Embedded Security Sicherheit in Industriesteuerungen durch eingebettete Kryptografie

Autor / Redakteur: Christophe Tremlet * / Kristin Rinortner

Industriesteuerungen zeichnen sich durch hohe Zuverlässigkeit, Betriebssicherheit und Verfügbarkeit aus. In letzter Zeit kommt auch den Sicherheitsaspekten eine große Bedeutung zu.

Firmen zum Thema

Sicherheit: Mit einem dreistufigen System von Schutzmaßnahmen, bestehend aus Training, allgemeinen IT-Sicherheitsmaßnahmen und speziellen kryptografischen Schutzbausteinen mit entsprechender Programmierung kann man industrielle Systeme vor Angriffen schützen.
Sicherheit: Mit einem dreistufigen System von Schutzmaßnahmen, bestehend aus Training, allgemeinen IT-Sicherheitsmaßnahmen und speziellen kryptografischen Schutzbausteinen mit entsprechender Programmierung kann man industrielle Systeme vor Angriffen schützen.
(Bild: Maxim)

Bisher waren hohe Zuverlässigkeit, Betriebssicherheit und maximale Verfügbarkeit die wichtigsten Kriterien beim Design industrieller Steuerungssysteme. Seit Jahrzehnten konzentrierten sich die Bemühungen der Industrie deshalb darauf, diese Anforderungen zu erfüllen, während der digitalen Sicherheit kaum Aufmerksamkeit gewidmet wurde.

Bildergalerie

In den 1990er Jahren allerdings gingen einige staatliche Stellen daran, das Thema ‚Cyber-Security‘ zu untersuchen. Hierbei ging es um den Schutz wichtiger Infrastrukturen (z. B. zur Verteilung elektrischer Energie) vor Attacken aus dem Internet.

Die entsprechenden Maßnahmen waren seinerzeit noch vertraulich, doch mit dem Erscheinen des Computerwurms Stuxnet und den zahlreichen Publikationen zu diesem Thema hat sich das geändert: Cyber-Attacken auf industrielle Steuerungs und Automatisierungssysteme sind für alle Beteiligten zu einem wichtigen Thema geworden.

Industrielle Steuerungssysteme sind gefährdet

Es ist im Rahmen dieses Artikels nicht möglich, alle Strukturen einer Industriesteuerung (ICS), die anfällig gegen Angriffe sind, umfassend zu diskutieren. Auch wenn die Grenze schwierig zu ziehen ist, muss sich die folgende Abhandlung auf wenige wichtige ICS-Applikationen beschränken. In diesem Beitrag soll es um drei verschiedene Arten industrieller Steuerungen gehen:

Speicherprogrammierbare Steuerungen: Die SPSen werden in großem Umfang zur Automatisierung industrielle Prozesse oder zur Steuerung von Subsystemen eingesetzt und sind häufig in eine übergeordnete Infrastruktur eingebunden.

SCADA-Systeme: SCADA (Supervisory Control And Data Acquisition)-Systeme dienen der Überwachung und Steuerung räumlich verteilter, kritischer Infrastrukturen beispielsweise für die Wasser oder Elektrizitätsversorgung.

Prozessleitsysteme: Prozessleitsysteme werden zum Führen industrieller Prozesse beispielsweise in der chemischen Produktion oder der Stromerzeugung verwendet und setzen sich meist aus mehreren automatisierten Subsystemen zusammen.

Wie diese Systeme im Einzelnen implementiert werden, richtet sich in hohem Maß danach, um welche industrielle Anwendung es jeweils geht. Während einige Systeme räumlich konzentriert und beispielsweise in einer gut eingrenzbaren Fertigungsstätte untergebracht sind, verteilen sich andere unter Umständen auf einen sehr großen geografischen Bereich. All diesen Systemen gemeinsam ist jedoch, dass sie bestimmten Performance-Vorgaben oder in unserem Fall bestimmten Restriktionen gerecht werden müssen.

Ein SCADA-System zum Beispiel muss ein hohes Maß an Uptime bieten, das im Idealfall 99,999 % (‚five nine‘) oder gar 99,9999 % (sechs Neuner) betragen muss. Bei einer Verfügbarkeit von 99,999 % wird pro Jahr nur eine Stillstandszeit von ca. 5 min toleriert. Bei anderen industriellen Steuerungs- und Automatisierungssystemen kann dagegen eine extrem kurze Reaktionszeit der kritischste Performance-Parameter sein.

Auf den ersten Blick ähnlich erscheinende ICS-Anwendungen können also bei näherem Hinsehen durchaus große Unterschiede aufweisen. An dieser Stelle müssen zwei Trends angesprochen werden: erstens werden Industriesteuerungen heutzutage mehr und mehr vernetzt, und zweitens kommen in ihnen immer mehr handelsübliche Komponenten zum Einsatz. Dabei kann es sich beispielsweise um Workstations handeln, die unter Standardsoftware wie dem Betriebssystem Microsoft Windows laufen und per IP (Internet Protocol) kommunizieren. Beide Trends haben neue potenzielle Angriffspunkte für Cyber-Attacken geschaffen.

IT-Technologie in industriellen Anwendungen – nicht immer eine ideale Paarung

Obwohl ICS-Applikationen mittlerweile auch Technologien aus dem IT-Bereich nutzen, müssen sie ihren spezifischen Performance-Erwartungen bzw. Restriktionen gerecht werden. Dieses Zusammenwachsen verschiedener Technologien hat die ebenso entscheidende wie direkte Konsequenz, dass die Bedrohungen, die sich bisher nur gegen konventionelle IT-Komponenten richteten, nun auch für ICS-Anwendungen relevant sind. Da industrielle Steuerungssysteme aber andere Performance-Vorgaben erfüllen müssen und in andersartigen Umgebung eingesetzt werden, können die Schutzmaßnahmen aus der IT-Welt bei ihnen nicht unbedingt angewandt werden.

Bevor wir dieses Thema vertiefen, soll als einfaches Beispiel ein SCADA-System betrachtet werden, das den Druck in einem Kühlwassersystem für eine Industrieanlage zu überwachen hat und bei einem Druckabfall Alarm schlagen soll. Kommt es zu diesem Notfall, wird erwartet, dass das Bedienpersonal umgehend eingreift.

Wie würde die Reaktion eines Bedieners in einer klassischen IT-Infrastruktur aussehen? Zunächst könnte es sein, dass sich der Arbeitsplatzrechner nach mehreren Minuten ohne Aktivität gerade im Standby-Zustand befindet, wenn der Alarm eintrifft, sodass der Mitarbeiter zunächst sein Passwort eingeben muss. Nach drei Fehlversuchen würde der Rechner wieder in den Standby-Zustand wechseln und der Bediener müsste sich zum Zurücksetzen des Passworts an den Administrator wenden. Dabei würde wertvolle Zeit verstreichen, was in einer industriellen Anwendung verheerende Folgen haben könnte.

In einer Industriesteuerung muss das Bedienpersonal in einer solchen Notsituation ohne Verzögerung eingreifen können, und jedes Zögern würde einen kritischen Zeitverlust bedeuten. Dies ist somit ein Beispiel für eine gängige Prozedur aus der IT-Welt, die für eine Industriesteuerung nicht nur ungeeignet, sondern absolut schädlich wäre.

Risiken für industrielle Steuerungssysteme

In der Vergangenheit wurden Angriffe über das Datennetz überhaupt nicht als Bedrohung für den Betrieb von Steuerungs- und Automatisierungssystemen angesehen, weil Netzwerke für industrielle Steuerungsbetriebe entweder im Inselbetrieb ohne Vernetzung mit der Außenwelt arbeiteten oder keinen IT-Standards entsprachen.

Heute werden diese Steuerungs- und Automatisierungsnetzwerke jedoch vermehrt mit offenen Standard-Netzwerken verbunden, da sie an andere Systeme angeschlossen werden müssen. In der Industrie lässt sich auch ein proprietäres Protokoll einfach und zu vertretbaren Kosten adaptieren. Die Gefahr besteht oftmals darin, dass etwaige Schwachstellen in diesem Protokoll unter Umständen niemals untersucht, verstanden oder beseitigt wurden.

Es ist gefährlich anzunehmen, dass ein proprietäres Protokoll schon allein deshalb Sicherheit bietet, weil das Wissen darüber nicht öffentlich zugänglich ist. Die Schwäche unsicherer Protokolle steht in einem deutlichen Kontrast zu den allgemein bekannten, vertrauenswürdigen Protokollen, bei denen die Bedrohungen ebenso wie mögliche Gegenmaßnahmen generell geläufig sind.

Netzwerke sind nicht die einzigen Wege, über die Angriffe auf Industriesteuerungen geführt werden können. Eine isolierte Infrastruktur in einer Industriesteuerung kann anfällig für andere Angriffsmedien wie etwa USB-Sticks oder Wartungskonsolen sein.

(ID:37025750)