Kritische Infrastrukturen richtig sichern – Zehn Schritte zum sicheren SCADA-Netzwerk

h_11-12-2015_shutterstock_271626131

Jüngste Vorfälle zeigen, dass SCADA-Netzwerke immer häufiger ins Fadenkreuz von Hackern geraten.

Beispiele wie der Ende 2014 bekannt gewordene, erfolgreiche Angriff auf die Steuerung des Hochofens in einem deutschen Stahlwerk oder die kürzlich stattgefundene Attacke auf ein Atomkraftwerk in Südkorea, geben eine Ahnung davon, welche Folgen drohen. SCADA-Netzwerke überwachen und steuern wichtige Prozesse und kritische Infrastrukturen, weshalb jeglicher Versuch von Hackern, diese zu übernehmen, für Aufruhr sorgt.

Aber wie gehen die Angreifer dabei vor und wie können die Betreiber ihre Netze vor den Eindringlingen schützen? Hacker greifen SCADA-Protokolle mit den gleichen Techniken an, die sie auch bei E-Mail, Web-Servern und File-Transfer-Protokollen nutzen. Dazu zählen Denial-of-Service-Attacken, Buffer Overflows und vieles mehr. Schließlich begehen auch die Hersteller von SCADA-Geräten ähnliche Fehler wie die Anbieter traditioneller Netzwerkgeräte, was auch ähnliche Schwachstellen zur Folge hat. Die Situation wird zusätzlich dadurch erschwert, dass SCADA-Geräte sich in Netzen befinden, die weitere, bekannte Schwachstellen aufweisen. So kann auf den Servern, auf denen das SCADA-Protokoll läuft, ebenso ein nicht autorisierter Webserver oder ein nicht gepatchter Kernel laufen. All dies können Angreifer nutzen, um ein SCADA-System zu (zer-)stören oder zu kontrollieren.

Die Sicherheit von SCADA-Netzen bewerten. Vom technologischen Standpunkt aus betrachtet sind SCADA-Netze, die auf gerouteten Protokollen wie IP basieren, genau wie andere Netzwerke. Sie besitzen verschiedene Nodes und kommunizieren mittels verschiedener Protokolle. Allerdings gibt es zwei gravierende Unterschiede. Zum einen werden in SCADA-Netzen häufig alte, nicht aktualisierte Geräte und Infrastrukturen genutzt. Zum anderen nutzen SCADA-Netze Protokolle wie DNP3, ICCP und MODBUS, die ebenso wie HTTP oder DNS, bestimmte Anforderungen an die Client-Server-Kommunikation, das Timing, die Encodierung der Daten und die Datenformatierung haben.

Neben diesen technischen Unterschieden bestehen im Fall von SCADA-Netzen auch unternehmenspolitische Unterschiede. SCADA-Anlagen müssen oft rund um die Uhr laufen oder Prozesse steuern, die Umsätze generieren, weshalb jede Sicherheitswarnung zu einem unternehmenspolitischen Problem werden kann. Schließlich kann jede Unterbrechung des Betriebs drastische finanzielle Folgen haben. Dies hat bisweilen Auswirkungen darauf, wie häufig Sicherheitsprüfungen durchgeführt werden, was mit dem daraus gewonnen Wissen um Schwachstellen passiert und was dagegen unternommen wird.

Die Sicherheitsvorfälle der letzten Wochen und Monate erinnern aber daran, welche verheerenden Folgen es haben kann, den Schutz von Steuerungsnetzwerken zu vernachlässigen. Aus diesem Grund hat Tenable Network Security zehn Schritte zur Sicherung von SCADA-Anlagen zusammengestellt:


1.
Bestimmen Sie sämtliche Verbindungen zu Ihren SCADA-Netzwerken und trennen Sie alle unnötigen. 

Oft existieren Verbindungen in die Office-Infrastruktur, um beispielsweise Logs automatisiert auf einem Arbeitsplatz-PC zu empfangen. Hierfür werden Protokolle wie SMB, FTP, SCP oder ähnliches freigegeben. Es ist wichtig zu hinterfragen, ob dies wirklich notwendig ist. Verantwortliche müssen klären, ob Sicherheit oder Komfort Vorrang gewährt wird, denn leider weisen auch die Firewalls, die zwischen den Netzwerken existieren, immer wieder Sicherheitslücken auf, die von Hackern und Malware ausgenutzt werden können.

2.
Verlassen Sie sich nicht auf proprietäre Protokolle, um Ihr System zu schützen.

Das Prinzip heutiger Netzwerke ist es, miteinander zu kommunizieren. In der Vergangenheit verwendeten verschiedene Betriebssysteme hierzu unterschiedliche Netzwerkprotokolle. Dies hat sich heute zwar durch die Einführung von TCP/IP geändert, jedoch schützt auch der Gebrauch proprietärer Protokolle nicht vor der Verbreitung von Schadsoftware.

3.
Implementieren Sie sämtliche Sicherheitsfunktionen, die Geräte- und Systemanbieter bereitgestellt haben.

Dies sollte die Grundlage jeder Überlegung zum Schutz des Netzwerks sein. IT-Verantwortliche sollten noch einen Schritt weiter gehen und zusätzlich eine eigene Sicherheitsebene einführen.

4.
Richten Sie strikte Kontrollen für alle Medien ein, die als Backdoor ins SCADA-Netzwerk missbraucht werden können.

Malware verbreitet sich auf SCADA-Systemen vorwiegend über das sogenannte »Turnschuhnetz«, dem Transport von Daten mittels Medien wie USB-Sticks. IT-Verantwortliche müssen daher von Anfang an gewährleisten, dass die verwendeten Medien »sauber« sind. Medien sollten grundsätzlich kontrolliert oder kontrolliert bereitgestellt werden, denn »saubere« Medien helfen grundlegend, die Systeme zu schützen.

5.
Nutzen Sie interne und externe Intrusion-Detection-Systeme und implementieren Sie durchgängiges (24/7) Incident Monitoring.

Natürlich ist die Absicherung von SCADA-Netzen mit IDS- und IPS-Systemen die Grundvoraussetzung für die Sicherung dieser Systeme. Aber darüber hinaus ist es viel wichtiger, auf Vorfälle direkt zu reagieren. Hierzu sind Tools für Incident Monitoring und Response notwendig. Nur so kann bei einem Zwischenfall auch ein geregelter Ablauf folgen. Das reine Erkennen eines Vorfalls schützt das System natürlich nicht. Es muss in jedem Fall auch eine darauf basierende Reaktion erfolgen.

6.
Prüfen Sie alle SCADA-Geräte und Netze sowie sämtliche damit verbundenen Netzwerke, damit Sie etwaige Sicherheitsprobleme erkennen können.

Hierfür eignet sich ein Vulnerability-Scanner. Dieser sollte alle aktuellen Schwachstellen durch einen Scan der Systeme mit aktuellen Plugins finden, aber auch durch das Auflisten offener Ports, laufender Prozesse und bereitgestellter Dienste, die eine Schwachstelle für das System darstellen können.

7.
Bilden Sie ein SCADA-Einsatzteam, das mögliche Angriffsszenarien erkennen und bewerten soll.

Ein dediziertes SCADA-Sicherheits-team ist eine unerlässliche Absicherung des gesamten Produktionsablaufs, schließlich sind die Folgen von Sicherheitslücken auf Clients im Office-Umfeld vollständig anders zu bewerten, als eine Schwachstelle auf einem Produktionssystem. Hierzu sind Spezialisten nötig, die in der Lage sind, Sicherheit gegen Umsätze abzuwägen.

8.
Legen Sie die Aufgaben für Internetsicherheit, die Verantwortungsbereiche und Berechtigungen der Manager, Systemadministratoren und Anwender eindeutig fest.

Wenn es um Sicherheit versus geschäftliche Interessen geht, stehen sich Unternehmen oft selbst im Weg, da die Entscheiderstrukturen nicht klar definiert sind. Vertriebsabteilungen haben natürlich andere Ziele als IT-Verantwortliche eines Unternehmens. Aus diesem Grund muss eine klare Entscheidungshierachie festgelegt werden, damit im Notfall schnell gehandelt werden kann.

9.
Erstellen Sie eine Dokumentation der Netzwerkarchitektur, in der sie alle jene Systeme bestimmen, die zentrale Aufgaben erfüllen oder sensible Informationen enthalten. All diese Systeme benötigen ein besonderes Maß an Schutz.

Metriken sind das A und O für die Sicherheit. Indem die sensiblen Systeme im Vorfeld bestimmt werden, kann, basierend auf diesem Wissen, eine Sicherheitsinfrastruktur aufgebaut werden. Dadurch fällt die Entscheidung leichter, an welchen Punkten dedizierte Sicherheitssysteme eingesetzt werden müssen, um das sensible Gerät vor dem »Rest der Welt«, aber auch vor internen Systemen mit Kontakt zur Außenwelt zu schützen.

10.
Definieren Sie Sicherheits-Policies und führen Sie Schulungen dazu durch. Dies verringert das Risiko, dass die Angestellten sensible Details über den Aufbau des SCADA-Systems, die Vorgänge darin oder die zugehörigen Sicherheitskontrollen unbeabsichtigt weitergeben.

Viele Unternehmen vergessen, dass das »Social Engineering« die größte Sicherheitslücke des Unternehmens darstellt. Natürlich handeln Mitarbeiter nicht per se böswillig. Vielmehr sind sie oftmals davon überzeugt, dass das Unternehmen sehr gut geschützt ist und nichts passieren kann. Häufig kommt es demnach vor, dass Mitarbeiter einen USB-Stick nicht zu Hause, sondern zur Sicherheit in den Firmen-PC einstecken, da dieser kontrolliert und geschützt sei.

Die wichtigste Aufgabe in der Absicherungskette im Unternehmen ist daher die Schulung der Mitarbeiter. IT-Verantwortliche müssen die Absichten der Hacker aufzeigen und verdeutlichen, welche Folgen es hätte, wenn alle Unternehmensdaten gestohlen werden oder die Anlagensteuerung gestört wird.


autor_gavin_millardGavin Millard,
Technical Director EMEA
bei Tenable Network Security

 

 

 

Titelbild: © Kathathep/shutterstock.com