Anzeige

Programmieren

Trend Micro stellt neue Forschungsergebnisse vor, die auf Designschwächen in Legacy-Programmiersprachen hinweisen, welche in industriellen Systemen zum Einsatz kommen. Die Sicherheitsforscher veröffentlichen zudem neue Richtlinien für sicheres Programmieren, die Entwicklern von Industrie-4.0-Anlagen helfen sollen, die Angriffsfläche für Software-Angriffe deutlich zu verringern.

Dadurch können Betriebsunterbrechungen in OT-Umgebungen (Operational Technology) wirksam verhindert werden. 

Die in Zusammenarbeit mit der Polytechnischen Universität Mailand (Politecnico di Milano) durchgeführte Forschung zeigt umfassend, wie Designschwächen in älteren Programmiersprachen Automatisierungsprogramme angreifbar machen. Angreifern bietet sich bei Manipulationen die Möglichkeit, Industrieroboter, Automatisierungs- und Produktionsanlagen zu stören und geistiges Eigentum zu stehlen. Dem Bericht nach scheint die industrielle Automatisierungswelt nicht darauf vorbereitet zu sein, die Ausnutzung der gefundenen Schwachstellen zu erkennen und zu verhindern. Seitens der Industrie ist es deswegen zwingend erforderlich, bewährte Sicherheitsmaßnahmen aus der Netzwerksicherheit und sichere Verschlüsselungspraktiken zu übernehmen und zu etablieren. Dazu stehen die Forscher bereits in engem Austausch mit Branchenführern.

„Da das Aufspielen von Patches und Updates auf ein mit dem Netzwerk verbundenes OT-System oftmals unmöglich ist, muss die Entwicklung bereits im Vorfeld sicher sein“, erklärt Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. „Heutzutage hängt das Software-Rückgrat der industriellen Automation von Legacy-Technologien ab, die allzu oft verborgene Schwachstellen enthalten. Dazu zählen Urgent/11 und Ripple20 ebenso wie Variationen von Y2K-ähnlichen Architekturproblemen. Wir wollen nicht nur auf diese Herausforderungen hinweisen, sondern wieder einmal die Führung beim Schutz der Industrie 4.0 übernehmen, indem wir konkrete Hilfestellung für Design, Entwicklung, Verifizierung und laufende Wartung sowie Tools zum Scannen und Blockieren von bösartigem und anfälligem Code anbieten.“ 

Bei der Entwicklung der bisherigen, herstellerspezifischen Programmiersprachen wie RAPID, KRL, AS, PDL2 und PacScript wurde die Möglichkeit eines aktiven Angreifers nicht berücksichtigt. Da es diese Sprachen schon seit Jahrzehnten gibt, sind sie heute für wichtige Automatisierungsaufgaben in der Fabrikhalle unerlässlich, können aber selbst nicht einfach repariert werden.

Schwachstellen sind nicht nur ein Problem in den mit herstellerspezifischen Sprachen geschriebenen Automatisierungsprogrammen. Wie die Forscher an einem Beispiel zeigen, kann sogar eine neue Art von sich selbst verbreitender Malware in einer der Legacy-Programmiersprachen erstellt werden.

Trend Micro Research hat eng mit dem Robotic Operating System Industrial Consortium zusammengearbeitet, um Empfehlungen zu erarbeiten, wie die Ausnutzbarkeit der identifizierten Probleme reduziert werden kann.

„Die meisten Industrieroboter sind für isolierte Produktionsnetzwerke ausgelegt und verwenden Legacy-Programmiersprachen“, sagt Christoph Hellmann Santos, Programm-Manager beim ROS-Industrial Consortium Europe. „Sie können anfällig für Angriffe sein, wenn sie zum Beispiel mit dem IT-Netzwerk eines Unternehmens verbunden sind. Deshalb haben ROS-Industrial und Trend Micro gemeinsam Richtlinien für ein korrektes und sicheres Netzwerk-Setup zur Steuerung von Industrierobotern mit ROS entwickelt.“

Laut der neuen Richtlinien können Task-Programme, die auf diesen Sprachen basieren und die automatischen Bewegungen von Industrierobotern steuern, auf sicherere Weise geschrieben werden, um das Risiko in der Industrie 4.0 zu mindern. Die wesentlichen Punkte, die für das Schreiben sicherer Arbeitsprogramme zu berücksichtigen sind, lauten:

  • Behandeln Sie Industriemaschinen als Computer und Arbeitsprogramme als leistungsfähigen Code
  • Jede Kommunikation authentifizieren
  • Richtlinien zur Zugangskontrolle implementieren
  • Immer eine Eingabe-Validierung durchführen
  • Immer eine Ausgabe-Säuberung durchführen
  • Ordnungsgemäße Fehlerbehandlung ohne Offenlegung von Details implementieren
  • Geeignete Konfigurations- und Deployment-Verfahren einrichten!

Darüber hinaus haben Trend Micro Research und das Politecnico di Milano ein zur Patentierung anstehendes Tool entwickelt, mit dem anfälliger oder bösartiger Code in Task-Programmen erkannt und so Schäden zur Laufzeit verhindert werden können.

Als Ergebnis dieser Untersuchung wurden sicherheitsrelevante Merkmale in den acht meistverbreiteten industriellen Roboter-Programmierplattformen identifiziert und insgesamt 40 Fälle von anfälligem offenem Quellcode gefunden. Ein Anbieter hat das von einer Schwachstelle betroffene Automatisierungsprogramm bereits aus seinem App-Store für industrielle Software entfernt. Zwei weitere Schwachstellen wurden vom Entwickler bestätigt, was zu einer fruchtbaren Diskussion führte. Einzelheiten zu den Schwachstellen wurden auch vom ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) der US-Heimatschutzbehörde in einer Warnmeldung veröffentlicht.

Weitere Informationen:

Den vollständigen Bericht finden Sie hier.

Die Ergebnisse dieser Forschung werden am 5. August auf der Black Hat USA und im Oktober auf der ACM AsiaCCS-Konferenz in Taipeh vorgestellt.

www.trendmicro.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Netzwerk mit Frau
Jun 10, 2020

Steigenden Bedarf an sicherem Fernzugriff auf OT-Netzwerke sicher bewältigen

Viele denken bei „Remote Work“ und Fernzugriff vor allem an Büroangestellte, die ihre…
Industrie
Mär 15, 2020

OT-Security: Wo soll man anfangen?

Die Operational Technology (OT) war lange strikt getrennt vom IT-Netzwerk und dank…
Industrieroboter
Feb 26, 2020

Die Top-Treiber für den Einsatz von Industrie-Robotern

Von 2020 bis 2022 werden rund 2 Millionen neue Industrie-Roboter in den Fabriken weltweit…

Weitere Artikel

Home Office

Wie Sie das Chaos im Homeoffice besiegen

In Zeiten der Pandemie ist das Homeoffice für viele arbeitende Menschen eine Alternative geworden, um ihre Tätigkeit dennoch weiter auszuüben. Dabei gibt es für viele Unternehmen eine typische Schwachstelle - das Dokumentenmanagement.
Programmierer

Die Vorteile von Snap einfach erklärt

Die heutige Digitalisierung in Unternehmen bietet Programmierern und Softwareentwicklern eine willkommene Spielwiese. Sie sind gefragter denn je und helfen bei der Entwicklung neuer Technologien und Programme weiter, die den Arbeitsalltag erleichtern. Die…
SaaS

3 Schlüsselfaktoren für zukunftssichere SaaS-Cloud-Plattformen

Die unternehmensinterne IT-Infrastruktur gereicht manchmal zum Mysterium: Sehr große Cloud-Systeme, eine wachsende Anzahl an Microservices und zusätzlich bringt Homeoffice dutzende neue Schnittstellen, die es zu sichern gilt. Kurzum: Das alles zeigt, dass es…
Change Management

Erfolgreiches Change Management in Software-Integrationsprojekten

Komplexe Integrationsvorhaben in der Softwareentwicklung sind oft zeitaufwendig. IT-Dienstleister Consol nennt sieben Best Practices, mit denen Unternehmen Change-Management-Prozesse in Software-Integrationsprojekten beschleunigen können.
Mitarbeiter Team

Der Faktor „Mensch“ in der Softwareentwicklung

Im Jahr 2021 wird das Konzept von DevOps noch stärker an Relevanz gewinnen. Immer mehr Unternehmen müssen und werden erkennen, dass es bei DevOps nicht nur um Tools und Automatisierung geht, sondern vor allem um Menschen und Prozesse.
RMM

Remote Monitoring Management: Tipps zur Auswahl eines RMM-Tools

Im Zuge der COVID-19-Pandemie setzt sich der Trend zur Telearbeit und zum Arbeiten von zu Hause aus fort. Dies macht den Einsatz herkömmlicher IT-Lösungen für viele Unternehmen zu einer Herausforderung.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!