Embedded-Systeme schützen Sicherheit beginnt im Kopf

Embedded-Systeme müssen vor Hacker-Attacken geschützt werden.
Embedded-Systeme müssen vor Hacker-Attacken geschützt werden.

Hacker-Angriffe nehmen im Zuge der Vernetzung im IoT immer weiter zu. Auch Entwickler von Embedded-Systemen müssen ihre Geräte vor Attacken schützen. Wie das gelingt, zeigen die Tipps vom einem Security-Insider.

IT-Infrastruktur, z.B. Systeme, Endgeräte und Netzwerke, ist in den vergangenen Jahren zunehmend heterogener geworden. Als Aushängeschild eingebetteter Systemarchitekturen hat das industrielle Internet der Dinge (IIoT) sein Übriges dazu beigetragen, die Angriffsfläche für mögliche digitale Attacken zu vergrößern. In der Folge hat sich das Thema Cybersicherheit zu einer der größten und dringlichsten Herausforderungen für Unternehmen in der Embedded-Branche und darüber hinaus entwickelt. Produktionsstraßen, Roboter oder IoT-Geräte sind dabei hinsichtlich umfänglicher Sicherheitsaspekte – sowohl Safety als auch Security betreffend – als homogene Einheit zu betrachten. Vertraulichkeit, Integrität, Verfügbarkeit und Authentifizierung sind im Embedded- und Automationsbereich lediglich in Kombination miteinander zu gewährleisten. Steuerungssysteme in der Industrie, etwa innerhalb von Automations- und Produktionslinien, gelten per se als kritische Infrastrukturen. Eine Vielzahl an Kompromittierungen macht deutlich, dass bei Systemen dieser Art die Sicherheit – insbesondere gegenüber Cybergefahren – oberste Priorität haben sollte.

Eine Herausforderung ist, dass die im Einsatz befindlichen Computer und Systeme nicht dafür konzipiert wurden, hochqualifizierten Angriffen standzuhalten. Nichtsdestotrotz wird die Infrastruktur zunehmend digitaler. Frühere Cybergefahren, die »lediglich« gegen Daten gerichtet waren, erreichen mit der zunehmenden Digitalisierung einen völlig neuen Stellenwert. In einem solchen Umfeld kann ein Angriff auf kritische Systeme heute schwerwiegende materielle Schäden verursachen – und im schlimmsten Fall sogar Menschenleben kosten.

Bedauerlicherweise nehmen Cyberangriffe – trotz aller Anstrengungen von Seiten der Cybersicherheitsindustrie und Strafverfolgungsbehörden – weiter zu. Globale Schlagzeilen über groß angelegte Hackerangriffe häufen sich, da keines der gängigen Betriebssysteme umfassende Sicherheit gewährleisten kann. Was das Thema Cybersicherheit betrifft, wähnt man sich teilweise noch im digitalen Mittelalter: Es wird Software entwickelt, ohne reale Risiken aus der Praxis in den Entwicklungsprozess einzubeziehen. Deshalb ist es derzeit besonders wichtig, einen großen Schritt in das Zeitalter der digitalen Aufklärung zu machen. Es gibt bereits zahlreiche Sicherheitstechniken und -anwendungen sowie ein ausreichendes Maß an Know-how, um Netzwerke und Geräte umfangreicher und intelligenter abzusichern – sie finden jedoch bisher kaum Anwendung.

Safety und Security: Hand in Hand

Während das Deutsche lediglich die »Sicherheit« kennt, ist die englische Sprache hier etwas genauer: Sie unterscheidet zwischen den Begriffen »Safety« und »Security«, mit denen die verschiedenen Aspekte von Sicherheit genauer definiert sind. Safety bezieht sich auf die Zuverlässigkeit eines Systems, speziell auf dessen Ablauf- und Ausfallsicherheit. Security bezeichnet dagegen den Schutz eines Systems vor (Cyber)-Angriffen.

In der heutigen digitalisierten Welt sind die beiden Begriffe unmittelbar miteinander verbunden. Sind beispielsweise Automationssysteme mit IT-Systemen gekoppelt, kann ein Cyberangriff direkte Auswirkungen auf die Safety haben. Beispielsweise wenn ein Roboter per »remote«, also ferngesteuert wird, kann er zur direkten physischen Gefahr für die Arbeiter werden. Für Industrie-4.0-Anwendungen gilt daher: Ohne höchstmöglichen Cyberschutz ist keine Safety möglich.

Schwachstellen und Angriffsflächen gibt es leider jedoch genug. Zu den Schwachstellen zählen über das Internet verfügbare Systeme, Lücken im Equipment industrieller Kontrollsysteme sowie USB-Anschlüsse. Cyberkriminelle greifen Systeme beispielsweise mit Schadprogrammen oder Distributed Denial of Service (DDoS)-Attacken an. Mit einem DDos-Angriff versucht ein Hacker über das gezielte Überlasten eine Nichtverfügbarkeit eines Internetdienstes, zum Beispiel eines Servers, herbeizuführen.

Potenzielle Gefahrenherde

Verbindungen zum Internet: Industrielle Steuerungssysteme verfügen über direkte Verbindungen zum Internet, darunter das Intranet, das WLAN sowie Einwahlmodems. Oft sind die Verbindungen nicht einheitlich gesichert und ermöglichen so Dritten – folglich ebenso Cyberkriminellen – den Zugang.

Unzureichender Firewall-Schutz: Firewalls bieten zwar ein bestimmtes Schutzniveau, jedoch lediglich bis zu einem gewissen Grad – häufig sind deren Sicherheitseinstellungen unzureichend. So werden immer mehr Computer, die auf Basis von Supervisory Control and Data Acquisition (SCADA)-Software arbeiten, von konventionellen Schadsoftware-Typen attackiert. Dazu zählen Trojaner, Würmer, potenziell unerwünschte Programme und Exploits, die Schwachstellen in Windows nutzen. Hinzu kommt, dass derzeit gängige Sicherheitssysteme teilweise fehlerhaft sind.

Schwachstellen in SCADA-Systemen: Kritische Infrastrukturen rücken immer mehr in den Fokus von Cyberkriminellen – folglich ebenso SCADA- und Prozessleitsysteme. Hacker schneiden Exploits und zielgerichtete Würmer derzeit auf spezifische Anwendungen zu. Zudem sind handelsübliche SCADA-Spezifikationen online zugäng- lich und unterstützen Hacker somit un-gewollt bei ihrer kriminellen Arbeit.

Der Air-Gap-Ansatz

Embedded-Systeme sind zunehmend mit Drittsystemen verbunden, unabhängig davon, ob sie dabei via Internet, Ethernet oder über andere Kanäle miteinander kommunizieren. In Zeiten zunehmender Digitalisierung hängt der Erfolg eingebetteter Systeme unter anderem davon ab, wie gut sie vor Cyberattacken geschützt sind. Um kritische Systeme vor digitalen Bedrohungen abzuschirmen, wurde in der Vergangenheit schlichtweg auf eine Internetverbindung verzichtet. Mit dem Nutzen des sogenannten »Air-Gap-Ansatzes« wollten Entwickler eingebettete Systeme isolieren und somit vor Hackerattacken oder Infektionen per Schadsoftware schützen.

Angesichts der stetig voranschreitenden Entwicklungen rund um die Zukunftsthemen Industrie 4.0 und IoT können und müssen die zuvor isolierten Systeme jedoch wieder mit der Außenwelt kommunizieren. Drittanbieter für Hard- und Software sowie Systemintegratoren müssen ihr Portfolio regelmäßig warten – beispielsweise per Fernzugriff über das Internet. Ebenso stellen Mitarbeiter, die externe Geräte an das Industrienetzwerk koppeln, ein gewisses Sicherheitsrisiko dar. All jene Verbindungen nach Außen stellen die vermeintliche Sicherheit des Air-Gap-Ansatzes vor neue Herausforderungen, denn er ermöglicht Hackern einen einfachen Zugriff.

Das folgende fiktive Szenario steht exemplarisch für die Funktionsweise zahlreicher komplexer und schwer zugänglicher Industrieanlagen und zeigt, welche Auswirkungen ein Cyberangriff im Ernstfall hätte: Angenommen, eine ganze Stadt wird von einem automatisierten Wasserreinigungssystem und einer Wasseraufbereitungsanlage mit Trinkwasser versorgt. Um alle Bedarfe abzudecken, müssen die Anlagen rund um die Uhr arbeiten. Da sie jedoch regelmäßig gewartet werden müssen, benötigen die Betreiber kontinuierlich Informationen über den Zustand der im Einsatz befindlichen Geräte. Die nötigen Daten liefern Sensoren und Regler, die über das Internet mit einem zentralen Rechner verbunden sind.

Moderne Technik stellt demnach eine Kommunikation zwischen physischen Geräten und der Außenwelt her und ermöglicht so Analysen über den Zustand der Geräte. Hierbei wird allerdings nicht einfach ein Computer mit dem Internet verbunden, um ihn per Fernzugriff zu verwalten und zu kontrollieren. Es handelt sich vielmehr um eine konkrete Installation, bei der ein realer, physischer Prozess online zugänglich gemacht wird.

Unternehmen erreichen mit der Vorgehensweise Einsparungen in Millionenhöhe. Allerdings handelt es sich dabei um ein zweischneidiges Schwert, denn ein Cyberangriff – ermöglicht über die vorhandenen ungeschützten Internetverbindungen – hätte im oben genannten Beispiel weitreichende Folgen: keine Trinkwasserversorgung in der gesamten Stadt, Überflutungen oder eine großflächige Verschmutzung der Wasservorräte.

Der Air-Gap-Ansatz kann daher kritischen Infrastrukturen heute keine lückenlose Sicherheit mehr bieten. Industrieanlagen müssen die Schwachstelle mit Hilfe von verlässlichen IT-Sicherheitsmaßnahmen schließen. Professionell durchgeführte Penetrationstests helfen dabei, dem Problem auf den Grund zu gehen, Schwachstellen zu identifizieren und aus den gesammelten Erkenntnissen ein Bedrohungsmodell zu entwerfen. Mithilfe des Bedrohungsmodells können Experten nach einer Risikobewertung einen Plan erstellen, welche Sicherheitsmaßnahmen für die kritischen Bereiche am besten geeignet sind.

Mehrstufige Sicherheitsmaßnahmen

Eine Sicherheitsmaßnahme von der Stange gibt es nicht. Erforderlich ist eine robuste Maßnahme, die aus verschiedenen Stufen für bestimmte Bereiche besteht. Sie umfasst den Schutz vor Schadsoftware und Phishing, Spam-Filter für E-Mails, die Abwehr von Netzwerkattacken und einige mehr. Von besonderer Relevanz ist es außerdem, dass ein Nutzer sein Betriebssystem und seine Software mithilfe von Updates auf dem aktuellen Stand hält. Idealerweise sollte eine Sicherheitsmaßnahme unterschiedliche Automatisierungsstufen erlauben – vom konventionellen Unternehmensnetzwerk bis hin zu einem verflochtenen System, das Geräte miteinander verbindet. Anwender sollten Sicherheit dabei als einen sich fortwährend entwickelnden Prozess verstehen.

Um sicherzustellen, dass der Sicherheitsprozess so robust wie möglich arbeitet, ist die »Schwachstelle Mensch« nicht außer Acht zu lassen. Auch der  leistungsstärkste Spam-Filter, die beste Anti-Viren-Software und das fortschrittlichste Anti-Phishing-Tool bieten keine hundertprozentige Sicherheit in einer sich ständig weiterentwickelnden Bedrohungslandschaft. Cyberkriminelle finden immer neue Wege, eingesetzte Sicherheitsanwendungen zu bezwingen. Sich alleine auf die Technik zu verlassen, reicht heute nicht mehr aus. Ein Unternehmer muss Mitarbeiter im industriellen Umfeld umfassend schulen, damit sie ein Bewusstsein für potenzielle Risiken entwickeln und in der Lage sind, die von Social-Engineering-Attacken ausgehenden Gefahren zu minimieren. Es ist an den Unternehmen, ein solches Wissen – innerbetrieblich oder über externe Dienstleister – in die eigene Belegschaft zu tragen.

Eingebettete Sicherheit

Eine weitere Möglichkeit, Gefahren von Beginn an auszuschließen, ist ein entsprechendes Betriebssystem zu wählen. Bei KasperskyOS [1] handelt es sich um ein sicheres Betriebssystem, über dessen Architektur Software geschützt ausgeführt werden kann – selbst bei unsicheren Anwendungen. Darüber hinaus schützt es im Falle zufälliger Softwarefehler und falscher Nutzeraktionen. KasperskyOS ist sicher »by design«, die Software wurde also von Grund auf so konzipiert, dass sie sicher ist. Mit einer vielseitigen, modularen Architektur reduziert sie die Anzahl verwendeter »Trusted Codes« und ist auf spezielle Bedürfnisse individuell anpassbar. Mit der flexiblen Sicherheitskonfiguration ermöglicht sie ein einfaches Erstellen deklarativer Regeldefinitionen und -kombinationen. KasperskyOS kontrolliert Interaktionen innerhalb des Systems und kann ebenso Anwendungs- von Sicherheitsfunktionen trennen. Auf diese Weise lassen sich Sicherheitsvorgaben einfacher konfigurieren und Anwendungen leichter entwickeln. Außerdem fungiert KasperskyOS als Plattform für sämtliche Sicherheitsbelange aller angeschlossenen Geräte und eingebetteten Systeme – einschließlich ihrer individuellen Sicherheitsanforderungen.

Zentraler Baustein des KasperskyOS ist das Kaspersky Security System. Hierbei handelt es sich um eine multifunktionale Sicherheits-Engine, die sowohl Definition als auch Prüfung möglicher Sicherheitsbedingungen für IoT-Anwendungen regelt. Kaspersky Security System basiert auf dem Prinzip, die Sicherheitskomponenten von den Funktionskomponenten des Informationssystems zu isolieren. Hierdurch kann ein System sicher agieren, unabhängig vom Implementieren der Funktionskomponenten. Das schafft ein vertrauenswürdiges System, das ebenfalls potenziell unseriöse Komponenten nutzen kann. Sicherheitsrichtlinien lassen sich mit dem Kaspersky Security System zudem anpassen, ohne Änderungen an den Funktionskomponenten vornehmen zu müssen. Die Kaspersky-Anwendung unterstützt darüber hinaus die Kombination verschiedener Sicherheitsmodelle, darunter die gleichzeitige Nutzung von Basis- und Spezialregeln. So schützt die Sicherheitssoftware sowohl vor Malware, als auch vor der Verletzung von Security-Maßgaben. Somit wird die Produktionssicherheit eines Systems nicht beeinträchtigt. Kaspersky Security System ist in die Firmware von IoT-Geräten eingebettet und kalkuliert Sicherheitsvorfälle, die vom Hersteller definiert und konfiguriert wurden.

 

Literatur

[1] https://os.kaspersky.com/.

 

Der Autor

Thomas Brandt


leitet als Head of PreSales in der DACH-Region seit knapp zehn Jahren das Presales-, Education- und Support-Team bei Kaspersky.