Dr. Jason Staggs, Professor an der University of Tulsa im US-Bundesstaat Oklahoma.
Foto: Bernd Schöne

IT-Sicherheit

IT-Angriffe auf Infrastruktur der Industrie

Spezialisten für Angriffe auf Industrieanlagen waren auf IT-Konferenzen bisher seltene Gäste. Doch die IT-Defense 2019 befasste sich intensiv mit dem Thema Industriesteuerung.

Die Zusammenstellung des Vortragsprogramms der Sicherheitstagung IT-Defense 2019 der Cirosec AG in Stuttgart hatte gute Gründe, denn die Einschläge kommen näher, und das Risiko von Kata-strophen nimmt zu. Das Zusammenwachsen von Büro-IT, den SCADA-Systemen (Supervisory Control and Data Acquisition), also dem Überwachen und Steuern technischer Prozesse in der Fer-tigung über das Internet, hat eine brisante Situation geschaffen.

So stand auf der diesjährigen Sicherheitstagung die Steuerung von industriellen Abläufen im Zent-rum von drei Vorträgen. Hochregallager, die chemische Industrie und die Energieversorgung wurden analysiert. Die Angriffe auf die speicherprogrammierbaren Steuerungssysteme (SPS) sowie SCADA-Systeme ist erschreckend einfach, der Weg zur großen Katastrophe aber lang, denn dazu muss der Angreifer über exakte Kenntnisse der Produktionsverfahren verfügen. Die breite Öffent-lichkeit interessiert sich erst seit Stuxnet für SPS und SCADA-Systeme. 2010 warf der Schädling Stuxnet das Uranprogramm des Irans zurück, weil sich die Uranzentrifugen selbst zerstörten, nach-dem die Frequenzumrichter sie falsch ansteuerten. Die ebenfalls durch den Schädling manipulierte Nutzeroberfläche zeigte der Bedienmannschaft dagegen die korrekte Umdrehungsfrequenz an.

Noch weit spektakulärer waren die Folgen eines Cyberangriffs auf eine türkische Ölpipeline im Jahr 2008. Nachdem ein Schädling über infizierte Überwachungskameras in das Steuerungssysteme ein-gedrungen war, explodierte die Pipeline.

Industriesteuerungen bieten nur geringen Schutz

Solche Angriffe erfordern nicht nur IT-spezifische Kenntnisse. Was genau nötig ist, erforscht seit einem Jahrzehnt die Sicherheitsexpertin Marina Krotofil. In ihrem Vortrag gab sie einen Einblick in ihre aktuelle Arbeit. Für die chemische Industrie hat sie deren Steuerungsanlagen analysiert, und zwar “mit den Augen des Angreifers”, wie sie selber sagt und unter Beachtung der heute zur Verfü-gung stehenden Hackertools und Angriffsvektoren. Ihr Resümee ist ernüchternd: „Die Angreifer sind den Verteidigern zehn bis fünfzehn Jahre voraus”.

Bei der Vernetzung der zahlreichen Sensoren und Aktoren mit den speicherprogrammierbaren Steu-erungssystemen (SPS) und schließlich der Büro-IT und dem Internet sind Fehler gemacht worden. Die Technik der SCADA- und SPS-Installationen stammt aus einer Zeit, als man sich in befriedetem Gebiet wähnte, in der jeder jedem vertraute. Vor allem die Industriesteuerungen bieten nur geringen Schutz gegen Angriffe aus dem Internet, weil Antivirenprogramme hier nicht verwendbar sind, da Updates sich nur beim Stillstand der Anlage aufspielen lassen. Viele Anbieter untersagen auch jede Veränderung der Rechnerkonfiguration. Selbst der vorhandene Schutz durch eine Hierarchie aus Berechtigungen wird oft nicht genutzt oder durch Sorglosigkeit ausgehebelt, da Ingenieure möglichst schnell und ohne Verzögerung in das System eingreifen wollen, wenn ihnen das notwen-dig erscheint. Auch reservieren sich Hersteller und Serviceunternehmen Zugänge zum Zwecke der Fernwartung, die sich mehr als einmal als Einfallstor für Angreifer erwiesen haben.

Solche Zugänge werden selbst dann nicht geschlossen, wenn für sie keine Notwendigkeit mehr be-steht. Ist ein Schädling einmal im Internet vorbreitet, pflanzt er sich weiter fort. Beispielsweise Stuxnet. Ursprünglich sollte Stuxnet bekanntlich nur das Uranprogramm des Iran behindern. Doch der Schädling verbreitete sich über das Internet, obwohl Hersteller Siemens Sicherheitsupdates für die betroffenen Systeme nachlieferte. Doch diese wurden nicht immer installiert, da sich die Betrei-ber scheuten, ihr laufendes System anzuhalten und neu zu konfigurieren. Vor allem bei kontinuier-lich laufenden Produktionsprozessen wie in der chemischen Industrie zieht Produktionsstopp oft immense Kosten nach sich.

Hacker lernen schnell dazu

Umso größer daher die Unruhe, als 2017 mit Schneider Electric auch der zweite Marktführer im Bereich der SCADA-Systeme Opfer eines Angriffs wurde. Diesmal waren „Triconex safety control-ler“ von Schneider in saudischen Raffinerien Ziel eines erfolgreichen Angriffs. Nach Angaben der Firma nutzten die Angreifer eine Sicherheitslücke bei dem Produkt eines Drittanbieters, um die Kontrolle zu übernehmen. Binnen kurzer Zeit erkannte ein Techniker den Angriff, trotzdem kam es zu einem Produktionsstillstand, da die Anlage in den Sicherheitsmodus schaltete. Das war ganz si-cher nicht im Sinne der Angreifer, die nachweislich über viele Monate Informationen sammelten, und im Auftrag eines fremden Staates zu handeln schienen. Dieser wollte anschließend die Sicher-heitsvorrichtungen abschalten lassen, wohl in der Hoffnung, einen massiven Schaden zu generieren. Eine Explosion oder Vergleichbares gab es nicht, und das hat seinen Grund, wie Marina Krotofil ausführte. „Die Angreifer sind nicht immer erfolgreich”, beruhigte die Expertin. Es kommt auf den Zeitpunkt des Angriffs an. Ein und derselbe Hack kann harmlos verlaufen, oder in einer Katastrophe mit vielen Toten münden. Alles hängt vom exakten Zustand des Produktionsprozesses und dem da-rauf abgestimmten Eingriff ab.

In jedem Fall ist eine extrem gute Kenntnis der chemischen und physikalischen Vorgänge in der Anlage nötig. Die Hacker durchlaufen hier offenbar eine Lernkurve. Ohne zusätzliches Knowhow aus Physik und Chemie kommen sie nicht zum Ziel. Wirklich beruhigend ist diese Erkenntnis nicht, denn mit Wissen und Geschick sind erstaunliche Angriffe möglich, das bewies Marina Krotofil selbst bereits vor einigen Jahren. Sie zerstörte durch einem Cyber-Angriff eine Pumpe, obwohl diese gar nicht an das Computernetzwerk angeschlossen war. Sie profitierte in diesem Fall von ihrem Wissen über das physikalische Phänomen der Kavitation. Luftblasen in einer Flüssigkeit können zerstörerische Wirkung entfachen, wenn sie im geeigneten Rhythmus auftreten. Um diese Blasen zu erzeugen, steuerte Krotofil mit rhythmischem „Öffnen” und “Schließen” Befehlen ein vor der Pum-pe befindliches Ventil an. Nach kurzer Zeit zerlegte sich die Pumpe wie nach einer Explosion.

Live-Hacks zeigen erschreckende Möglichkeiten

Cirosec-Chef Stefan Strobel demonstrierte schließlich, was passiert, wenn Hacker die Herrschaft über ein Hochregallager an sich reißen. Ein Schadprogramm gaukelt dem Computer vor, eine be-stimmte Lagerposition sei frei. Doch das ist falsch. Krachend fällt die dort gelagerte Palette zu Bo-den. Zu Bruch geht bei der Demonstration allerdings nichts, denn das Hochregallager stammt von Fischertechnik und steht auf dem Schreibtisch des Vortragssaales. Doch die Steuerung des Modells ist echte, teure Technik aus dem Hause Siemens. „Typ und Softwareversion entsprechen den beiden gängigen Simatic Systemen S7 1200 und dem Vorgängermodell 300, wie sie zu Tausenden in der Industrie anzutreffen sind", so Strobel. Wer über die IP Adresse des Steuermoduls, muss anschlie-ßend nur noch ein Angriffstool wie Metasploit oder ISF(Industrial Control System Exploitation Framework) starten. Strobel bemängelt mangelnde Verschlüsselung sowie generelle Designmängel. Viel zu einfach kann der Angreifer in das Steuerungsmodul eingreifen, und noch dazu direkte Befehle absetzen. Er benötigt also nicht einmal Kenntnisse der verwendeten Software, sondern ist autorisiert, Roboterarme nach Gutdünken zu bewegen.

Unerwünschte Firmware-Updates sowie Cross-Site Scripting (XSS) gehören ebenso zur Mängelliste von Stefan Strobel. „Im einfachsten Fall bringt der Angreifer so die Steuerung zum Stillstand”, erläutert Strobel. Solch ein Angriff erfordert kein großes Know-how. Das Ergebnis kann für eine Firma trotzdem schmerzhaft sein, denn eine komplette Produktionsstraße stellt den Betrieb ein, und muss von Experten wieder in Betrieb gesetzt werden.

Energieversorger im Blickfeld

Eine ganz neue Klasse von Industrieanlagen ist in den letzten Jahren entstanden, über deren Ver-wundbarkeiten man zunächst kaum nachdachte: Windparks. Die schnell rotierenden Windräder sind verwundbar, wenn es infolge von Fehlbedienungen oder Cyberangriffen zu einem harten Nothalt kommt. Dieser belastet die Mechanik der Anlage unter Umständen so stark, dass es zu dauerhaften Schäden oder sogar zur Zerstörung des Windrades kommen kann. Werden mehrere Windräder gleichzeitig oder kurz hintereinander angegriffen, droht infolge von Netzschwankungen ein Black-out. Mit der Sicherheit von Erneuerbaren Energiequellen beschäftigt sich der US Sicherheitsexperte Dr. Jason Staggs, Professor an der University of Tulsa im US-Bundesstaat Oklahoma.

Auch im Zentrum seines Vortrages standen, ähnlich wie bei Marina Krotofil, ICS und SCADA Sys-teme. Staggs hat Untersuchungen mit dem von ihm ersonnen Angriffstool “Windshark” unternom-men. Es gaukelt den Windrädern den Netzwerkkontakt mit der echten Leitzentrale vor, und erteilt verhängnisvolle Befehle. Es hat nach seiner Meinung das Potenzial, enorme Schäden zu generieren, bis hin zum Brand des Generators an der Spitze des Rades. Gern hätte man über Art und Durchfüh-rung des Angriffs hier mehr Details erfahren, doch die waren Staggs nicht zu entlocken. Auch So-laranlagen lassen sich laut Staggs angreifen, etwa durch Manipulation der Strominverter, die aus dem Gleichstrom der Solarzellen Wechselstrom generieren, könnten Kurzschlüsse und sogar Brände entstehen. Würden mehrere Angriffe koordiniert durchgeführt, könnte das ganze Stromnetz eines US-Bundesstaates zusammenbrechen.

Staggs forschte im Auftrag offizieller Regierungsstellen, er hatte den Auftrag, die Risiken der neuen Energiequellen zu erforschen. Betroffen sind ebenso klassische Anlagen der Energieversorgung wie Talsperren, denn auch sie werden über vernetzte Steuerungstechnik betrieben, warnt Staggs. Alleine in den USA gibt es ca. 80.000 davon. Dazu kommen Entwässerungssysteme, wie sie etwa in den Niederlanden zwingend nötig sind. Die Veröffentlichungen über Verwundbarkeiten dieser Systeme führte in den sonst so liberalen Niederlanden zu einer Polizeiaktion gegen den Journalisten.

ICD Exploitation ist zudem nicht mehr der Elite vorbehalten, denn inzwischen haben auch Privat-leute Zugriff auf diese Geräte, können sie per Ebay zu überschaubaren Kosten ersteigern und in aller Ruhe zu Hause üben, darauf wies Marina Krotofil abschließend hin. Schon für 1.000 Dollar kann der Bieter sein persönliches SCADA-System erstehen.

Das alles sind beunruhigende Studien, doch die Experten haben auch einige Tipps für die Anwender erarbeitet. Wer SPS und SCADA Systeme betreibt, sollte Dienste wie Telnet und FTP abschalten, wenn er sie nicht zwingend benötigt. Gleiches gilt für Servicezugänge. Zugriffsrechte auf Funktio-nen und Schnittstellen einer SPS sind restriktiv zu vergeben, bestehende Benutzerkonten auf Aktua-lität zu prüfen. Diese Empfehlungen finden sich auch in den Ratgebern des Bundesamts für Sicher-heit in der Informationstechnik BSI. Trotzdem wird täglich dagegen verstoßen.

Fazit: Untersuchungen von SCADA- und SPS- Systemen bleiben rein theoretisch und sind daher in ihrer Bedeutung schwer einzuschätzen. Ein praktischer Versuch wäre höchst risikoreich und würde im Erfolgsfall zu massiven Personen- und Sachschäden führen. Experimente sind also fast ausge-schlossen. Die Zukunft wird zeigen, ob es den Betreibern gelingt, durch Vorsicht und gezielte Ab-wehr, den Hackern trotzdem den Wind aus den Segeln zu nehmen.

Bernd Schöne, freier Journalist in München