Industrielle Steuerungssysteme sind immer noch anfällig für böswillige Cyberangriffe





Bereits 1982 deckte die CIA eine Verschwörung der Sowjetunion auf, Industriesoftware zur Steuerung ihres schnell wachsenden Netzwerks von Erdgaspipelines zu stehlen. Als Reaktion darauf modifizierte die Agentur die Software mit Malware, die die Pipelines lahmlegen sollte, und brachte die Sowjets dann dazu, sie zu stehlen.

Dieser Trick erwies sich als spektakulär erfolgreich. Die Sowjets installierten die modifizierte Software – ein industrielles Steuerungssystem namens SCADA – auf einer sibirischen Pipeline. Nachdem sie einige Monate normal funktionierte, begann die Malware, Sicherheitsventile zu schließen, wodurch der Druck in der Pipeline über das hinaus stieg, was die Schweißnähte und Verbindungen aushalten konnten. Schließlich explodierte die Pipeline und verursachte laut der Washington Post, die 2004 über die Geschichte berichtete, die monumentalste nichtnukleare Explosion und das größte Feuer, das jemals aus dem Weltraum gesehen wurde.

Dieser Vorfall ist als erstes Beispiel eines Malware-Angriffs auf ein industrielles Steuerungssystem in die Geschichte eingegangen. Und es bereitete den Boden für eine Kampagne von Cyberangriffen, die 1997 das Telefonsystem der Flugsicherungszentrale am Flughafen in Worcester, Massachusetts, lahmlegte; deaktivierte Sicherheitssysteme im Kernkraftwerk Davis-Besse im Jahr 2003; und zerstörte Zentrifugen in der geheimen iranischen Atomanreicherungsanlage im Jahr 2010 – um nur einige Vorfälle zu nennen.



Einige dieser Angriffe haben große Aufmerksamkeit erregt und das Bewusstsein dafür geschärft, wie anfällig industrielle Steuerungssysteme sind. Daher sollte sich jedes Unternehmen, das industrielle Steuerungssoftware einsetzt, der Risiken bewusst sein und sie entsprechend schützen. Aber ist das wahr?

Heute erhalten wir eine Art Antwort dank Marcin Nawrocki von der Freien Universität Berlin in Deutschland und Kollegen, die die Geschwindigkeit untersucht haben, mit der industrielle Steuerungssysteme ungeschützte Daten über das Internet senden. Ihre Ergebnisse geben einen verblüffenden Einblick in die Anfälligkeit dieser Systeme.

Industrielle Steuerungssysteme wie SCADA und Modbus wurden ursprünglich entwickelt, bevor sich das Internet weit verbreitet hatte. Sie wurden also so konzipiert, dass sie einfach sind und in einem geschlossenen System ohne Verbindung zur Außenwelt funktionieren.



Später wurde es möglich, die Steuersignale in den normalen Internetverkehr zu packen, um industrielle Systeme fernsteuern zu können. Dieser Ansatz ist jedoch völlig offen. Jeder kann den Internetverkehr nach dieser Art von Paketen scannen, sehen, wohin sie geleitet werden, und dann ihre eigenen Befehle senden, um die Kontrolle zu übernehmen.

Und genau so ereigneten sich viele der frühesten Angriffe. Hacker könnten sich über ein Telefonmodem in industrielle Steuerungssysteme einwählen und diese entweder kontrollieren oder deaktivieren.

So ist eine ganze Industrie gewachsen, um solche Systeme zu schützen. Da die Software so weit verbreitet ist, kann sie nicht einfach umgeschrieben werden. Stattdessen besteht der Hauptansatz darin, die Befehle in eine andere Softwareschicht zu packen, die mit herkömmlicher Verschlüsselung, Passwörtern usw. geschützt ist. Dies verhindert sowohl den unbefugten Zugriff auf industrielle Steuerungssysteme als auch das Abhören der Kommunikation über das Internet.



Aber nutzt es jeder? Um das herauszufinden, untersuchten Nawrocki und Co. zwei Datenbanken zum Internetverkehr. Die erste sammelten sie 2017 und 2018 an einem Internet Exchange Point (IXP). Dies ist ein Punkt, an dem Internetdienstanbieter und Content-Delivery-Netzwerke Daten austauschen. Es handelt sich also in der Regel um Verkehr aus demselben Land.

Die zweite Datenbank war ein Archiv des rohen Internetverkehrs zwischen Internetdienstanbietern (ISPs) in den USA und Japan, das zu Forschungszwecken gespeichert wurde. Diese Daten sind natürlich länderübergreifend.

Die erste Aufgabe für Nawrocki und Co. bestand darin, die Daten für die Pakete zu filtern, die auf industrielle Steuerungssysteme abzielten. Sie taten dies mit einem Standard-Paketanalysator namens Wireshark, der ungeschützte Pakete aufdeckt.



Aber es gibt noch einen weiteren wichtigen Filterschritt. Aufgrund der Bedrohungen für industrielle Kontrollsysteme haben verschiedene Projekte damit begonnen, den Internetverkehr zu überwachen – den industriellen Verkehr zu identifizieren und zu katalogisieren, bei Bedarf die Hosts und Quellen abzufragen und Honeypots einzurichten, um böswillige Akteure anzuziehen.

Diese Aktivität allein erzeugt eine beträchtliche Menge an Datenverkehr im Zusammenhang mit industriellen Steuernetzwerken. Also mussten Nawrocki und Co. die Datensätze filtern, um auch diese zu entfernen.

Was übrig blieb, war interessant. Sie fanden über 330.000 ungeschützte Pakete im Zusammenhang mit industriellen Steuerungssystemen. Im internationalen Datenverkehr zwischen ISPs machte dies nur 1,5 % des gesamten industriellen Datenverkehrs aus.

Deutlich schlimmer ist die Situation jedoch auf lokaler Ebene, wo 96 % des Verkehrs aus ungeschützten Industriekommandos besteht. Der Anteil (96%) des ungeschützten industriellen [Industrial Control Systems]-Verkehrs am IXP ist alarmierend, heißt es.

Das Team analysierte diesen ungeschützten Datenverkehr weiter anhand von DNS-Einträgen und Whois-Daten. Sie identifizierten eine Reihe von Unternehmen, die ungeschützten Datenverkehr senden, darunter ein Beratungsunternehmen für Solarenergie, ein Bauunternehmen und ein Handels- und Transportunternehmen. Diese Organisationen sind offensichtlich einem erheblichen Risiko böswilliger Angriffe ausgesetzt.

Das ist eine interessante Arbeit, die ein alarmierendes Maß an ungeschütztem Datenverkehr aufdeckt, der industrielle Systeme gefährdet.

Ref: arxiv.org/abs/1901.04411 : Aufdecken anfälliger industrieller Steuerungssysteme aus dem Internetkern

verbergen