Huckepack in die Produktion
Basierend auf Erfahrungen aus einem Industrie-4.0-Labor mit realen Fertigungsanlagenverschiedener branchenführender Hersteller erörtert der vorliegende Beitrag drei besonders durch Cyberattacken gefährdete Bereiche mit beispielhaften Angriffsszenarien und Ansätzen für die Verteidigung.
Bis vor ein paar Jahren kam es noch überwiegend zufällig zu Cyberattacken auf Systeme der „Operational Technology“ (OT), weil herkömmliche Ransomware wie WannaCry Kollateralschäden verursachte. Mittlerweile haben Cyberkriminelle die Produktion jedoch als lohnendes Ziel für sich entdeckt und spezielle Malware dafür entwickelt, zum Beispiel LockerGoga, Snake/Ekans oder DoppelPaymer.
Mit einer Suchmaschine für Systeme des Internet of Things (IoT), wie Shodan, gelingt es überdies, vernetzte Geräte aufzuspüren und sogar Details zum Betriebssystem zu ermitteln – so können Cyberkriminelle ganz einfach konkrete Ziele mit bekannten Schwachstellen anvisieren.
Letztes Jahr hat der japanische IT-Sicherheitsanbieter Trend Micro daher in Zusammenarbeit mit der Polytechnischen Universität Mailand (Politecnico di Milano) seinen Forschungsbericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ veröffentlicht [1]. Ziel der Studie war es herauszufinden, welche Angriffsvektoren Cyberkriminelle ausnutzen, um OT-Umgebungen ins Visier zu nehmen und mit Schadsoftware zu infiltrieren.
Zu diesem Zweck wurde an der Mailänder Universität ein Industrie-4.0-Labor eingerichtet und mit realen Fertigungsanlagen verschiedener branchenführender Hersteller ausgestattet. Die Sicherheitsforscher untersuchten die Umgebung auf Schwachstellen und mögliche Angriffsvektoren. Anschließend entwickelten sie realistische Angriffsszenarien. Dabei konzentrierten sie sich darauf, wie ein fortgeschrittener (und kreativer) Angreifer, der Zugang zu einer oder mehreren Komponenten des Systems hat, seinen Weg in andere Teile des Systems finden könnte. In Proofs of Concept (PoCs) führten sie die Angriffe dann selbst durch, um ihre Überlegungen zu verifizieren – so ließen sich Rückschlüsse auf die Einfallstore und Schwachstellen ziehen, über die sich Cyberkriminelle Zugang zu Industrieunternehmen verschaffen.
Abbildung 1 zeigt, an welchen Stellen das OT-Netzwerk durch Firewalls von anderen Netzwerken (z. B. Internet, IT-Netzwerk) getrennt ist. Die roten Indikatoren kennzeichnen Endpunkte, die als Einfallstore für Angriffe genutzt werden können. Zu den besonders gefährdeten Bereichen gehören Engineering-Workstations, Entwicklungsumgebungen für kundenspezifische IIoT-Geräte und MES-Datenbanken.
Abbildung 1: Überblick über die Angriffsfläche von Smart Factories mit Hervorhebung der physischen und logischen Netzwerkgrenzen sowie möglichen Einfallstoren für Attacken
Engineering-Workstations
Engineering-Workstations sind gemeinsam genutzte Systeme mit Fachbenutzern, die immer mit der Produktionsumgebung verbunden sind. Sie dienen zur Entwicklung und Bereitstellung von Programmlogik oder zur Verbindung mit Feldgeräten, wie beispielsweise speicherprogrammierbaren Steuerungen (SPS, engl. Programmable Logic Controller – PLC) oder Human/Machine-Interfaces (HMIs) für Wartung, Diagnose oder Neuprogrammierungen. Gelegentlich verwendet man Engineering-Workstations auch, um Programme einzusetzen, die von externen Entwicklern erstellt wurden.
Zwischen jeder Workstation, die für technische Zwecke eingesetzt wird, und dem Rest des Systems besteht ein Vertrauensverhältnis. In einigen Fällen ist dieser Zusammenhang bekannt und somit auch in die Sicherheitsplanung einbezogen. Es gibt aber auch Situationen, in denen es schwieriger ist, diese Verknüpfung zu erkennen. Das ist darauf zurückzuführen, dass es sehr viele indirekte oder implizite Vertrauensbeziehungen gibt: zwischen der Person, welche die Automatisierungslogik entwickelt, und zwischen dem intelligenten Fertigungssystem, das die Logik schließlich einsetzt.
Es besteht beispielsweise auch die Möglichkeit, dass der Computer eines Entwicklers von Malware befallen ist oder eine verwendete Bibliothek an der Quelle manipuliert wurde. Ein Beispiel hierfür ist die Malware XcodeGhost, die bei Angriffen auf Lieferketten zum Einsatz kam: Eine der Techniken der Malware bestand darin, den Xcode-Compiler so zu modifizieren, dass generierte iOS-Anwendungen infiziert wurden. Auch die eingesetzte Industriesoftware bietet laut Trend-Micro-Analysen konkrete Möglichkeiten für Angreifer, die gesamte Engineering-Workstation zu kompromittieren oder digitale Zwillinge zu verändern.
Angriffsszenario: Kompromittierung durch ein bösartiges industrielles Add-in
Im ersten Schritt wird die Engineering-Workstation über ein bösartiges Industrie-Add-in kompromittiert. Dieses fügt anschließend einen bösartigen Code in die Automatisierungslogik ein, die beispielsweise auf einem Industrie-Roboter eingesetzt wird. Der manipulierte/bösartige Code der Automatisierungslogik kann dann das Netzwerk erforschen, Dateien und Netzwerkinformationen vom Roboter-Host exfiltrieren und einen bösartigen Server implementieren, um weitere Schritte des Angriffs zu unterstützen.
Mit diesem Angriff kann ein Angreifer Zugriff auf die Ziel-Engineering-Workstation erlangen, Geheimnisse von ihr stehlen und jedes entwickelte Task-Programm aus der Ferne trojanisieren, um in das Smart-Manufacturing-System vorzudringen. Das Ziel des Angreifers ist zumeist, die Produktion zu verändern oder Zugriff auf die intelligente Fertigungsanlage zu behalten, auch wenn die Engineering-Workstation nicht direkt mit ihr verbunden ist (z. B. könnte die Engineering-Workstation das Notebook eines Beraters sein, der die Automatisierungslogik entwickelt, die anschließend an einen Kunden ausgeliefert wird).
Verteidigungsansatz
Bösartige industrielle Add-ins sind im Wesentlichen DLL-Dateien. Da diese per se keine Bedrohung darstellen, besteht der beste Verteidigungsansatz darin, verhaltensbasierte Lösungen zum Endpunktschutz einzusetzen. Sie können unter anderem erkennen, ob eine ausführbare Datei versucht, Dateien zu sammeln und zu exfiltrieren.
Entwicklungsumgebungen
Kundenspezifische Geräte für das Industrial IoT (IIoT) erfreuen sich zunehmender Beliebtheit, weil sie eine größere Automatisierungsflexibilität ermöglichen als klassische Automatisierungshardware wie beispielsweise speicherprogrammierbare Steuerungen. Zu dieser verhältnismäßig neuen Art von Geräten zählen unter anderem eingebettete Systeme, Arduino-ähnliche Geräte, Raspberry Pi oder andere Einplatinencomputer, die von Systemintegratoren oder internen Mitarbeitern programmiert werden.
Zwischen den verschiedenen Softwarebibliotheken in diesem Ökosystem und dem intelligenten Fertigungssystem bestehen ebenfalls viele Vertrauensbeziehungen. Ähnliche Sicherheitsaspekte wie die, die auf Engineering-Workstations zutreffen, sind auch für Entwicklungsumgebungen für kundenspezifische IIoT-Geräte relevant. Besonders deutlich wird das bei verwendeten Bibliotheken: Neben der Möglichkeit, eine in sich abgeschlossene Bibliothek eines Drittanbieters einzusetzen, nutzen Programmierer häufig auch solche, die wiederum auf Bibliotheken anderer Drittparteien basieren – in der Software entsteht so eine äußerst komplexe Abhängigkeitskette. Für einen Entwickler gibt es keine Möglichkeit, die Integrität und Authentizität einer Bibliothek einfach „Ende zu Ende“ zu validieren. Dadurch besteht die Gefahr, dass mit Trojanern infizierte Komponenten in das System gelangen.
Angriffsszenario: Trojanisierung eines kundenspezifischen IIoT-Geräts
Für diesen Angriff kann entweder die Workstation für die Entwicklung oder das Repository einer verwendeten Open-Source-Projektbibliothek kompromittiert werden. So oder so wird dabei die Bibliothek verändert, um etwa falsche Temperaturmesswerte zu melden, sodass eine Anlage aufgrund von Sicherheitsvorschriften angehalten wird. Bei der Erstellung einer benutzerdefinierten Firmware zur Überwachung der Temperaturmesswerte bindet der Entwickler dann unwissentlich die trojanisierte Bibliothek ein.
Mit diesem Angriff kann ein Angreifer ein intelligentes Fertigungssystem durch benutzerdefinierte IIoT-Geräte kompromittieren. Obwohl der verwendete Angriffsvektor nicht speziell mit intelligenten Fertigungsumgebungen verbunden ist, können derartige Attacken in einer solchen Umgebung durchaus drastische Auswirkungen haben. Der Angriff könnte entweder Fehlfunktionen auf dem intelligenten Fertigungssystem verursachen oder andere Attacken auf das Netzwerk ermöglichen.
Verteidigungsansatz
Die beste Verteidigung besteht darin, volle Transparenz über die gesamte Software-Lieferkette zu gewinnen – das schließt Komponenten von Drittanbietern ein, die (intern) von Entwicklern verwendet werden, um kundenspezifische Firmware für IIoT-Geräte zu erstellen. Letztlich bedeutet das: Immer, wenn man eine Bibliothek in ein Softwareprojekt einbindet, muss diese als nicht-vertrauenswürdig betrachtet werden. Bei jeder Änderung ist folglich eine vollständige Codeüberprüfung durchzuführen.
MES-Datenbanken
Datenbanken für Manufacturing-Execution-Systeme (MES) werden oft mit den oberen Ebenen der Automatisierungspyramide (vgl. Abb. 2) geteilt. Ihre Funktion besteht darin, Arbeitsaufträge und Arbeitsvorlagen bereitzuhalten – hierbei handelt es sich um hochsensible Daten. Erstellt man eine Arbeitsvorlage auf dem MES, wird ein neuer Datensatz in der Datenbank gespeichert. In ähnlicher Weise wird beim Start eines Arbeitsauftrags der Status der Fertigungsschritte in der Datenbank aktualisiert.
Auf konzeptioneller Ebene vertraut das MES auf die aus der Datenbank stammenden Daten. Dies impliziert, dass ein Angreifer im Netzwerk oder in der Datenbank Datensätze fälschen oder verändern kann, wenn kein Authentifizierungsprozess für den Datenbankspeicher existiert. Das kann potenziell zu Manipulationen der Produktion führen.
Angriffsszenario: Datenmanipulation auf dem MES
Diese Art von Angriffen erfolgt unter der Annahme, dass sich ein Angreifer zwar nicht im Netzwerk des Smart-Manufacturing-Systems befindet und keinen Zugriff darauf hat, aber in ein Feld der Datenbank des MES schreiben kann – das MES selbst kann sich dabei im gleichen Netzwerk befinden oder auch nicht. Ziel des Angreifers könnte es sein, Fehlfunktionen zu verursachen, produzierte Waren zu beschädigen oder fehlerhafte Produkte herzustellen. Ein solcher Angriff kann jedes MES treffen, das keine Integritätsprüfungen für Datenbankeinträge durchführt.
Abbildung 2: Die Automatisierungspyramide
Verteidigungsansatz
Normalerweise ist der gesamte Datenverkehr zwischen der Datenbank oder dem ERP-System und dem MES implizit autorisiert. Daher gilt es zu verhindern, dass ein Angreifer einen vertrauenswürdigen Rechner kompromittiert, der rechtmäßig Daten an das MES senden darf. Wenn sich der Angreifer bereits im Netzwerk befindet und das MES Befehle aus dem Netzwerk akzeptiert, kann der Angreifer versuchen, diese Befehle zu fälschen. Für diesen Fall sollte man Maßnahmen gegen ein Spoofing von IP-Adressen sowie Nachrichten des Address-Resolution-Protocol (ARP) einsetzen.
Fazit
Früher galten Fertigungssysteme als abgeschottete Einheiten – das war jedoch schon lange ein Trugschluss, denn die Produktion ist nicht erst seit Zeiten von „Industrie 4.0“ mit anderen Elementen des Netzwerks verbunden. So waren beispielsweise moderne Maschinen in einer Fertigung schon immer miteinander vernetzt und wurden darüber hinaus von einer übergeordneten Kontrolleinheit gesteuert. Zudem greift in der Regel ein Wartungstechniker auf die Systeme zu, indem er ein Notebook anschließt oder die Wartung per Fernzugriff übernimmt.
Das sogenannte Air-Gap, der Abstand zwischen Informations- (IT) und Betriebstechnik (OT), hat sich in einer hochautomatisierten Fertigungsstrecke mittlerweile auf ein Minimum reduziert. Durch diese Entwicklung bieten sich immer mehr Möglichkeiten für potenzielle Angreifer, um Industriesysteme zu infiltrieren oder gar ganze Produktionslinien stillstehen zu lassen.
Securityteams müssen dem Schutz von OT-Systemen große Sorgfalt zukommen lassen – nicht nur in Fabriken und Produktionsanlagen, sondern auch in kritischen Infrastrukturen (KRITIS)! Immer mehr OT-Systeme fallen mittlerweile in den Bereich, der vom Gesetzgeber als für das staatliche Gemeinwesen bedeutsame Basisdienste definiert wurde. Unternehmen können durch eine vorausschauende Sicherheitsstrategie einen aktiven Ansatz zur Abwehr von Cyberkriminellen verfolgen – Schwachstellen können umgehend erkannt, Latenzzeiten vermieden und die Skalierbarkeit für eine andauernde Produktivität von OT-Systemen gewährleistet werden.
Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro
Literatur
[1] Trend Micro, Attacks on Smart Manufacturing Systems, A Forwardlooking Security Analysis, Mai 2020,
https://documents.trendmicro.com/assets/white_papers/wp-attacks-onsmart-manufacturing-systems.pdf