Sicherheit von Schlüsselelementen in IT-Infrastrukturen: Vertrauenswürdige Informationen

Inhalt

Industriesysteme, systemrelevante Objekte der Infrastruktur eines Landes und andere Schlüsselobjekte benötigen den Schutz moderner Sicherheitslösungen. Die existierenden Schutzmodelle sind hoffnungslos veraltet und somit Cyberwaffen wehrlos ausgeliefert. Wie sollte ein neuer Ansatz zum Schutz von Schlüsselelementen in der IT-Infrastruktur aussehen?

Die Büchse der Pandora

Der Wurm Stuxnet war das erste Beispiel für eine Cyberwaffe, von deren Anwendung eine breite Öffentlichkeit erfuhr. Die Autoren von Stuxnet haben die Büchse der Pandora geöffnet, indem sie der ganzen Welt zeigten, wie effektiv eine Cyberattacke auf eine Industrieanlage sein kann. Nun kann sich jeder vorstellen, welche verheerenden Auswirkungen eine erfolgreiche Cyberattacke auf Objekte der Energieversorgung, der Industrie oder den Finanzsektor haben könnte.

Nach der Entdeckung von Stuxnet wurden weitere artverwandte Schädlinge gefunden, darunter Duqu, Flame und Gauss. Diese Programme verfügen über einige Gemeinsamkeiten, doch ihre Ziele, ihre Funktionalität und ihr Entwicklungsdatum unterscheiden sich voneinander. Leider sind das nicht die einzigen Vertreter von Cyberspionage und Cybersabotage – zu den Waffenarsenalen verschiedener Länder gehören mittlerweile auch Cyberwaffen. Während Staaten früher zur Durchsetzung ihrer außenpolitischen Interessen diplomatische, ökonomische und militärische Mittel einsetzten, können sie heutzutage statt Flugzeugen, Raketen, Panzern oder Kriegsschiffen auch spezielle Schadprogramme verwenden. Im Fall eines erfolgreichen Angriffs erzielen sie ebenfalls den gewünschten Effekt – allerdings wesentlich billiger, leiser und – im Idealfall – auch anonym. Der nicht lange zurückliegende Vorfall mit Wiper hat die Effizienz dieses Ansatzes ein weiteres Mal unter Beweis gestellt.

Die führenden Weltmächte diskutieren bereits offen die Notwendigkeit, sich im Cyberspace vor feindlichen Aktionen der Gegner zu schützen und gleichzeitig ihre eigene Cybermacht auszubauen. Die übrigen Länder sehen sich deshalb dazu genötigt, ebenfalls entsprechende Schutz- und Angriffsmaßnahmen zu entwickeln und versammeln dazu ihre fähigsten Programmierer und Hacker. Das Wettrüsten im Cyberspace nimmt Fahrt auf.

Man kann heute sagen, dass zur Wahrung der Staatssouveränität nicht nur sozial-ökonomische und politische Interessen verteidigt werden müssen, sondern auch der gesamte Informationsbereich sorgfältig geschützt werden muss. Die Kontrolle der für den Staat kritisch wichtigen Informationssysteme tritt damit heute an erste Stelle.

Die Anatomie eines Angriffs

Cyberattacken stellen die größte Gefahr für Länder und ihre Einwohner dar, wenn sie sich gegen Schlüsselelemente der IT-Infrastruktur richten, die unverzichtbare Anlagen wie Kraftwerke, Stauseen, Stromnetze, Transport- oder Telekommunikations-Netzwerke steuern. Werden diese Objekte außer Betrieb gesetzt, so können Chaos und Katastrophen die Folge sein. Wir alle sind auf die eine oder andere Weise von ihnen abhängig. Sie versorgen unsere Häuser mit Strom, Wasser und Elektrizität, sie gewährleisten die Radio- und TV-Übertragung, steuern die Verkehrsströme, sind für die Förderung von natürlichen Rohstoffen zuständig und kontrollieren die Produktionsprozesse in Fabriken und Betrieben.

Neben den Industrieobjekten gibt es eine Vielzahl von Organisationen, für die der nicht befugte Zugriff auf Informationen ernsthafte Probleme nach sich ziehen könnte: Banken, medizinische und militärische Einrichtungen, Forschungsinstitute und Wirtschaftsunternehmen. Diese Organisationen könnten ebenfalls ins Visier von Cyberkriminellen geraten, doch im vorliegenden Artikel geht es ausschließlich um den Schutz von Industrieobjekten.

Software, die zur Verwaltung von Schlüsselsystemen der IT-Infrastruktur eingesetzt wird, ist leider nicht frei von Fehlern und Sicherheitslücken. Laut einer Studie der Carnegie Mellon University beträgt die Zahl der Fehler in militärischer und industrieller Software durchschnittlich zwischen fünf und zehn Fehler je 1000 Zeilen Code. Gemeint ist damit Software, die in der Praxis eingesetzt wird und bereits das Test- und Implementierungsstadium durchlaufen hat. Bedenkt man, dass der Kernel des Betriebssystems Windows mehr als 5 Millionen Zeilen Code enthält und der Linux-Kernel 3,5 Millionen, so kann man sich leicht die Zahl der theoretisch möglichen Schwachstellen ausrechnen, die zur Durchführung von Cyberattacken genutzt werden könnten.

Zur Durchführung einer effizienten Cyberattacke muss der Angreifer den inneren Aufbau des zu attackierenden Objektes genauestens kennen. Aus diesem Grunde laufen die Angriffe in der Regel auch in mehreren Etappen ab.

In der ersten Etappe dreht sich alles um die Erkundung: Der Aufbau des Netzes wird erforscht, seine besonderen Merkmale und die dort verwendeten Soft- und Hardware aufgezeichnet. Während dieser Phase werden häufig nicht die Zielobjekte studiert, sondern ihre Zulieferer wie zum Beispiel System-Integratoren, weil diese bei der Datensicherheit häufig nachlässiger sind, gleichzeitig aber wertvolle Daten über das Ziel besitzen. Zudem haben solche Unternehmen unter Umständen autorisierten Zugriff auf das Netzwerk des Zielobjekts, was die Verbrecher sich auf den nächsten Angriffsetappen zunutze machen könnten. Während der Aufklärungs-Etappe können auch Dienstleister, Partner und Lieferanten ausspioniert werden.

In der zweiten Etappe werden die gesammelten Daten sorgfältig analysiert und der effektivste Angriffsvektor ausgewählt. In Abhängigkeit davon legt man fest, welche Schwachstellen im Programmcode zum Eindringen ins System genutzt werden und über welche Funktionalität der Schadcode verfügen sollte, um das angestrebte Ziel zu erreichen. Daraufhin wird das Schadprogramm erstellt und mit der benötigten „Gefechtsausrüstung“ versehen.

Wenn möglich, wird das Schadprogramm nun auf einer Plattform getestet, die mit der gleichen Soft- und Hardware ausgestattet ist wie das Zielobjekt.

Schließlich muss noch die Frage gelöst werden, wie die Malware an ihr Ziel gelangt. Hier reichen die Möglichkeiten von vergleichsweise simplen Social-Engineering-Tricks bis hin zu Hightech- Eindringungsmethoden über geschützte Kommunikationskanäle. Wie der Vorfall mit der Kryptoattacke auf MD5 gezeigt hat, kann man mit Willen, Hartnäckigkeit und ausreichender Rechenleistung so einiges erreichen.

Besonderheiten von Prozessautomatisierungssystemen

Bei der Sicherheit von Schlüsselelementen in der IT-Infrastruktur ergeben sich zwei wesentliche Probleme. Zum einen die Mängel in den Sicherheitsmodellen für Industriesysteme, zum anderen die Mängel in den Umgebungen, in denen diese Modelle angewendet werden.

Bis vor kurzem herrschte bei der Entwicklung von IT-Sicherheitsmodellen für systemrelevante industrielle und infrastrukturelle Objekte die Meinung vor, dass die physische Isolation eines Objektes allein ausreichend für dessen Sicherheit sei. In der Regel fußen die Sicherheitsmodelle solcher Objekte auf den Prinzipien „Security by Obscurity“ (Sicherheit durch Verschleierung) und „Air Gap“ (Luftspalt). Der Fall Stuxnet hat allerdings gezeigt, dass diese Prinzipien nicht mehr funktionieren und derartige Sicherheitsansätze hoffnungslos veraltet sind.

Bei den Schlüsselelementen der IT-Infrastruktur in Industrieobjekten handelt es sich um Prozessautomatisierungssysteme (PAS) sowie um industrielle Sicherheitssysteme. Von der korrekten und störungsfreien Funktion dieser Systeme hängt die Sicherheit des gesamten Objekts ab.

Prozessautomatisierungssysteme sind in der Regel sehr inhomogen, was Soft- und Hardware betrifft. Zu einem typischen Netzwerk eines Betriebes gehören in der Regel SCADA-Server unter Windows oder Linux, DBMS-Server (SQL Server oder Oracle), eine Vielzahl von speicherprogrammierbaren Steuerungen (SPS) verschiedener Hersteller, Bedienungspaneele (HMI), intelligente Sensoren und eine Unternehmens-Ressourcenplanung (ERP-System). Dabei verfügt ein solches Fertigungsnetzwerk gemäß den Ergebnissen der jüngsten Studien des US-Ministeriums für Innere Sicherheit durchschnittlich über 11 (!) direkte Verbindungspunkte zum Unternehmensnetzwerk.

Die Merkmale von Prozessautomatisierungssystemen werden von vielen Faktoren bestimmt, wie etwa der Erfahrung der Systemintegratoren, die die Implementierung umsetzen, ihre Vorstellung von der ökonomischen Zweckmäßigkeit der Schutzmethoden, den aktuellen Trends im Bereich der Automatisierung und vielem mehr.

In den allermeisten Fällen hat die Sicherheit der Prozessautomatisierungssysteme bei der Arbeit des Systemintegrators nicht oberste Priorität. Selbstverständlich durchlaufen solche Hard- und Softwaresysteme eine Zertifizierung, was sich aber meistens auf eine bürokratische Prozedur beschränkt.

Das Problem der Sicherheitslücken

Bei der Bewertung von Sicherheitslücken in Prozessautomatisierungssystemen muss man unbedingt bedenken, dass diese Systeme normalerweise für jahrzehntelange Laufzeiten ausgelegt sind. Bis Mitte des letzten Jahrzehnts existierte der Begriff „Sicherheitslücke in der Software“ noch gar nicht und Sicherheitsprobleme dieser Art wurden bei der System-Entwicklung schlicht und ergreifend nicht in Erwägung gezogen. Die meisten automatisierten Steuerungssysteme, die heute in der Industrie eingesetzt werden, wurden ohne Berücksichtigung möglicher Cyberattacken entwickelt. So sehen die meisten Datenaustauschprotokolle, die von SCADA und SPS verwendet werden, überhaupt keine Authentifizierung oder Autorisierung vor. Das führt dazu, dass jedes in einem Fertigungsnetzwerk neu zugeschaltete Gerät in der Lage ist, Steuerungsbefehle mit jedem beliebigen anderen Gerät in diesem Netzwerk auszutauschen, also sowohl empfangen als auch senden kann.

Ein weiteres ernsthaftes Problem liegt darin, dass bei einer derart langen Lebensdauer der Prozessautomatisierungssysteme jedes Update sowie die Installation neuer Software entweder durch Unternehmensvorschriften verboten oder mit wesentlichen administrativen und technischen Schwierigkeiten verbunden ist. Im Laufe vieler Jahre wird die Software der Prozessautomatisierungssysteme praktisch nicht aktualisiert. So kann aufgrund von Sicherheitslücken in den Kontroll- und SCADA-Systemen, dem Betriebssystem, dem Datenbankmanagementsystem und selbst in den intelligenten Sensoren auf recht viele Informationen problemlos zugegriffen werden.

Die Hersteller von SCADA-Systemen und speicherprogrammierbaren Steuerungen tragen auch nicht zur Verbesserung der Situation bei. Im Nachrichtenarchiv von ICS-CERT ist recht deutlich dokumentiert, dass die Anbieter von Lösungen dem Thema Sicherheit nicht die gebührende Aufmerksamkeit entgegenbringen – das betrifft die Software ebenso wie die Hardware. In SPS eingebaute Dienst-Logins und -Passwörter, SSH- und SSL-Schlüssel, Angriffe auf das System mittels Pufferüberlauf, Austausch von Systemkomponenten durch schädliche Komponenten, Durchführung von DoS- und XSS-Attacken – das sind nur die am häufigsten vorkommenden Sicherheitslücken.

Zudem erlauben die meisten Anbieter eine Remote-Administration ihrer Lösungen, überlassen deren Konfiguration allerdings den Integratoren. Die Integratoren wiederum schenken diesen Einstellungen häufig nicht sonderlich viel Aufmerksamkeit, was zur Folge hat, dass auf die Prozessautomatisierungssysteme nicht selten über das Internet mit den vorkonfigurierten Standard-Logins und Passwörtern zugegriffen werden kann. Inzwischen gibt es im World Wide Web zudem spezielle Suchsysteme, die in der Lage sind, Geräte zu finden, auf die mit Hilfe der Werkseinstellungen für Nutzernamen und Passwörter – oder auch ganz ohne diese – zugegriffen werden kann. Jeder Interessierte, der sich diese Informationen verschafft hat, kann nun das System aus der Ferne steuern.

Ausgehend von den oben erwähnten Problemen lässt sich mit Sicherheit behaupten, dass die Komponenten moderner Prozessautomatisierungssysteme gehackt, infiziert und dazu gebracht werden können, inkorrekt zu funktionieren oder sogar komplett auszufallen. Des Weiteren können sie die Systemingenieure falsch informieren und sie dazu bringen, falsche Entscheidungen zu treffen, was wiederum zu Ausfällen führen kann.

Natürlich gibt es in jedem Objekt Maßnahmen und Technologien zum Schutz vor Havarien. Allerdings sind solche Technologien für die Verhinderung von Ausfällen vorgesehen, die durch zufällige Situationen ausgelöst werden, und sie könnten sich bei koordinierten, zielgerichteten Attacken als nutzlos erweisen.

Im Streben nach ökonomischer Effizienz wird die Herstellung von Sicherheitssystemen zudem zwischen einer Vielzahl von Zulieferer-Unternehmen aufgeteilt. Jede dieser Firmen verfügt über die Möglichkeit, eine verborgene Funktionalität auf verschiedenen Ebenen einzubauen – von der Steuerungssoftware bis hin zum Mikrochip.

Traditionell haben sich die Hersteller-Unternehmen von Industrieanlagen und -Software auf Stabilität und Fehlertoleranz ihrer Lösungen konzentriert. Bis vor kurzem war ein derartiger Ansatz sicherlich gerechtfertigt, doch nun ist die Zeit für sie gekommen, der Informationssicherheit eine mindestens ebenso hohe Priorität einzuräumen, etwa indem sie mit darauf spezialisierten Firmen zusammenarbeiten.

Die Welt befindet sich nun also in einer Situation, in der einerseits einige Länder bereits über Cyberwaffen verfügen und andererseits die wichtigsten Informationssysteme von Staaten offen angreifbar sind. Wie leicht oder schwer sich ein Industrieobjekt angreifen lässt, hängt von seinem der Grad der Automatisierung und dem Entwicklungsstand der Informationstechnologie im entsprechenden Land ab. Cyberattacken sind aber in jedem Falle möglich.

Vertrauenswürdige Informationen

Es wird immer wichtiger, Lösungen zu entwickeln, die systemrelevante Industrieobjekte ebenso zuverlässig schützen können wie Organisationen, die anfällig für Systemeinbrüche und Informationslecks sind. Doch wie gut auch immer diese Lösungen funktionieren mögen, die Verwendung von verwundbaren Betriebssystemen und Programmen in den Prozessautomatisierungssystemen macht es den Herstellern von Schutzlösungen unmöglich, für die Sicherheit des Systems zu garantieren. Im Fall von kritischen Objekten ist eine solche Garantie jedoch unerlässlich.

Es ist nicht damit zu rechnen, dass alle Entwickler von Prozessautomatisierungssystemen umgehend die gesamte von ihnen verwendete Software überprüfen und aktualisieren und dass Betriebe schnellstens die bereits installierten Lösungen auf den neuesten Stand bringen. Zudem könnte man meinen, dass die Einführung von neuen, sicheren Prozessautomatisierungssystemen Jahrzehnte in Anspruch nimmt, weil derartige Systeme eben einen Lebenszyklus von mehreren Jahrzehnten haben.

Allerdings ist eine globale Lösung des Schwachstellen-Problems nicht die einzig mögliche Lösung, die die Sicherheit von Industrieobjekten gewährleisten könnte.

Worin besteht die Gefahr bei angreifbarer Software? Eine Sicherheitslücke ist ein Leck, das für das Eindringen von Schadprogrammen genutzt werden kann. Jede beliebige Komponente eines Prozessautomatisierungssystems kann infiziert werden. Eine infizierte Komponente kann im Fertigungsnetz schädliche Aktivität entfalten, die zur Katastrophe führen und dabei den Anlagenbetreiber desinformieren kann. In einer solchen Situation ist der Betreiber gezwungen, technische Prozesse zu steuern, ohne wirklich zu wissen, ob die Informationen, auf deren Grundlage er seine Entscheidungen trifft, tatsächlich richtig sind. Darin liegt eines der grundlegenden Probleme der Systemsicherheit – besonders, weil der Preis für einen Fehler bei dieser Art von Objekten äußerst hoch sein kann.

Für die Sicherheit von Industrieobjekten ist es lebenswichtig, dass der Betreiber vertrauenswürdige Informationen erhält und die Produktion auf Grund dieser Informationen steuert. So können Steuerungsfehler vermieden und bei Bedarf kann der Betrieb rechtzeitig unterbrochen werden, ohne dass es zu einem ernsthaften Vorfall kommt.

Derzeit existieren keine Betriebssysteme und keine Software für den industriellen Bereich, deren Funktionsweise man voll und ganz vertrauen könnte. Daher blieb uns nichts anderes übrig, als uns selbst an die Entwicklung einer solchen Lösung zu machen.

Das Fundament für die Gewährleistung von Sicherheit ist das Betriebssystem. Wir sind der Meinung, dass der Einsatz dieses Systems unumgänglich ist, in erster Linie, wenn es um die Kontrolle der Informationen geht, die im industriellen Netz zirkulieren. So wird garantiert, dass die Informationen korrekt und vertrauenswürdig sind und keine schädlichen Komponenten enthalten.

Sichere Betriebssysteme

Welchen Anforderungen sollte eine maximal sichere Umgebung zur Kontrolle der Informationsinfrastruktur genügen?

  • Das Betriebssystem darf nicht auf irgendeinem bereits existierenden Programmcode basieren, daher sollte es von Grund auf neu geschrieben werden.
  • Um Sicherheit garantieren zu können, darf es keine Fehler und Sicherheitslücken im Kernel enthalten, der die übrigen Systemmodule kontrolliert. Daher muss der Kernel mittels Technologien überprüft werden, die keine Sicherheitslücken und zweideutigen Code durchlassen.
  • Aus demselben Grund darf der Kernel nur das absolute Mindestmaß an Code enthalten. Das bedeutet gleichzeitig, dass die größtmögliche Menge an Code, inklusive Treiber, von dem Kernel kontrolliert und mit niedrigen Privilegien ausgeführt wird.
  • Schließlich sollte in eine solche Umgebung ein leistungsstarkes und zuverlässiges Schutzsystem integriert sein, das verschiedene Sicherheitsmodelle unterstützt.

In Übereinstimmung mit den oben genannten Anforderungen entwickeln wir ein eigenes Betriebssystem, dessen Schlüsselmerkmal darin besteht, dass es prinzipiell unmöglich ist, in ihm unangemeldete Funktionen auszuführen.

Nur auf der Grundlage eines solchen Betriebssystems lässt sich eine Lösung entwickeln, die es dem Anlagenbetreiber ermöglicht, nicht nur das zu sehen, was real in der Produktion passiert, sondern diese auch zu steuern – unabhängig von den Herstellern der jeweiligen Betriebssysteme, DBMS, SCADA und SPS, unabhängig davon, wie gut diese geschützt sind, und unabhängig davon, ob sie Sicherheitslücken enthalten oder nicht. Und vor allem – unabhängig vom Grad ihrer möglichen Infektion.

Faktisch geht es hier um eine neue Generation von intelligentem Schutzsystem für Industrieanlagen. Es ist ein Schutzsystem, das sämtliche Betriebsdaten auf einmal berücksichtigt und keine Ausfälle zulässt – weder infolge eines Bedienfehlers, noch aufgrund von Softwarefehlern des Prozessautomatisierungssystems, noch infolge von Cyberattacken. Ein derartiges System kann außerdem die herkömmlichen Schutzmaßnahmen ergänzen, so dass künftig auch kompliziertere und komplexere Vorfälle überwacht werden können.

Eine solche Lösung sollte entweder in bereits bestehende Prozessautomatisierungssysteme zu deren Schutz und zur Gewährleistung einer zuverlässigen Überwachung integriert werden oder bereits bei der Projektierung neuer Prozessautomatisierungssysteme berücksichtigt werden. In dem einen wie in dem anderen Fall sollte die Lösung modernste Sicherheitsprinzipien gewährleisten.

Fazit

Die Welt hat sich verändert. Staaten rüsten mit Cyberwaffen auf, was wiederum nach adäquaten Schutztechnologien verlangt. Obwohl Schlüsselelemente der IT-Infrastruktur von beispielloser Wichtigkeit sind, existieren derzeit keine Methoden, die ihren Schutz garantieren könnten.

Es ist nicht möglich, auf der Grundlage existierender Betriebssysteme neue, moderne und tatsächlich funktionierende Schutztechnologien für Schlüsselelemente der IT-Infrastruktur zu entwickeln. Ein neues Betriebssystem für alle Komponenten von Prozessautomatisierungssystemen zu entwickeln ist eine äußerst komplexe Aufgabe, die viel Zeit erfordert. Doch das Problem der Sicherheit von Industrieobjekten muss jetzt gelöst werden.

Daher müssen zunächst die Kernprobleme der Informationssicherheit identifiziert und beseitigt werden. Eines dieser Probleme besteht darin, dass sich die Systeme zum Schutz von Industrieobjekten auf unzuverlässige Informationsquellen stützen. Solange es im Fertigungsnetz keine Komponente gibt, dem der Betreiber oder eine Kontrollsoftware vertrauen können, braucht man über den Aufbau eines Sicherheitssystems gar nicht erst zu sprechen. Zunächst muss ein solches „vertrauenswürdiges Fundament“ geschaffen werden, auf dem ein System zur Gewährleistung der Sicherheit auf hohem Niveau aufgebaut werden kann. Die Mindestanforderung für ein solches „vertrauensvolles Fundament“ ist ein vertrauensvolles Betriebssystem.

Wir entwickeln ein Betriebssystem, auf dem die Komponenten des Sicherheitssystems laufen, die alle Elemente des Prozessautomatisierungssystems mit vertrauenswürdigen Informationen versorgen. Dem Betriebssystem haben wir eine Reihe von fundamentalen Prinzipien zugrunde gelegt, deren Einhaltung garantiert, dass das System zu jeder beliebigen Zeit genau so funktioniert wie es von den Entwicklern vorgesehen ist und dass es anders gar nicht funktionieren kann. Die Architektur des Betriebssystems ist dergestalt, dass selbst ein Hack einer seiner Komponenten oder Anwendungen es Cyberkriminellen nicht ermöglicht, die Kontrolle über das System zu erlangen oder schädlichen Code auszuführen. Dieser Ansatz lässt uns ein solches Betriebssystem für vertrauenswürdig halten und es als vertrauenswürdige Informationsquelle einsetzten, die als Fundament für den Aufbau eines Schutzsystem auf höherem Niveau dienen kann.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.