Cybersicherheit bei der Gebäudeautomation 

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.

Cybersicherheit für industrielle Steuerungsnetze ist aus vielen Gründen eine Herausforderung für sich. Ungeklärte oder überlappende Verantwortlichkeiten, technische Probleme, mangelnde Erfahrung auf Seiten der Anlagenbetreiber und der Sicherheitsexperten im Unternehmen, um nur einige zu nennen. 

Anzeige

Die meisten Steuerungssysteme eines Unternehmens sind was ihre Rolle für die betriebliche Verfügbarkeit und den geschäftlichen Erfolg anbelangt, tatsächlich kritische Infrastrukturen. Dazu zählen Systeme wie eine Rechenzentrumsklimaanlage, Brandmeldeanlagen, Aufzüge und Schließanlagen und selbst die Kühlschranksteuerung oder die vernetzte Kaffeemaschine. Üblicherweise liegen diese Anlagen und Systeme außerhalb des Einflussbereichs eines Cybersicherheitsbeauftragten. Oft genug weiß er nicht einmal, welche Systeme im Netz hängen. Die Folge: das mögliche Angriffsrisiko für eine Rechenzentrumsklimaanlage wird erst gar nicht ins Kalkül gezogen, trotz Fernwartungszugang für die Klimatechnik. Die Digitalisierung deckt unterschiedliche und komplexe Anwendungsbereiche ab. Typische Anwendungen sind unter anderem HLK – die Heizung, Lüftung und Klimatechnik, Energiemanagementsysteme, Lichtsteuerung, Videoüberwachung, Zugangskontrollsysteme und die Aufzugssteuerung. Dazu kommen noch die angeschlossenen Sensoren und Geräte (Kameras, Thermostate, Lichtsensoren). Jedes dieser Systeme verspricht nicht unerhebliche Einsparungen bei den Betriebs- und Energiekosten. Allerdings vergrößern sie die Angriffsfläche für Cyberbedrohungen und erschweren das Sicherheitsmanagement als solches. Jedes System und jedes einzelne Gerät, einschließlich der verschiedenen Versionen und Überarbeitungen, weist ein bestimmtes Maß an potenziellen Cyberrisiken auf.

Die Risiken sind real 

Schon beim erfolgreichen Hack der Einzelhandelskette Target verschafften sich die Angreifer Zugang zu einem HLK-System. Von dort aus arbeiteten sie sich bis in die Finanzsysteme der Kette vor und zogen von dort über 40 Millionen Kreditkartendaten ab. Vor nicht einmal zweieinhalb Monaten erschütterte Ripple20 das IoT. Die zum Teil als kritisch eingestuften Sicherheitslücken wurden in einer TCP/IP-Implementierung aufgedeckt. Der TCP/IP-Stack verarbeitet als erste Instanz sämtliche Netzwerkdaten. Kommt es an dieser verwundbaren Stelle zu Programmierfehlern, führen diese oft zu schwerwiegenden Sicherheitslücken. Ripple20 gefährdet vernetzte Steckdosen, medizinische Geräte, aber auch die Sensoren industrieller Steuerungssysteme. Die Forscher der israelischen Sicherheitsfirma JSOF fanden gleich 19 Sicherheitslücken, zusammengefasst als “Ripple20”. Mittels Ripple20 sind Angreifer beispielsweise in der Lage, eigenen Code einschleusen und auszuführen (Remote Code Execution) oder kritische Daten auszulesen.  

Unsichere Industrieprotokolle sind eine weitere und naheliegende Möglichkeit, wie Angreifer den Betrieb stören und gefährden können. Beliebte Protokolle in der Gebäudeautomation sind von Natur aus nicht besonders sicher konzipiert und weisen wie die im Fertigungssektor verwendeten ihre ganz eigenen Schwachstellen auf. Versierte Angreifer kennen diese Lücken und können vergleichsweise leicht auf die Dokumentation zugreifen, die zum Erstellen von Befehlen erforderlich ist. So lässt sich beispielweise der reibungslose Betrieb von Controllern und anderen Geräten stören.

Cybersicherheit für Menschen, Prozesse und Technologien

Menschen, Prozesse und Technologien unter diesen Bedingungen umfassend abzusichern ist keine geringe Herausforderung. Das liegt auch daran, dass einfache Lösungen – wie Updates einspielen, segmentieren oder eine Antiviren-Software installieren – hier meistens nicht möglich sind: 

  • Updates stehen nicht zur Verfügung oder sie verändern die Funktion des eigentlichen Programms
  • Layer 2-Protokolle und Echtzeitanforderungen erschweren das Segmentieren der Netze
  • Die Installation einer Software kann zum Verlust der Garantieleistung führen oder Fehlfunktionen verursachen

Sicherheit kann unter diesen Umständen selbst zum geschäftlichen Risiko werden. Allerdings zu einem kalkulierbaren. Zumindest unter der Voraussetzung, dass alle Komponenten und Schwachstellen ebenso lückenlos dokumentiert werden wie der gesamte Kommunikationsprozess. Am besten nutzt man zur Aufnahme dieser Informationen eine passiv arbeitende Software-Lösung, die den laufenden Betrieb einer Anlage oder eines Systems nicht beeinflusst. Anhand der so ermittelten Daten kann man eine passende Sicherheitsstrategie entwickeln und folgende Fragen beantworten:

  • Welche Systeme lassen sich problemlos auf den aktuellen Stand bringen?
  • Welche Systeme sollten besser als bisher geschützt werden?
  • Wo sollten Firewalls positioniert werden?
  • Welche Anlagen brauchen spezielle Schutzmaßnahmen? 

Kein Schutz ohne Kontrolle. Hier empfiehlt es sich alle Logging-Informationen einzusammeln und auf bekannte Muster sowie Anomalien hin zu untersuchen. Etwas einfacher ist die Methode, für diesen Teil des Anforderungsprofils auf die Lösung zurückzugreifen, die schon die Anlagendokumentation erstellt hat. Eine 24/7-Überwachung erleichtert das Leben von Betreibern, Unternehmen und Sicherheitsverantwortlichen. Aus dieser Überwachung lassen sich sämtliche Anlagen-bezogenen Informationen ziehen – wie etwa zu Angriffen, neuen Geräten im Netz oder abweichenden Verhaltensmustern sowie Benachrichtigungen und Alarme. Zusätzlich liefern solche Systeme Informationen zu aktuellen Schwachstellen oder neuen Angriffsszenarien. Neben diesen Status-Updates und Benachrichtigungen, bekommen Firmen Kriterien an die Hand, um den Stand ihrer Cybersicherheit immer wieder zu überprüfen und gegebenenfalls neu zu bewerten. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Der Fall des Falles: Was tun, wenn Sie einen laufenden Angriff entdecken? 

Das ist ganz klar eine der Kernfragen. Denn was hilft es, einen Angriff aufzudecken, wenn der Plan fehlt, wie und in welchen Schritten man darauf reagieren soll. Problematisch ist vor allem, dass jeder Eingriff eines Cybersicherheitsteams möglicherweise das System selbst, wie etwa die besagte Rechenzentrumsklimaanlage zerstören könnte. Die Betreiber haben dann keine Möglichkeit mehr, den Angriff zu analysieren und zu bewerten. 

Man sollte deshalb unbedingt Prozesse definieren, wer bei welcher Art von Vorfall involviert werden soll. Zudem sollte man sämtliche Geräte klassifizieren und festlegen, inwieweit sie für den Prozess kritisch sind, den Prozess gefährden oder inwiefern sie nicht zwingend erforderlich, um den Prozess aufrechtzuerhalten. Dank dieser Klassifizierung kann man im Fall des Falles schneller und von der richtigen Seite aus eingreifen. Ist es gelungen, den Angriff einzugrenzen, muss man sich Gedanken machen wie man die Anlage in den Originalzustand zurückführt und welche zusätzlichen Sicherheitsvorkehrungen man treffen will, um einen ähnlichen Angriff zukünftig zu verhindern. 

Wenn Backups allein nicht reichen 

Ransomware ist nach wie vor einer der vorrangigen Bedrohungen, gerade im Umfeld jedweder Art von kritischer Infrastruktur. Ransomware-as-a-Service erlaubt es inzwischen auch technisch weniger versierten Angreifern sich ein Stück vom Kuchen zu sichern. Das gilt auch für gezielte Angriffe gegen Betriebstechnologien und industrielle Steuerungssysteme. Einmal im Netz bleibt eine Schadsoftware oft für einen längeren Zeitraum unentdeckt, ohne sichtbaren Schaden anzurichten. Deshalb sollten Betreiber sich nicht nur auf eine gute Backup-Strategie verlassen, sondern Tools verwenden, die jegliche Veränderung dokumentieren, die Integrität überwachen und das Konfigurations-Management übernehmen. Damit stellt man zum Beispiel sicher, kein Backup einzuspielen, dass zuvor schon infiziert wurde. 

Mit all dem liefern die BSI-Vorgaben Firmen eine gute Orientierung, um sämtliche Komponenten und Prozesse dementsprechend zu härten. Der Markt bietet viele verschiedene Lösungen an, die helfen, diese Regelungen zu initialisieren, umzusetzen und zu erweitern. Einfach umzusetzen sind zum Beispiel passive Scanning Tools, Thread Intelligenz in DNS Response Policy Zones, Configchange Detection-Lösungen, Deep Packed Insepection für industrielle Protokolle oder eine Network Access Control-Lösung. 

Viele dieser Ansätze haben sich in der Unternehmens-IT bereits bewährt. Es lohnt sich durchaus, existierende Technologien hinsichtlich ihrer Tauglichkeit in Prozessnetzen zu prüfen. Gerade, wenn es darum geht, mehr Transparenz für die Cybersicherheit zu schaffen. Das setzt allerdings voraus, dass IT- und OT-Teams sich besser verstehen. Dieses Verständnis ließe sich zum Beispiel fördern, indem ein Vertreter der IT- oder OT-Teams eine Zeit lang in der anderen Abteilung oder der Partnerorganisation arbeiten und sich vor Ort ein Bild des täglichen Betriebs machen. Sicherheitsvorfälle sind unvermeidlich, ob durch einen externen Cyberangriff, Aktivitäten eines böswilligen Insiders oder durch Bedienfehler. Daher ist es unentbehrlich, dass IT- und OT-Teams eng zusammenarbeiten, um kritische Systeme innerhalb eines Gebäudes umfassend zu schützen.  

Maximillian Gilg, Industrial Control Systems Security Engineer, Tripwire, www.tripwire.com

 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.