LimesSecurity Industrial Security fünf Jahre nach Stuxnet

Mehr als fünf Jahre sind seit der Entdeckung von Stuxnet vergangen, einer mit großem Aufwand professionell entwickelten Malware, die nachweislich erstmals versuchte, einen bestimmten Industrieprozess physisch zu sabotieren.

Es lohnt sich daher, einen genaueren Blick darauf zu werfen, wie sich das Thema Security in der Industrie durch Stuxnet verändert hat und welche Konsequenzen die Malware wirklich hatte.

Stuxnet wirkte damals wie ein Scheinwerferkegel auf den Stand der industriellen Cyber Security: Die Malware zeigte, dass auch Automatisierungssysteme mit klassischen Angriffsmethoden aus der IT- und Internet-Welt erfolgreich attackiert werden konnten. Eine direkte Konsequenz war, dass nach der Entdeckung von Stuxnet Sicherheitsexperten auf der ganzen Welt begannen, gezielt nach Schwachstellen in Industrie-Software zu suchen. Die Zahl der Schwachstellenmeldungen wuchs daraufhin sprunghaft.

Hersteller waren plötzlich erstmals dazu gezwungen, ihre sicherheitsrelevanten Software-Schwachstellen in einer Art und Weise zu berücksichtigen und zu beheben, wie es bis dahin nur IT-Unternehmen tun mussten. Erste Product-Security-Response-Teams wurden gegründet. Gleichzeitig mussten die Hersteller lernen, mit der Kultur der Hacker umzugehen, die aus der IT-Welt kamen und nicht nur bestehende Sicherheitsmaßnahmen in Frage stellten, sondern auch eine völlig andere Sprache verwendeten.

Als Konsequenz dieser Aktivitäten waren Systemintegratoren und Betreiber ebenfalls gezwungen, sich mit Security auseinanderzusetzen. Hersteller begannen häufiger als zuvor, Sicherheits-Updates und auch Firmware mit sicherheitskritischen Änderungen herauszugeben, die idealerweise einen zeitnahen Weg in die Anlagen finden sollten.

Beide Akteure mussten sich nun überlegen, wie viel Bedeutung einer kritischen Sicherheitsschwachstelle beizumessen sei. Das Einspielen eines Updates oder einer Firmware stand einerseits in Konflikt zu bestehenden Verfügbarkeitsanforderungen, andererseits konnte es bei einer Ausnutzung durch einen Angreifer potentiell zu einem Ausfall (»Denial-of-Service«) führen.

Professioneller Umgang mit Schwachstellen erforderlich
 
Die Hacker-Community hat auch damit begonnen, systematisch nach Automatisierungssystemen zu suchen, die über das Internet erreichbar sind. Die Verletzung von Sicherheitspraktiken wie der Abschirmung solcher Systeme durch Firewalls resultiert oft daraus, dass Fernwartung gefordert ist oder dass der Betreiber oder Integrator das Netzwerk falsch konfiguriert hat. Angreifer verwenden Suchmaschinen wie ShodanHQ oder einfach Google, um solche unsicher konfigurierten Systeme zu entdecken. Frei verfügbare Hilfsmittel der Geo-Lokationssuche verraten zusätzlich den ungefähren Standort des Systems. In erheblichem Ausmaß haben diese Entwicklungen ihren Ursprung in Stuxnet.

Die Werkzeuge, mit denen Sicherheitsforscher und Hacker gegenüber Industriesystemen auftreten, sind ebenfalls umfangreicher geworden. Viele Programme zur Netzwerkprüfung umfassen zumindest Module, die Industriesteuerungen am Netzwerk als solche identifizieren und nicht mehr als unbekannte Geräte klassifizieren. Für gängige Hacking-Werkzeuge wie das Metasploit-Framework existieren durchaus auch offensivere Funktionen: Befehle zum Stoppen und Starten speicherprogrammierbarer Steuerungen (SPS) werden nachgebildet oder spezifische Angriffe auf Implementierungs-Schwachstellen bereitgestellt.