Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011

Auch in dieser Folge geht es um Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". In der vorherigen Folge ging es um die Konferenzen im Jahr 2010 sowie die ersten zwei Konferenzen aus dem Jahr 2011. Und hier geht es nahtlos weiter:

Dezember 2011 - Black Hat Abu Dhabi

Auf der Black Hat Abu Dhabi 2011 gab es einen Vortrag zur SCADA-Sicherheit: "SCADA Security - Why Is It So Hard?" von Amol Sarwate, dem "Director of Vulnerability Engineering" von Qualys. Der hat seinen Vortrag mit einer kleinen Liste von Vorfällen rund um Industriesteuerungen begonnen: Unfälle, Vandalismus, Insider-Angriffe, APT/Terrorismus oder Spionage (Duqu) - Probleme gab es schon lange.

Danach ging es kurz um die Technischen Grundlagen, den Aufbau der Industriesteuerungen. Angefangen bei der I/O-Hardware über die Fernsteuerungen und Kommunikation zur Bedienung durch Menschen über das Human Machine Interface (HMI). Damit sind auch die Grundlagen für die Frage nach den möglichen Angriffen gelegt.

Angriffe auf die I/O-Hardware und die Fernsteuerungen erfordern im allgemeinen physischen Zugriff auf die Geräte, und da es auf dieser Ebene keine Informationen zu den Prozessen gibt sind die Auswirkungen auf Vandalismus und ähnliches beschränkt. Die Kommunikation ist dagegen stark gefährdet. Besonders interessant ist in diesem Zusammenhang das für die Kommunikation verwendete Modbus-Protokoll. Um dessen Sicherheit ist es nicht besonders gut bestellt. Das ebenfalls zum Einsatz kommende Distributed Network Protocol (DNP) 3.0 ist deutlich neuer und sicherer.

Ein von Amol Sarwate entwickeltes Perl-Skript, scada_scan.pl, kann einen angegebenen Netzwerkbereich nach DNP-3- und Modbus-Slaves scannen. Das Tool sollte um Funktionen zur Suche nach Schwachstellen erweitert werden, die Entwicklung scheint aber eingeschlafen zu sein.

Bei der Kontrolle der Steuerungen liegt auch einiges im Argen. Das Kontroll-Netzwerk für die SCADA-Systeme ist häufige mit dem Unternehmensnetz oder sogar direkt mit dem Internet verbunden und damit möglichen Angriffen ausgesetzt. Eine Authentifizierung gibt es entweder gar nicht oder pro Benutzer, wobei letztere durch gemeinsam genutzte oder schwache Passwörter nur einen geringen Schutz bietet. Dazu kommen die üblichen, zu erwartenden Probleme: Es gibt selten Regeln zur Passwortsicherheit wie zum Beispiel dem regelmäßigem Wechsel der Passwörter, Patches werden nicht installiert, und auf den Rechnern laufen nicht benötigte Dienste.

Außerdem kritisiert Amol Sarwate, dass die Steuersysteme manchmal Jahrelang nicht neu gestartet werden. Das kann aber auch daran liegen, das ein Neustart der IT nicht unbedingt unabhängig von den gesteuerten Anlagen möglich ist, und wer möchte/kann schon regelmäßig alle Produktionsprozesse stoppen und neu starten?

Generell stellen die SCADA-Systeme die Betreiber auch vor einige Herausforderungen, angefangen beim langen Lebenszyklus, den Schwierigkeiten und Kosten beim Durchführen von Upgrades , der mangelhaften Unterstützung der SCADA-Hersteller beim Testen von Betriebssystem-Patches, und vielem mehr.

Oft gehen die Betreiber auch leichtsinnigerweise und völlig fälschlich davon aus, dass SCADA-Systeme für Hacker zu obskur sind. Sofern es um Angriffe auf die (mitunter gar nicht vorhandene) Authentifizierung der HMI und dem darauf folgenden Zugriff auf die Benutzeroberfläche geht ist das natürlich sofort als Fehler zu erkennen. In einer Benutzeroberfläche Unsinn anstellen kann jedes Kleinkind. Aber auch gezieltere Angriffe sind kein wirkliches Problem, sofern der Angreifer Zugriff auf passende Handbücher, Dokumentationen und ähnliches der angegriffenen Geräte hat. Die es ja gerüchteweise in diesem komischen Internet geben soll. Aber das ist ja vielleicht für manche SCADA-Betreiber zu obskur.

Amol Sarwate liefert zum Abschluss einige Ratschläge zur Absicherung von SCADA-Systemen. Administratoren von IT-Systemen entlocken die nur ein müdes Lächeln, für die ist das alles altbekannt:

  • Es werden Strategien für Passwortregeln, die Zugriffskontrolle und Zugriffsrollen benötigt.
  • Es wird eine Strategie für Software-Upgrades und die Installation von Patches benötigt.
  • ES wird eine Testumgebung der SCADA-Systeme benötigt, damit Änderungen getestet werden können.
  • Die SCADA-Hersteller müssen Betriebssystem-Patches testen und gezielt freigeben, damit die Betreiber sie unbesorgt installieren können.
  • Es müssen neue, sichere Protokolle verwendet bzw. entwickelt werden.
  • Die SCADA-Betreiber sollten auf die Erfahrungen der IT-Abteilungen mit der Verwaltung und Absicherung von Netzwerken zurückgreifen.
  • Und zu guter Letzt sind Sicherheitsaudits und -scans der SCADA-Systeme nötig, um Schwachstellen zu ermitteln und danach beheben zu können.

In der nächsten Folge geht es um weitere Vorträge, beginnend mit der Black Hat USA 2012. Dort ging es um die Frage, wieso SCADA-Sicherheit so schwierig ist.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Keine Trackbacks