BLOG, news

Operation Technology

Operation Technology

14. April 2018

Steigende Gefahr durch die Integration von Netzen der Operation Technology (OT) in IT-Netze

Zunehmend werden OT-Netze (Operational Technology) stärker mit IT-Netzen gekoppelt, um unter anderem der Digitalisierung und dem steigenden Kostendruck bei OT-/IT-integriertem Management von Infrastrukturnetzen gerecht zu werden. Parallel dazu steigen die Anforderungen an die OT- und IT-Sicherheit. Cyber Angriffe können vor dem Hintergrund der Integration sowohl auf der IT-Ebene, typischerweise basierend auf der IP-Protokoll-Familie, als auch auf der OTEbene stattfinden. Im Bereich der Operational Technology kommen vor allem die folgenden Protokolle zum Einsatz: SCADA, IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA. Die drei folgenden und sehr bekannten Beispiele verdeutlichen die Gefahr der OT-/ITNetzintegration, bei fehlenden bzw. ungenügenden Schutzmaßnahmen

Einsatz von Stuxnet
Der erste erfolgreiche Angriff auf ein OT-Netz fand im Jahr 2010 statt. Mit Hilfe der Schadsoftware Stuxnet, welche speziell für die speicherprogrammierbare Steuerung (SPS) Simatic S7 von Siemens geschrieben wurde, gelang es, die Steuerung von Motoren zu übernehmen. Durch eine zu große Beschleunigung wurden die Zentrifugen aus ihren Gehäusen gerissen und beschädigt, wodurch das iranische Atomprogram deutlich verzögert wurde. Das Schreiben der Schadsoftware und der anschließende Angriff erforderten zum einen enormen finanziellen Aufwand und zum anderen umfangreiches Wissen über den genauen Prozess, die dafür eingesetzte Hardware und wie diese Hardware dauerhaft zu beschädigen ist. Aufgrund dieser Tatsache wird vermutet, dass Stuxnet im Auftrag einer staatlichen Organisation geschrieben und eingesetzt wurde.

Angriff auf ein Stahlwerk
Das Bundesamt für Sicherheit in der Informationstechnik berichtet in seinem Lagebericht aus dem Jahr 2014 von einem Advanced Persistent Threat (APT), dessen Ziel der Angriff auf eine deutsche Industrieanlage war. Mit Hilfe von Spear Phishing erhielten die Angreifer Zugang zum Büronetzwerk eines Stahlwerkbetreibers. Von dort arbeiteten sie sich schließlich bis zum Produktionsnetzwerk vor. Zunächst fielen einzelne Steuerungskomponenten oder ganze Anlagen aus. Insgesamt führten die Ausfälle zu massiven Beschädigungen, da der Hochofen nicht kontrolliert heruntergefahren werden konnte.

Angriff auf kritische Infrastruktur
Am 17. Dezember 2016 fiel in Kiew für 75 Minuten der Strom aus. Die Sicherheitsexperten von Dragos und ESET analysierten den Stromausfall und kamen zu dem Schluss, dass es sich um das Werk von Hackern handelt. Die Experten von ESET gaben der neuen Bedrohung den Namen Industroyer, von Dragos wurde sie Crash Override getauft. In ihrem Berichten kommen beide Unternehmen zu dem Schluss, dass die Hintermänner über ein umfangreiches Wissen über industrielle Schaltanlagen und die speziell in der Energiewirtschaft eingesetzten Protokolle (IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA) verfügen. Insgesamt liegt die Vermutung nahe, dass es sich bei diesem Angriff lediglich um einen Testlauf bzw. eine Machbarkeitsstudie handelt.

Wie in den Beispielen beschrieben, dringen Angreifer zunächst in die Büronetze ein und können sich Dank der immer vollständigeren Integration in die OT-Netze vorarbeiten. Eine IP-basierte Analyse von Datenpaketen reicht deshalb für gekoppelte OT-Netze bei weitem nicht aus. Das Ziel von IP-Network Intrusion Detection Devices ist die aktive Überwachung von Netzwerken zur Erkennung von Angriffen, Missbrauchsversuchen und Sicherheitsverletzungen. Dafür prüfen sie in der Regel die Syntax und das Verhalten des IP-Protokolls und ggf. darüberliegender Betriebssysteme (MS Windows, OS X, Linux, etc.) auf bereits bekannte Angriffsmuster. Diese Muster können sich u.a. im IP-Header oder im Payload verstecken. Zu den Anbietern dieser Intrusion Detection Systeme gehören u.a. Fortinet, Cisco und IBM.

Zur Steuerung und Überwachung von technischen Anlagen sowie deren Wartung durch Fernzugriff werden bei integrierten IT/ OT-Netzen die nötigen OT-Protokolle in den Payload des IP-Protokolls verpackt (Containment). Die o.g. Intrusion Detection Systeme analysieren und kontrollieren zwar – wie bereits oben beschrieben – auch in diesem Fall den IP-basierten Payload nach bekannten Angriffsmustern aus der IP-Welt bzw. aus den darüber liegenden gängigen Betriebssystemen (MS Windows, OS X, Linux, etc.). Allerdings wird der Payload der IP-Pakete, wenn dieser über das Containment andere Protokolle, wie z.B. OT-Protokolle enthält, nicht analysiert und damit unangetastet gelassen. So kann ein Angreifer die Befehlssequenzen der OTProtokolle soweit verändern, dass Anlagen massiv gestört oder, wie im Fall von Stuxnet, zerstört werden, ohne dass dies durch eine IP-basierte Intrusion Detection entdeckt werden kann. Abhilfe schafft hier die Produktfamilie von Radar Services, die mit Hilfe von Risikoerkennungsmodulen sowohl die IT- als auch die OT-Netze durch die Analyse und das Verhalten der IT und eben auch der OT-Protokolle schützt. Durch den Einsatz einer Advanced  Correlation Engine werden die Ergebnisse eines Risikoerkennungsmoduls mit denen der anderen Module abgeglichen. Durch diese Korrelation können verdächtige Verhaltensweisen oder noch nicht bekannte Angriffsformen erkannt werden. Die rechtzeitige Erkennung ermöglicht eine Reaktion auf den Angriff, bevor das OT-Netz temporär oder dauerhaft beschädigt ist. Erik Lange, Dr. Stefan Schwerdtner