Der aktuelle Cybersicherheits-Vorfall des norwegischen Aluminiumherstellers Norsk Hydro ist symptomatisch für die Entwicklung der Industrie 4.0. Eine Ransomware hat nicht nur die Office-IT lahmgelegt, sondern auch weltweit die Steuerungstechnik (Industrial Control System, ICS) der Produktion zum Stillstand gebracht. Das Unternehmen musste auf manuelle Steuerung umschalten.

Quelle: Pixabay

Die zunehmende Vernetzung der Fertigung stellt IT-/OT-Leiter und Anlagentechniker damit vor neue Herausforderungen. Zum einen werden die ICS durch die Anbindung an die Office-IT und das Internet anfällig für Cyberattacken und Manipulation. Ein ICS kann hierbei sowohl direktes Ziel eines Angriffs werden, als auch als Kollateralschaden beeinträchtigt werden, wie es vermutlich bei Norsk Hydro der Fall ist.

Neben der offensichtlichen Herausforderung an die Cybersicherheit fördert jedoch auch die steigende Anzahl und Heterogenität der Komponenten eine Gefährdung der Verfügbarkeit und Prozessstabilität. Denn die wachsende Komplexität erhöht auch das Risiko technischer Fehlerzustände und Fehlkonfigurationen. Die Suche nach diesen kann in einem komplexen ICS mit unzähligen Fertigungszellen mitunter einer Suche nach der Nadel im Heuhaufen gleichkommen.

Blindheit kostet Unternehmen jährlich 55 Milliarden Euro

Die Kosten dieser Risiken verdeutlicht eine 2017 vom Bitkom e.V. veröffentlichte Studie. Demnach kosten Angriffe auf die IT-Infrastruktur allein deutsche Unternehmen jährlich rund 55 Milliarden Euro.

Dieser Wert berücksichtigt noch nicht die Produktionsausfälle, die sich aus technischen Fehlerzuständen und Netzwerkproblemen ergeben. Laut des US-amerikanischen Analystenhauses Gartner kämen auf jedes Industrieunternehmen im Durchschnitt 87 Stunden ungeplante Stillstandzeit pro Jahr. Die Kosten und Verluste werden zwischen mehreren Tausend bis hin zu Hunderttausend US-Dollar je Stunde beziffert. Gleichzeitig kennen, laut Analystenhaus Forrester Consulting, nur 18 Prozent aller Verantwortlichen zuverlässig alle Komponenten und Vorgänge in ihren ICS.

Die Vorboten von Störungen erkennen

Im Rahmen langfristiger Netzwerkmonitoring-Projekte sowie Stabilitäts- und Sicherheitsaudits in Industrie-4.0-Unternehmen finden wir immer wieder Sicherheitslücken, Angriffsmuster und technische Fehlerzustände. Hierfür wird mittels industrieller Anomalieerkennung die Kommunikation innerhalb eines Produktionsnetzes lückenlos überwacht und Anomalien identifiziert.

Grafiken zu Ausfallarten im Automatisierungsbereich. Vergleich von schleichendem Vorfall, über plötzliche Störung hin zu leichter, aber permanenter Störung mit Beeinträchtigung der Netzwerkqualität

Abbildung 1 – Ziel eines Network Condition Monitoring ist, Stillstände abzuwehren und aufzuklären sowie Einbußen der Netzwerkqualität zu vermeiden (Quelle: Rhebo)

Unter Anomalien fallen hierbei verdächtige oder abweichende Kommunikationsvorgänge, die nicht zum regulären Muster des jeweiligen ICS gehören. Diese Abweichungen können dabei bereits bestehende Störungen widerspiegeln, aber auch Vorboten kommender Störungen und Stillstände sein. Abbildung 1 skizziert die drei wichtigsten Kategorien der Störungen. Stillstände können sowohl plötzlich entstehen, als auch durch schleichende bzw. versteckte Vorgänge im ICS, die erst nach einer Weile Auswirkungen zeigen. Weiterhin kann es zu einer Reduzierung der Netzwerkqualität kommen, die zwar keinen Stillstand bedeutet, aber zum Beispiel zu Ineffizienzen oder Qualitätseinbußen in der Fertigung führen kann.

Ziel sollte deshalb sein:

  1. die Vorboten einer ernsthaften Störung frühzeitig zu erkennen;
  2. die Ursache einer Störung oder eines Stillstandes schnellstmöglich zu analysieren, um gezielt reagieren oder die Wiederherstellungszeit verkürzen zu können.

Verschiedenste Anomalien im Produktionsnetz

Die Anomalieerkennung kam 2017 auch bei einem deutschen Stahlunternehmen zum Einsatz, um im Rahmen der fortschreitenden Digitalisierung eine Bestandsaufnahme seines ICS vorzunehmen. Die Anomalieerkennung wurde dazu passiv und rückwirkungsfrei in das zu überwachende ICS integriert. D.h., die Integration erfolgt über Spiegelports oder Netzwerk-Taps, über welche die gesamte ICS-Kommunikation passiv mitgelesen und analysiert wird. Die industrielle Anomalieerkennung greift somit nicht aktiv in den ICS-Verkehr ein und die Produktionsprozesse werden nicht gefährdet. Vielmehr werden Abweichungen in Echtzeit an den Betreiber (Leiter IT/OT oder Anlagentechniker) gemeldet, der dann die Anomalien bewerten und entsprechende Maßnahmen umsetzen kann.

Sicherheitslücken trotz Firewalls

Das Forschungsinstitut für Cybersicherheit SANS Institute ermittelte in einer aktuellen Studie, dass sich 32 % aller IIoT-Geräte automatisch mit dem Internet verbinden. Dabei würden die traditionellen IT-Sicherheitsschichten regelmäßig umgangen. Auch in dem Stahlunternehmen fanden sich mehrfach Sicherheitslücken, die bislang unentdeckt blieben.

Abbildung 2 – Die Kommunikationsanalyse zeigt verdächtige Kommunikation mit dem ICS über einen Raspberry Pi per ARP-Protokoll (Quelle: Rhebo)

Man-in-the-Middle-Attacke

In der Verbindungsübersicht wurde ein Einplatinenrechner identifiziert, der bislang nicht im Netzwerk bekannt war. Auffällig war vor allem die Kommunikation über das ARP-Protokoll (siehe Abbildung 2). Der Protokolltyp wird häufig für Man-in-the-middle-Angriffe verwendet. Der Hacker gibt sich dabei gegenüber dem Kontrollraum als Steuerung aus, während er in Richtung der Fertigungsanlagen vorgibt, der Controller zu sein. Damit kann er in beide Richtungen manipulierend in die Prozesse eingreifen. Im vorliegenden Fall wurde das nicht autorisierte Gerät umgehend entfernt.

Versand sicherheitsgefährdender Dateien

Ein Windowsrechner, der für die Entwicklung von Siemens-Programmen (Simatic) genutzt wird, empfing von einem anderen Gerät wiederholt eine in dem Kontext nicht benötigte .ini-Datei. Dieser Dateityp wird häufig zur Verbreitung von Schadsoftware genutzt. Die beteiligten Geräte wurden eindeutig identifiziert und die Kommunikation unterbunden.

Technische Fehlerzustände werden meist übersehen

Auch fehlerhafte, oftmals werkseitige Einstellungen bei Routern und Firewalls, widersprüchliche Gerätekonfigurationen, falsch ausgelegte Kapazitäten oder beschädigte Komponenten beeinflussen die Funktionalität des ICS. Im Falle des Stahlunternehmens wurden unter anderem verschiedene Fehlermeldungen und TCP-Prüfsummenfehler identifiziert.

TCP-Prüfsummenfehler

Die TCP-Prüfsumme gibt Aufschluss über die Datenintegrität der Kommunikation. Prüfsummenfehler deuten daher auf Daten- oder Übertragungsfehler, die oftmals durch fehlerhaftes Netzwerk-Equipment entstehen. Diese können zu Verzögerungen oder Ausfällen bei Echtzeitprozessen führen und damit die Produktivität stark beeinträchtigen.

Fehlermeldung von der SPS

Bei einer speicherprogrammierbaren Steuerung (SPS) wurde eine bislang unentdeckte Fehlermeldung innerhalb des S7-Protokolls identifiziert. Dieses Protokoll des Herstellers Siemens kommt bei der Programmierung von SPS zur Anwendung. Die Fehlermeldung wies auf einen möglichen Programmierfehler hin, der mittelfristig die Funktionalität des SPS gefährden könnte.

Fazit

Das Stahlunternehmen erlangte durch den Einsatz der industriellen Anomalieerkennung vollständige Klarheit aller Vorgänge in seinem ICS. Fehlkonfigurationen und potentielle Sicherheitsrisiken, wurden eindeutig identifiziert und beseitigt. Damit legte das Unternehmen die Grundlage für die zukünftige Sicherstellung einer störungsfreien, stabilen und sicheren vernetzten Produktion.

Überlegen Sie sich, wie Netzwerkanomalieerkennung in Ihrem Automatisierungsnetz helfen könnte, um unerwünschte Kommunikation festzustellen. Tipp: Gerade die Übergänge in externe Netze haben oftmals sicherheitsrelevante Hinweise parat.