Schwachstelle „Produktionsnetzwerke“ »Industrie 4.0 ist ein Sicherheitsrisiko«

Die junge Firma BlueFrost Security machte bereits mit spektakulären „Hacks“ auf sich aufmerksam und wurde dafür von Microsoft als erste deutsche Firma auf die „Honor Roll“ gesetzt. Sicherheits-Analyst Jan Frederik Sima von BlueFrost erklärt, was Firmen in Produktionsnetzwerken beachten sollten.

Markt&Technik: Blue Frost Security hat sich auf manuelle Tests spezialisiert, um Sicherheitslücken in Netzwerken und Applikationen aufzudecken und als erste deutsche Firma einen Platz auf der „Ehrenliste“ – der sogenannten Honor Roll – von Microsoft erobert. Sie hat eine Sicherheitslücke in Windows 10 entdeckt – und dafür von Microsoft 100.000 Euro erhalten. Wie kam es dazu?

Dr. Jan Frederik Sima: Unser Head of Research Moritz Jodeit hat einen funktionstüchtigen Exploit für die 64-Bit-Variante des Internet Explorer 11 unter Windows 10 entwickelt. Dieser enthielt neben einem Ausbruch aus der Enhanced-Protected-Mode-Sandbox auch eine Möglichkeit, die aktuelle Version des Enhanced Mitigation Experience Toolkit komplett zu umgehen. Ihm ist es gelungen, sämtliche Sicherheitsmechanismen zu überwinden, die eigentlich dafür sorgen sollten, dass Schwachstellen nicht ausgenutzt werden können.

Wie findet man so einen solchen Bug?

Unser Brot- und Buttergeschäft ist die Analyse von Firmennetzwerken und Web-Applikationen. Aber wir suchen auch kontinuierlich nach neuen unbekannten Schwachstellen. Das tun wir entweder im Kundenauftrag, etwa wenn der Kunde eine neue Appliance – z.B. eine Firewall – installiert hat. Parallel betreiben wir das auch aus eigenem Antrieb.

Was sind Ihrer Erfahrung nach die häufigsten Gründe, weshalb Firmennetzwerke gehackt werden?

Das Sicherheitslevel ist allgemein sehr niedrig. Viele Firmen entwickeln eigene Systeme und kaufen Lösungen, die keinem Standard entsprechen. Die Folge sind zunehmende heterogene und proprietäre IT-Landschaften, die kaum zu kontrollieren sind. Es gibt die Erhebung des BSI, dass in fast jedem deutschen Firmennetzwerk Angreifer sitzen.

Wenn es ein Angreifer schafft, sich in das Firmennetzwerk zu hacken, schafft er es in aller Regel auch, seine Rechte so auszuweiten, dass er völlig frei wie ein Administrator agieren kann. Jemand, der im Netzwerk ist, findet bei entsprechender Kenntnis immer eine Lücke, um sich administrative Rechte zu verschaffen. Die häufigsten Ursachen sind unsichere Konfigurationen, unsichere Passwörter, unsichere Netzwerkarchitekturen, fehlende Updates bzw. mangelhaftes Updatemanagement sowie inhärent unsichere Produkte bzw. Software. Gegen letzteres können Unternehmen sich kaum schützen – lediglich durch Sicherheitsanalysen vor dem produktiven Einsatz. Es geht also darum, von vornherein zu verhindern, dass Hacker ins Netzwerk einfallen …

… was aber häufig passiert. Warum ist es so schwer, das zu verhindern?

Die Gründe sind vielfältig: Web-Applikationen sind genauso Einfallstore wie das WLAN – etwa bedingt durch Fehlkonfigurationen. Black-Box-Systeme wie Firewalls, Mail-Gateways und Antiviruslösungen sind ein weiterer Punkt. Oder es werden Personen eingeschleust, die ein Gerät an das Firmennetz anschließen.

Es gibt auch ganz vermeintlich banale Probleme: Oft fehlt es an Prozessen und der Organisationsstruktur. Firmen fehlt oft der Überblick, „wo läuft was“ – vor allem, wenn die IT-Infrastruktur über Jahre gewachsen ist, ohne dass Sicherheitsaspekte betrachtet wurden. Ein schönes Beispiel dazu: Ein Praktikant hatte in einem Unternehmen zu Übungszwecken einen Tomcat-Server aufgebaut. Dieser geriet in Vergessenheit und blieb einfach stehen, ohne dass sich weiter jemand darum kümmerte – und bot schließlich ein ideales Einfallstor für Hacker. Und das ist mitnichten ein Einzelfall.

Warum erhöht sich die Angriffsfläche für Hacks durch Industrie 4.0?

Die ohnehin schon in zahlreichen Unternehmen existierenden Sicherheitslecks werden durch die Industrie-4.0-Entwicklungen stark potenziert. Sie haben noch mehr Systeme, die vernetzt und über das Netzwerk erreichbar sind. Damit haben sie noch viel mehr „Black-Box-Produkte“ in ihrem Netzwerk und somit eine riesige neue Angriffsfläche geschaffen.

Im Zuge von Cloud-Anwendungen und Industrie 4.0 kommen sehr schnell sehr viele Produkte auf den Markt, die vor der Markteinführung keinen Sicherheitsanalysen unterzogen worden sind. Die Sicherheitslücken findet nur, wer gezielt danach sucht.

Trägt die schnellere Time to Market also dazu bei, dass die Sicherheit abnimmt?

Ja, absolut. Die Nachfrage ist so hoch, dass es sich für die Hersteller schlichtweg nicht lohnt, Sicherheitsanalysen durchzuführen. Erst nach und nach kommt das Bewusstsein bei den Kunden an, von den Herstellern Sicherheit einzufordern bzw. nachzufragen, ob Sicherheitsanalysen durchgeführt wurden.