LimesSecurity
Industrial Security fünf Jahre nach Stuxnet
Fortsetzung des Artikels von Teil 1
Das IT-Sicherheitsgesetz und Trittbrettfahrer
Was sich in den letzten fünf Jahren auch geändert hat, ist der Einfluss von Regulierung auf die Sicherheit von Industriesystemen und kritischen Infrastrukturen allgemein. In Deutschland wurde 2015 ein neues IT-Sicherheitsgesetz verabschiedet. Was im amerikanischen Raum mit dem NERC-CIP-Standard schon länger besteht, wurde nun auch in Deutschland teilweise umgesetzt. Dieses Gesetz stellt erstmals Forderungen an die Qualität der Security von Organisationen und Unternehmen, die kritische Infrastruktur bereitstellen. Zusätzlich wurde erstmals auch eine Meldepflicht für Sicherheitsvorfälle eingeführt. Ähnliche Bestrebungen finden sich auch in der EU: Im Dezember 2015 wurde die Netz- und Informationssicherheits-Richtlinie (NIS-Richtlinie) verabschiedet.
Seit Stuxnet gab es überdies bereits weitere Malware-gestützte Angriffskampagnen, wie die »Havex«-Malware demonstrierte: »Havex« ist insofern eine bemerkenswerte Malware, als sie wie Stuxnet spezifische Industrieschnittstellen und -Funktionen anzapft. So enthält »Havex« unter anderem ein Portscanning-Modul, das auf Rechnern im Netzwerk gezielt nach TCP-Ports sucht, die typischerweise von Industrieprotokollen genutzt werden.
Zudem fahndet »Havex« auf infizierten Rechnern nach OPC-Schnittstellen (nicht OPC UA) und schneidet gezielt Informationen über daran angeschlossene Industriesysteme mit. Diese beiden Methoden deuten stark darauf hin, dass »Havex« besonders zur Angriffsvorbereitung, im Sinne einer Informationsbeschaffung über mögliche Zielsysteme, geschaffen wurde. Verbreitet wurde »Havex« sowohl über klassische Phishing-E-Mails als auch über kompromittierte Downloads. Dabei wurden die Websites von drei europäischen Industrieherstellern gehackt, und in die bestehenden Downloads wurde die »Havex«-Malware integriert. Die Angreifer stellten damit sicher, dass sich die Kunden dieser Hersteller beim Software-Download selbst infizierten.
Diversifizierung der Branche
Es gibt jedoch auch positive Entwicklungen zu vermerken: Automatisierungshersteller haben begonnen, professioneller mit Sicherheitsschwachstellen umzugehen. Die meisten Automatisierungshersteller haben nun endlich die ersten Gehversuche im Umgang mit Sicherheitsschwachstellen hinter sich; in vielen Fällen ist daraus eine eigene Sicherheitsorganisation entstanden und mitunter sogar ein eigenes Geschäftsfeld entwickelt worden, in dem Anlagenbetreibern Zusatzdienste wie Patch- und Update-Management, Risikoanalysen oder der Aufbau von Sicherheitskonzepten angeboten werden. Fast alle Industriehersteller und Integratoren haben bekannte Sicherheitsfunktionen, Sicherheitskomponenten und Dienstleistungen wie Firewalls und Security-Konzepte als zusätzliches Verkaufsargument entdeckt; insofern hat Stuxnet sogar zur Verbesserung des industriellen Sicherheitsmarktes beigetragen.
Ein großes Problem liegt aber weiterhin im Bereich Security-Know-how in der Industrie. Die Industrie als Ganzes muss nun lernen, mit Security umzugehen. Security war bisher kein Kernthema der Industrieunternehmen – und wenn, dann typischerweise eher den IT-Abteilungen oder IT-Unternehmen zugeordnet. Durch Industrie 4.0, eine noch stärkere Durchdringung von Industrieanlagen mit Software sowie die stärkere Vernetzung muss Security aber ebenso gut umgesetzt werden. Dies ist nur möglich, wenn das Industriepersonal auch mit dem richtigen Security-Know-how ausgestattet ist. Spezialisierte Schulungen und Zertifizierungen zum Thema Industrial Security sind ebenfalls erst in den letzten zwei bis drei Jahren nach Stuxnet entstanden. Besonders hervorzuheben ist etwa der SANS Global Industrial Control System Professional (GICSP), der entwickelt wurde, um Anlagen- und Industrietechniker besser auf Security-Fragestellungen vorzubereiten.
Ob durch Stuxnet die Security von Industrieanlagen insgesamt gesteigert wurde, ist dennoch eher zu bezweifeln. Einerseits wurden viele Sicherheitslücken entdeckt und geschlossen sowie neue Schutzmethoden entwickelt, auf der anderen Seite haben Sicherheitsforscher durch Stuxnet die Welt der Industrieanlagen erst richtig entdeckt. Auf beiden Seiten ist die Awareness gestiegen. Die größte Herausforderung bleibt weiter bestehen: Auch wenn Hersteller begonnen haben, in neue Produkte Security von Grund auf zu integrieren, laufen zumindest im Jahr 2016 die meisten Industrieanlagen mit älterer »Legacy«-Technik und damit eher spärlichem Sicherheitsdesign. Es liegt also in der Verantwortung der Systemintegratoren und Anlagenbetreiber, die Security bestehender Anlagen zu verbessern, indem bei entsprechenden Wartungsfenstern auch Sicherheitsmechanismen nachgerüstet werden. Welche Maßnahmen hier am effektivsten für die jeweilige Anlage sind, sollte mit ausreichender Vorbereitung in einer Risiko- oder Schwachstellenanalyse gemeinsam mit Experten geklärt werden.
Thomas Brandstetter ist Senior Security Consultant bei LimesSecurity und SANS Trainer für ICS.
- Industrial Security fünf Jahre nach Stuxnet
- Das IT-Sicherheitsgesetz und Trittbrettfahrer
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Forum Safety & Security 2016
»Industrielle Cyber Security« mit Ralph Langner
Gebündelte Kompetenzen für Cyber-Sicherheit
Rohde & Schwarz gründet Cybersecurity-Unternehmen
Forum Safety & Security 2016 - Call for Papers
Treffpunkt der Safety- und Security-Experten
McAfee Labs Threat Predictions Report
Welche Cyber-Bedrohungen erwarten uns 2016 und bis 2020?
TÜV Rheinland
»In Sachen Cyber-Sicherheit gibt es reichlich Luft nach oben«
