Anreicherungsanlage Natanz sind inzwischen über acht Jahre vergangen. Stuxnet bleibt, trotz der inzwischen fehlenden Aktualität, dennoch das gern zitierte Paradebeispiel für die Angreifbarkeit von Industrieanlagen und Industriebetrieben durch Malware. Ist denn seither nichts erwähnenswertes mehr geschehen? Beobachtet man die Medien, so ist zwar immer diffus von einem großen Risiko für die Industrie im Allgemeinen und für die deutschen Industriebetriebe im Speziellen zu lesen, aber Berichte über konkrete Vorfälle liest und hört man selten. Einmal geistert der Fall eines nicht näher benannten sabotierten deutschen Stahlwerks durch die Medien. Ein anderes Mal hört man, dass der Wurm Wannacry auch hohe Kollateralschäden in diversen Industriebetrieben angerichtet hat. Fast könnte man meinen, man hätte es mit einer Phantom-Bedrohung zu tun.

Der Grund für diese scheinbare Ereignislosigkeit ist bei genauerer Betrachtung so einfach wie einleuchtend. Zum einen sind im Falle von Einzelangriffen ja stets einzelne reale Firmen betroffen, welche in der Regel kein allzu großes Interesse haben über stattgefundene Angriffe zu sprechen – schließlich geht es um Kundenvertrauen. Zum anderen sind die Details der Angriffe oft technisch sperrig und so schaffen es eigentlich nur technisch einfache Angriffe, die auch eine große Auswirkung auf viele Firmen haben in die Medien. Man sollte sich jedoch nicht täuschen lassen: die Bedrohung von Industrieanlagen durch Malware ist real und Angreifer entwickeln und testen Angriffswerkzeuge für genau diesen Zweck.

Bei genauerer Recherche finden sich durchaus Fälle von Angriffen und Angriffskampagnen gegen Industriebetriebe und Industrieanlagen. Der unten abgebildete Zeitstrahl nennt einige der bemerkenswerteren Angriffe. Bei der Einordnung dieser Angriffe (besonders aus Sicht eines Herstellers von Kommunikationsprodukten für die Industrie) ist es sinnvoll zu unterscheiden, ob es sich um Angriffe gegen die IT-Infrastruktur eines Betriebes oder gegen die Produktions-IT-Infrastruktur, die Operational Technology (OT), handelt.

Angriffe auf Industriebetriebe und Industrieanlagen
Angriffe auf Industriebetriebe und Industrieanlagen
Cyber-Angriffe auf Industrieanlagen: wo stehen wir? Angriffe auf Industriebetriebe und Industrieanlagen

Natürlich wird die IT von Industriebetrieben Opfer von ganz normaler „Wald-und-Wiesen“-Malware, wie z.B. Viren und Ransomware. Dies ist nichts Besonderes. Einige Angriffe gegen die IT-Seite von Industriebetrieben stechen jedoch heraus, da sie ausschließlich auf Ziele in bestimmten Branchen gerichtet waren. So hat das Bundesamt für Verfassungsschutz erst im Juni dieses Jahres vor einer laufenden Angriffskampagne gewarnt, in der deutsche Unternehmen aus dem KRITIS Bereich angegriffen werden. Das betrifft Firmen aus der Energie-, Wasser, und Lebensmittelversorgung, sowie dem Transportwesen und der Telekommunikation. Die Angreifer versuchen dabei über von außen erreichbare Dienste, wie SSH und SNMP Zugang zu schlecht gesicherten Endgeräten und Routern zu erlangen. Dies stellt eventuell die erste Stufe eines Angriffs auf die missionskritischen Netzwerke dieser für Deutschland kritischen Betriebe dar. Auch in anderen Ländern finden ähnliche Angriffe statt. So wurde z.B. zum letzten Jahreswechsel eine Angriffsserie gegen russische Industriebetriebe erkannt.

Für produzierende Firmen sind natürlich die Angriffe, die direkt gegen Produktionsanlagen gerichtet sind, von größerem Interesse – schließlich zeigen diese auf wohin die Reise bei der industriellen (un)sicherheit geht. Die Serie von Black Energy Angriffen sticht dabei hervor, da dort (genau wie bei Stuxnet) Malware verwendet wurde, die speziell auf Industrieanlagen zugeschnitten war. So führte z.B. der Black Energy 3 Angriff zu einem 6-stündigen Ausfall des Stroms in Kiew/Ukraine. Eine Schadsoftware zerstörte dabei die für die Steuerung der Energieversorgung nötigen Serial-to-Ethernet Konverter und Industrie-PCs durch das Aufspielen von beschädigter Firmware und das Löschen von PC-Festplatten. Durch die entstandenen Schäden waren über 220.000 Menschen von der Stromzufuhr abgeschnitten und durch die dauerhafte Schädigung der Systeme konnte der normale (automatische) Betrieb in manchen Teilstellen des betroffenen Energieversorgers erst nach einem Jahr wiederhergestellt werden.

Auch die Malware Crashoverride (auch als Industroyer bekannt) wurde in der Ukraine eingesetzt. Diese Schadsoftware enthält erneut Routinen, die speziell für den Angriff auf Industrieanlagen entwickelt wurden. So können Schaltkreisunterbrecher, wie sie bei der Energieverteilung verwendet werden, durch die Malware manipuliert werden. Dies führte im Dezember 2016 zu weiteren Stromausfällen in Kiew. Die Malware ist zusätzlich modular erweiterbar, sodass auch andere Angriffsziele außerhalb des Energie-Sektors möglich werden. Die Liste, der von Crashoverride unterstützten (und damit für Angriffe verwendbaren) Industrieprotokolle ist dabei beängstigend: IEC 60870-5-104, IEC 60870-5-101, IEC 61850 und OPC DA sind sicher ein Begriff für die OT-Netzverantwortlichen.

Zum Jahreswechsel 2017/2018 gab es erneut eine Weltneuheit bei den Angriffen auf Industrieanlagen: Mit der TRITON Malware wurde die erste Schadsoftware in Aktion gefunden, die die Funktionen von Safety Controllern verändern kann und so die funktionale Sicherheit einer Anlage unterwandert. Dies bringt Mensch und Umwelt direkt in Gefahr. Die Schadsoftware ist für die Verwendung auf Schneider Electric Triconex Safety Instrumented System (SIS) ausgelegt. Sie ist in der Lage den Triconex 3008 Processor umzuprogrammieren und so dessen Safety Funktion zu beeinträchtigen. Zu konkreten Schäden kam es in diesem Fall nicht, da der betroffene Sicherheitscontroller beim Angriff die Funktion gänzlich einstellte und der Angriff so erkannt wurde.

Diese wenigen Beispiele zeigen bereits, dass Angriffe auf Industrieanlagen kein hohles Schreckgespenst sind. Umso wichtiger ist es, dass sowohl die Hersteller von Kommunikationsgeräten als auch die Netzbetreiber ihren Teil zur Sicherung von Industrieanlagen beitragen.

Download Präsentation:

Vortrag Prof. Dr. Tobias Heer - Hochschule Albstadt-Sigmaringen

Cyber Security Lab Newsletter

Sicheren Sie sich Ihren Wissensvorsprung! Bleibe Sie immer up-to-date - Aktivitäten, Veranstaltungen, ...

Kommentare

Es wurde noch kein Kommentar abgegeben.


Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>


Fatal error: Call to undefined function show_subscription_checkbox() in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/comments.php on line 71