Cybersicherheit in der Industrie: die Bedrohungslandschaft

 Download ICS availability statistics (PDF version)

 Download ICS vulnerabilities statistics (PDF version)

Einleitung

Wir sind umgeben von Industriellen Kontrollsystemen (ICS): Sie werden eingesetzt bei der Strom- und Wasserversorgung, der Abwasserentsorgung, bei der Öl- und Gasförderung, im Transportwesen, in der chemischen und pharmazeutischen Industrie, in der Zellstoff- und Papierindustrie, der Lebensmittel- und Getränkeherstellung sowie bei der diskreten Fertigung (also zum Beispiel bei Autos, Flugzeugen und langlebigen Waren). Smarte Städte, smarte Häuser und Autos sowie auch medizinische Ausrüstung – all das wird mit Hilfe von ICS angetrieben.

Die Expansion des Internets macht Industrielle Kontrollsysteme zu einer leichten Beute für Angreifer. Die Zahl der über das Internet verfügbaren ICS-Komponenten steigt mit jedem Jahr. Bedenkt man, dass viele ICS-Lösungen und -Protokolle ursprünglich für isolierte Umgebungen entwickelt wurden, bietet eine solche Verfügbarkeit einem Übeltäter aufgrund mangelnder Sicherheitskontrollen eine Vielzahl von Möglichkeiten, um die Infrastruktur hinter dem jeweiligen ICS zu manipulieren. Obendrein sind einige Komponenten an sich bereits angreifbar. Die ersten verfügbaren Informationen über Sicherheitslücken in ICS-Komponenten gehen zurück auf das Jahr 1997, als nur zwei Schwachstellen öffentlich gemacht wurden. Seither hat die Zahl der Schwachstellen deutlich zugenommen – von 19 Sicherheitslücken im Jahr 2010 auf 189 Sicherheitslücken im Jahr 2015.

Raffinierte Angriffe auf ICS sind nichts Neues mehr. Erinnerungswürdig ist ein Vorfall aus dem Jahr 2015 in Ivano-Frankivsk, Ukraine, als etwa die Hälfte der Haushalte aufgrund einer Cyberattacke gegen das Energieunternehmen Prykarpattyaoblenergo von der Stromversorgung abgeschnitten war. Und dabei handelte es sich nur um eines von vielen Opfern der APT-Kampagne BlackEnergy APT.

Ein anderer bemerkenswerter Vorfall trug sich ebenfalls im Jahr 2015 zu und wurde im „Verizon Data Breach Digest“ beschrieben. Die Rede ist von einer Attacke auf die ICS-Infrastruktur der Kemuri Water Company. Eindringlinge unterwanderten das Kontrollsystem eines Wasserwerks und änderten die Menge der Chemikalien, die zur Trinkwasseraufbereitung verwendet werden. Die Attacke gelang den Angreifern über ein anfälliges extern verfügbares System, das die speicherprogrammierbare Steuerung (PLCs) verwaltete. Das System regulierte die Ventile und Rohrleitungen, die den Zufluss von Wasser und Chemikalien steuern, welche zur Aufbereitung benutzt werden.

Im Jahr 2015 gab es noch weitere ICS-bezogene Vorfälle, wie etwa Angriffe auf ein Stahlwerk in Deutschland und auf den Frederic Chopin Airport in Warschau.

In diesem Bericht geben wir einen Überblick über die aktuelle Situation zur weltweiten ICS-Sicherheit, mit einem Fokus auf Sicherheitslücken und verwundbare ICS-Komponenten, die im Internet verfügbar sind.

Analyse-Ansatz

Die Untersuchung konzentriert sich auf zwei Bereiche: Sicherheitslücken und die Verfügbarkeit von Industriellen Kontrollsystemen über das Internet. Die Informationen über die Sicherheitslücken wurden offenen Quellen entnommen, wie etwa Warnmeldungen und Berichten des Industrial Control Systems Cyber Emergency Response Teams (ICS-CERT), der NVD/CVE, des SCADA Strangelove-Teams, des Siemens Product CERT und anderen Quellen, die online verfügbar sind. Der Schweregrad der jeweiligen Sicherheitslücken wurde basierend auf einem allgemeinen Verwundbarkeitsbewertungssystem eingeschätzt, dem Common Vulnerability Scoring System (CVSS) der Versionen 2 und 3. Das CVSS Version 2 wurde verwendet, um die Statistiken der Jahre 2014 und 2015 zu vergleichen. Zudem haben es die Kaspersky-Experten es für jede Schwachstelle angewandt, der noch keine Bewertung durch die Version 3 von CVSS zugeteilt wurde.

Im zweiten Teil der Untersuchungsergebnisse (ICS-Verfügbarkeit über das Internet) haben wir einen passiven Analyseansatz gewählt, der auf Informationen basiert, die von der Suchmaschine Shodan stammen. Um mit der Shodan-Suche Industrielle Kontrollsysteme zu identifizieren, nutzten wir eine Fingerprint-Wissensdatenbank, die etwa 2.000 Einträge enthält und es ermöglicht, den Anbieter des Produkts und die Produktversion zu identifizieren.

Wichtigste Untersuchungsergebnisse

  • Die Zahl der Sicherheitslücken in ICS-Komponenten nimmt weiterhin zu. Während die ICS-Sicherheit in den letzten Jahren immer weiter ins Zentrum der Aufmerksamkeit rückt, werden mehr und mehr Informationen über Sicherheitslücken in diesen Systemen veröffentlicht. Die Schwachstellen selbst können allerdings schon jahrelang in diesen Produkten präsent gewesen sein, bevor sie schließlich aufgedeckt wurden. Insgesamt wurden im Jahr 2015 189 Sicherheitslücken in ICS-Komponenten veröffentlicht. Die meisten davon sind kritisch (49 %) oder wurden als mittelschwer eingestuft (42 %).
  • blogpost_ICS_01

    Anzahl der ICS-Sicherheitslücken nach Jahren

  • Die Sicherheitslücken können ausgenutzt werden. Für 26 der im Jahr 2015 veröffentlichten Sicherheitslücken sind Exploits verfügbar. Im Übrigen ist für viele dieser Sicherheitslücken (wie zum Beispiel hartcodierte Zugangsdaten) gar kein Exploit-Code notwendig, um sich unautorisierten Zugriff auf das angreifbare System zu verschaffen. Zudem zeigen unsere ICS-Sicherheitsassessment-Projekte, dass Industrielle Kontrollsysteme von ihren Besitzern häufig als „Black Box“ angesehen werden und die voreingestellten Zugangsdaten in den ICS-Komponenten häufig nicht geändert werden. Sie könnten somit benutzt werden, um sich entfernte Kontrolle über das System zu verschaffen. Das SCADAPASS Project des SCADA Strangelove Teams bietet eine Aufstellung von bekannten ICS-Standardpasswörtern. Aktuell sind Informationen zu 134 ICS-Komponenten von 50 Anbietern verfügbar.
  • blogpost_ICS_02

    ICS-Sicherheitslücken nach Risikograd (CVSS Version 2 und 3) im Jahr 2015

  • ICS-Sicherheitslücken sind vielfältig und breit gefächert. Im Jahr 2015 wurden neue Schwachstellen in den ICS-Komponenten unterschiedlicher Anbieter (55 verschiedene Hersteller) und unterschiedlichen Typs (HMI, elektrische Geräte, SCADA, industrielle Netzwerkgeräte, SPS und viele mehr) gefunden. Die meisten Sicherheitslücken wurden auf Geräten von Siemens, Schneider Electric und Hospira entdeckt. Sicherheitslücken in ICS-Komponenten sind anderer Natur. Die am häufigsten vorkommenden Typen sind Pufferüberläufe (9 % aller entdeckten Sicherheitslücken), der Gebrauch von hartcodierten Zugangsdaten (7 %) und Cross-Site-Scripting (7 %).
  • Nicht alle im Jahr 2015 gefundenen Sicherheitslücken wurden geschlossen. Patches und neue Firmware sind für 85 Prozent aller veröffentlichten Sicherheitslücken verfügbar. Die übrigen wurden nicht beseitigt oder nur teilweise repariert, und zwar aus anderen Gründen. Die meisten der ungepatchten Schwachstellen (14 von 19) wurden als hochriskant eingestuft. Diese ungepatchten Sicherheitslücken stellen ein bedeutendes Risiko für die Betreiber der entsprechenden Systeme dar, insbesondere für diejenigen, die ihr angreifbares ICS-System aufgrund eines unsachgemäßen Netzwerkkonfigurationsmanagements dem Internet preisgeben. Unter den Beispielen hierfür sind 11.904 entfernt verfügbare SMA Solar Sunny WebBox Interfaces, die aufgrund von hartcodierten Passwörtern dem Risiko einer Kompromittierung ausgesetzt sind. Auch wenn diese Zahl im Fall von Sunny WebBox seit dem Jahr 2014 (als noch über 80.000 verfügbare Komponenten gefunden wurden) deutlich zurückgegangen ist, sind es noch immer sehr viele, und das nicht beseitigte Problem der hartcodierten Zugangsdaten (veröffentlicht im Jahr 2015) setzt diese Systeme einem viel größeren Risiko aus als ursprünglich angenommen.
  • blogpost_ICS_03Patchen von ICS-Komponenten/em>

  • Zahlreiche ICS-Komponenten sind über das Internet verfügbar. 220.668 ICS-Komponenten wurden von der Suchmaschine Shodan entdeckt. Sie sind auf 188.019 Hosts in 170 Ländern untergebracht. Die meisten entfernt erreichbaren Hosts mit ICS-Komponenten befinden sich in den USA (30,5 %) und Europa. Unter den europäischen Ländern nimmt Deutschland mit 13,9 Prozent die Führungsrolle ein, gefolgt von Spanien (5,9 %). Die verfügbaren Systeme stammen von 133 verschiedenen Anbietern. Am häufigsten vertreten sind Tridium (11,1 %), Sierra Wireless (8,1 %) und Beck IPC (6,7 %).
  • blogpost_ICS_04

    Top 20 der Länder nach ICS-Verfügbarkeit

  • Unsichere Protokolle werden weithin von entfernt verfügbaren ICS-Komponenten verwendet. Es gibt eine Reihe von Protokollen, die von Haus aus offen und unsicher sind, wie etwa HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 und viele andere. Sie werden auf 172.338 verschiedenen Hosts verwendet, was mit 91,6 Prozent aller gefundenen extern verfügbaren ICS-Geräte korrespondiert. Das eröffnet Angreifern zusätzliche Wege, um die Geräte zu kompromittieren, indem sie Man-in-the-Middle-Angriffe durchführen.
  • blogpost_ICS_05

    Top 15 der von extern verfügbaren ICS-Komponenten genutzten Protokolle

  • Zahlreiche verwundbare ICS-Komponenten sind extern verfügbar. Die Experten von Kaspersky Lab haben 13.033 Sicherheitslücken auf 11.882 Hosts gefunden (das heißt auf 6,3 % aller Hosts mit extern verfügbaren Komponenten). Die am weitesten verbreiteten aufgedeckten Sicherheitslücken sind Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) und die kritischen Sicherheitslücken CVE-2015-1015 und CVE-2015-0987 in Omron CJ2M PLC. Kombiniert man diese Ergebnisse mit der Statistik zur Nutzung unsicherer Protokolle, so lässt sich die Gesamtzahl der angreifbaren ICS-Hosts auf 172.982 (92 %) schätzen.
  • blogpost_ICS_06

    Top 5 der Sicherheitslücken in ICS-Komponenten

  • Zahlreiche Branchen sind betroffen. Unseren Untersuchungsergebnissen zufolge gehören mindestens 17.042 ICS-Komponenten auf 13.698 verschiedenen Hosts in 104 Ländern vermutlich zu großen Unternehmen, und die Verfügbarkeit dieser Komponenten via Internet ist höchstwahrscheinlich mit erheblichen Risiken verbunden. Unter den Besitzern konnten wir 1.433 große Organisationen identifizieren, darunter aus folgenden Branchen: Elektrizität, Luftfahrt, Transportwesen (inklusive Flughäfen), Öl- und Gasindustrie, Metallurgie, chemische Industrie, Landwirtschaft, Automobileindustrie, Versorgungswirtschaft, Getränke- und Lebensmittelherstellung, Baubranche, Flüssigkeitslagertanks, smarte Städte und ICS-Anbieter. Zu den Besitzern von extern verfügbaren ICS gehören außerdem Forschungs- und Bildungseinrichtungen, Regierungsinstitutionen (inklusive Polizei), medizinische Zentren, Finanzorganisationen, Ferienorte, Hotels, Museen, Bibliotheken, Kirchen und zahlreiche kleinere Unternehmen. Die Zahl der angreifbaren extern verfügbaren ICS-Hosts, die vermutlich zu großen Organisationen gehören, beträgt 12.483 (91,1 %), wobei 453 Hosts (3,3 %) – darunter auch Hosts, die den Branchen Energieversorgung, Transport, Gas, Ingenieurwesen und Fertigung, Getränke- und Lebensmittelherstellung angehören – kritische Sicherheitslücken enthalten.

blogpost_ICS_07

ICS-Verfügbarkeit nach Anbietern

Bei den oben aufgeführten Ergebnissen handelt es sich nur um äußerst vorsichtige Schätzungen, die tatsächliche Zahl der verfügbaren ICS-Komponenten, die potenziell beträchtliche Risiken darstellen, könnte deutlich höher sein.

Fazit

Wenn es um die Cybersicherheit geht, kann die Isolation kritischer Umgebungen nicht länger als ausreichende Sicherheitsmaßnahme für Industrielle Kontrollsysteme (ICS) angesehen werden. Die Anforderungen an die Geschäftswelt im 21. Jahrhundert machen es oft erforderlich, Industrielle Kontrollsysteme mit externen Systemen und Netzwerken zu verflechten. Zudem nehmen die Möglichkeiten, Motivationen sowie die Zahl der Bedrohungsakteure zu, die sich auf ICS-Umgebungen spezialisiert haben. Von infizierten Festplatten oder USB-Sticks zu unautorisierten Verbindungen von ICS-Netzwerken mit dem Internet über Smartphones der Mitarbeiter oder Modems, und von infizierten, von Anbietern erhaltenen Programmdateien über eigens angeheuerte Insider – all diese Methoden stehen hochqualifizierten Angreifern zur Verfügung, die eine Attacke auf ein physisch und logisch isoliertes ICS-Netzwerk planen.

Heutzutage sollten sich ICS-Besitzer der Sicherheitslücken und Bedrohungen bewusst sein und die Sicherheit ihrer ICS-Umgebung auf diesem Wissen basierend aktiv verbessern. Dabei ist aktiver Support des Anbieters von außerordentlicher Wichtigkeit, um Schwachstellen in ICS-Produkten schnell zu identifizieren und zu beseitigen, und um Übergangslösungen zu teilen, damit das System auch bis zur Herausgabe des entsprechenden Patches geschützt ist.

Aus der Besonderheit von Industriellen Kontrollsystemen – der Tatsache nämlich, dass die Cybersicherheit eng an die physische Sicherheit gebunden ist – ergibt sich oft eine Einstellung, die im Gegensatz zu dem erforderlichen Vorgehen unter solchen Bedingungen steht. Kleine und mittlere Unternehmen sowie Anwender müssen sich vollständig auf die Anbieter verlassen können, wenn es um die Sicherheit des Internets der Dinge geht. Die Konsumenten gehen nicht über einfache Schritte hinaus, die in den Gerätehandbüchern vorgegeben sind, und erhalten so betriebsbereite und einfach handzuhabende, aber auch angreifbare Geräte. Im Gegensatz dazu sind sich große Unternehmen des hohen Risikos durchaus bewusst, das mit der inkorrekten Konfiguration von ICS-Umgebungen einhergeht. Doch gerade aus diesem Grund sehen die Betreiber ihre ICS-Geräte häufig als „Blackboxes“ an und scheuen davor zurück, Veränderungen in der Umgebung vorzunehmen – auch solche, die die Cybersicherheit verbessern.

Die Ergebnisse dieser Untersuchung zeigen einmal mehr, dass das Prinzip „Sicherheit durch Verschleierung“ („Security through Obscurity“) keine gute Basis sein kann, um einen effizienten Schutz vor modernen Attacken aufzubauen, und dass die Sicherheit Industrieller Kontrollsysteme nicht oberflächlich zugunsten der Betriebssicherheit abgehandelt werden sollte, da Betriebs- und Angriffssicherheit in diesem Bereich untrennbar miteinander verbunden sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.