WannaCry ist ein sogenannter Crypto-Wurm, was bedeutet, dass die Schadsoftware kryptographische Verfahren nutzt, um die Daten des befallenen Systems zu verschlüsseln und sich gleichzeitig „wurmartig“ ausbreitet und vernetzte Komponenten befällt. Um das zu bewerkstelligen errichtete das Schadprogramm zunächst unter Ausnutzung der Schwachstelle CVE-2017-0144 auf einem Windows System im Netzwerk eine Operationsbasis.

Sofern die im Schadprogramm eingebaute „Kill-Switch“ DNS-Domain von der Operationsbasis nicht erreichbar war, begann WannaCry mit der Verschlüsselung der Daten auf dem System und präsentierte den Erpresserbrief auf dem Bildschirm. Parallel dazu versuchte WannaCry mit seiner Wurmkomponente weitere Systeme mit Schwachstelle CVE-2017-0144 im Netzwerk und im Internet zu übernehmen, um neue Operationsbasen zu schaffen.

Der Sicherheitsforscher Marcus Hutchins entdeckte die Kill-Switch DNS-Domain bei der Analyse des Schadprogramms. Nachdem er die Kill-Switch DNS-Domain registriert hatte, stoppte die Ausbreitung des Crypto-Wurms.

Wie gelangte WannaCry in die Produktionsnetze?

In einer idealen Welt sind alle Produktionsnetzwerke gemäß IEC 62443 konzeptioniert. Das heißt:

  • Eine DMZ-Partition schottet das Produktionsnetz vom Büronetzwerk oder dem Internet ab.
  • Innerhalb des Produktionsnetzwerkes werden die Systeme anhand funktionaler Eigenschaften in Netzwerkpartitionen gruppiert. Echtzeitsysteme wie die Sicherheitssteuerung (SIS) oder die Prozesssteuerung (PCS) platziert man zum Beispiel in Partition 2.
  • Alle Kommunikationsverbindungen werden über Sicherheitsgateways gesteuert.
  • Die Nachbarschaftsregel „Kommunikation findet nur zwischen Systemen in benachbarten Partitionen“, etwa zwischen Systemen in Partition 2 und Partition 1, statt, ist strikt umgesetzt. Ausnahmen sind möglich. Bevor Ausnahmen von der Nachbarschaftsregel erlaubt werden, muss eine Risikobetrachtung erfolgen.

Produktionsnetzwerk nach IEC 62443

Beispiele für Ausnahmen von der Nachbarschaftsregel:

Verbindungen (4) und (5) sind Ausnahmen vom IEC 62443 Konzept. Kommunikationsverbindung (4) überspringt die DMZ und erlaubt den direkten Zugriff auf ein System in Partition 1. Verbindung (5) überspringt zwei Partitionen und erlaubt den direkten Zugriff auf die Engineering Station (3) in der PCS-Zone in Partition 2.

Das hört sich sehr aufwändig an. Warum ist das notwendig?

Die Prozess- und die Sicherheitssteuerungen (PCS, SIS) sind Echtzeitsysteme. Sie müssen innerhalb fest vorgegebener Zeitschranken Sensordaten abfragen, Abweichungen von den Prozessvorgaben erkennen, gegebenenfalls neue Stellwerte für die Aktoren berechnen und diese an die Aktoren weiterleiten, damit der Produktionsprozess störungsfrei arbeiten oder die Sicherheitssteuerung die Produktionsanlage in einem kritischen Zustand kontrolliert abfahren kann. Deshalb verfügen Echtzeitsysteme in der Regel nicht über integrierte Sicherheitsfunktionen wie Benutzerverwaltung, Zugriffskontrolle, automatisches Patchen, Intrusionserkennung oder Antivirusprogramm: Die wöchentliche laufende vollständige Systemprüfung durch das Antivirusprogramm etwa würde die gesamte verfügbare Rechenkapazität der Prozesssteuerung benötigen und damit die Steuerung des Produktionsprozesses unmöglich machen.

Deshalb positioniert man Prozesssteuerungssysteme in Partition 2 des Netzwerkes, idealerweise sogar in separaten Netzwerkzonen innerhalb Partition 2. Netzwerkzonen sind ebenfalls durch Sicherheitsgateways von anderen Systemen in Partitionen getrennt. Für einen Angriff auf eine Prozesssteuerung muss ein Angreifer zuerst ein System in der Produktions-DMZ infiltrieren, dann von dort einen Weg über die Sicherheitsgateways und über Systeme in Partition 1 zu den Prozesssteuerungssysteme in Partition 2 finden.

Man spricht daher beim IEC 62443 Netzwerkkonzept auch von Defense in Depth oder von gestaffelter Verteidigung. Da die meisten Systeme im Produktionsnetzwerk und die Sicherheitsgateways keine Echtzeitsysteme sind, also über integrierte Sicherheitsfunktionen, Antivirus, etc. verfügen, steigt die Wahrscheinlichkeit der Entdeckung mit jeder Sicherheitsfunktion, die der Angreifer überwinden muss.

Überwindet der Angreifer die Rote Linie, so hat er uneingeschränkten Zugriff auf den Produktionsprozess und die Sicherheitssteuerungen. Das kann erhebliche Auswirkungen auf die Produktion und die Umwelt haben, wie der unter dem Namen Triton bekannte Angriff auf eine Schneider Electric Triconex Sicherheitssteuerung in 2017 deutlich macht.

Ein IEC 62443 konformes Produktionsnetzwerk ist ein nahezu unüberwindbares Bollwerk gegen Cyber-Angriffe aus dem Internet oder dem Unternehmensnetzwerk, aber:

In der Realität gibt es das IEC 62443 konforme Netzwerk nicht. Ausnahmen bestätigen die Regel!

In der Realität gab es stets Ausnahmen von der Nachbarschaftsregel, die sogenannten erforderlichen Kommunikationsverbindungen. Diese Verbindungen sind zur Aufrechterhaltung der Produktion erforderlich:

  • Das Produktionsplanungssystem im Rechenzentrum sendet Produktionsaufträge zum MES in Partition 1.
  • Prozessanalysensysteme in Partition 2 oder im Feld senden Daten zum Laborinformationsmanagementsystem im Büronetzwerk.
  • Ingenieurbüros schalten sich per Fernwartung direkt von ihrem Büro auf die Engineering Station in Partition 2 auf.
  • Mitarbeiter aus dem Unternehmensnetzwerk greifen zu Wartungszwecken auf die Archivierungssysteme oder eine Engineering Station in Partition 2 zu.

Mit fortschreitender Digitalisierung von Unternehmensprozessen und vertikaler Integration der Produktionsprozesse kommen neue erforderliche Verbindungen wie Fernbetrieb, Fernüberwachung, vorausschauende Instandhaltung (Predictive Maintenance), Energie Monitoring, etc. hinzu. Diese Dienste wollen in der Regel direkten Zugriff auf die Systeme in Partition 1 und 2 haben, vorausschauende Wartung zudem auch auf Geräte im Feld und auf Apparate und Maschinen. Damit wächst die Zahl der Verletzungen der Nachbarschaftsregel dramatisch an.

Digitalisierung kompromittiert die Nachbarschaftsregel

WannaCry springt über erforderliche Verbindungen in die Produktionsnetzwerke.

WannaCry kann über erforderliche Verbindungen, sofern diese das SMB V1 Protokoll nutzen, in die Produktion springen, im schlimmsten Fall direkt auf die Engineering Station in Partition 2. Oder über das MES in Partition 1 auf die Engineering Station in Partition 2. Jede Abweichung von der Nachbarschaftsregel erleichtert den Sprung in die Produktion.

WannaCry’s Weg in die Produktion.

So könnte WannaCry seinen Weg in die Produktion finden:

(1) Angreifer nutzt CVE-2017-0144 auf einem Server in der DMZ aus und macht (2) diesen zu seiner Operationsbasis.

(3) Der Angreifer springt über eine SMB V1 Verbindung auf einen Fileserver ins Office Netz. (4) Dieser wird zur neuen Operationsbasis. Die Windows 7 Workstation (5) wird von der Wurmkomponente bei der Suche nach Windows Systemen mit CVE-2017-0144 gefunden und übernommen.

Der Techniker auf der Windows 7 Workstation (5) hat gerade die (aus seiner Sicht) erforderliche Verbindung (E2) zur Engineering Station per Anmeldung an den Sicherheitsgateways geöffnet.

(6) WannaCry springt über (E2) auf die Engineering Station.

WannaCry kann (E1) nicht nutzen, da keine Verbindung über das SMB V1 Protokoll vorhanden ist.

(9) Über (E3) kann WannaCry jedoch von der Engineering Station auf das System (7) in Partition 1 zurückspringen.

Diese Methode der Infiltrierung ist sowohl für Computerwürmer als auch menschliche Angreifer nicht unüblich. Der Computerwurm verwendet eher gleichartige Schwachstellen, um sich im Netzwerk des Opfers zu bewegen. Menschliche Angreifer nutzen verschiedene Klassen von Schwachstellen, um sich über Netzwerkgrenzen hinweg in die Produktion einzuschleichen. Beispiele sind der Angriff auf einen Hochofen in Deutschland 2014 (siehe Kapitel 3.3.1 auf S. 31) oder der Angriff auf eine Schneider Electric Triconex Sicherheitssteuerung in Saudi Arabien 2017.

Zusammenfassung

Anhand des aufgezeigten Beispiels sieht man, dass sich Schadprogramme auch trotz funktionaler Gruppierung des Produktionsnetzes und Sicherheitsmaßnahmen wie Gateways oder DMZ-Zonen in die Steuerungsebene einschleichen können. Hintergrund ist der stetige Anstieg an erforderlichen Verbindungen, die über die Grenzen der Partionen hinaus, direkte Zugriffe von außerhalb ermöglichen. Aus diesem Grund schauen wir uns in Teil 3 der Artikelserie an, welche Tipps und Regeln man befolgen sollte, um solche Lücken zu vermeiden.

Erstellen Sie sich eine Übersicht aller erforderlichen Kommunikationsverbindungen, die gegen die Nachbarschaftsregel (insbesondere zwischen den Partionen der Steuerungs, Supervisory und MES-Ebenen) verstoßen.