ICS-CERT warnt vor Angriffen auf industrielle Steuerungssysteme

Die Attacken auf industrielle Steuerungssysteme nehmen zu. Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) hat dazu eine Warnung herausgegeben, die vom Bundesamt für Sicherheit und Informationstechnik (BSI) unterstützt wird. Spezielle Tools und Suchmaschinen erleichtern auch unerfahrenen Angreifern die Attacken auf Maschinen und Geräte, die Relevanz für die Infrastruktur, wie etwa die Stromnetze, haben.

Anfang des Jahres wurden Werkzeuge veröffentlicht, die das Knacken der digitalen Steuerungssysteme von Firmen wie GE, Rockwell Automation, Schneider Electric und Koyo zum Ziel haben. Erst kürzlich sind auch für die Software CoDeSys des deutschen Herstellers 3 S-Smart Software Solutions Werkzeuge aufgetaucht. Die Tools setzen die Hürden für Angreifer herab – spezielle Kenntnisse sind für die Ausführung kaum nötig.

Das Prinzip eines SCADA-Systems.
Bild: Wikipedia Auch spezielle Suchmaschinen, wie der Shodan Computer Location Service und Every Routable IP Project (ERIPP), erleichtern die Attacken. Ein Team von Forschern meldete ICS-CERT, dass sie mittels Shodan über 500.000 ungesicherte Geräte auffinden konnten, die SCADA und andere Steuerungssysteme nutzen. Auch in Deutschland ist man sich dieses Problems durchaus bewusst. Dennoch waren sich etwa bei einer Diskussion im Rahmen des CAST-Forums die Teilnehmer einig, dass ein Verbot, SCADA-Systeme oder Fabriken ans Netz an zu schließen, nicht sinnvoll sei. Zu groß sind die Vorteile.

Ein weiteres Sicherheitsrisiko sind fehlende oder mangelhafte Zugangsbeschränkungen. Das BSI erklärte dies gegenüber heise Security mit der unbedingt erforderlichen, ständigen Lauffähigkeit der Systeme. Die Maschinen müssen auch nach Jahrzehnten und nach dem Wechsel von Verantwortlichkeiten in den Unternehmen administrierbar sein. "Aus diesem Grund" so ein Sprecher des BSI "haben mehrere Hersteller Zugangsdaten fest einkodiert, um die Möglichkeit zu bieten, verlorene Zugangsdaten zurückzusetzen und auf die Maschine zuzugreifen." Diese Rückfallposition erlaubt aber auch Angreifern Zugriff auf das System.

Das ICS-CERT rät Unternehmen, ihre Maschinen auf Sicherheitslücken zu überprüfen. Betreiber sollten die eigenen Geräte ruhig selbst mit Shodan und ERIPP suchen. So können sie auch Geräte finden, von denen sie annehmen, dass sie gar nicht mit dem Internet verbunden sind. Grundsätzlich sollen sie nur Maschinen an das Internet anschliessen, wenn diese Verbindung absolut notwendig ist und wenn sie durch eine Firewall und mit starken Passwörtern geschützt werden. Maschinennetzwerke und das Firmennetzwerk sind zu entkoppeln. Außerdem sollen Unternehmen ihre Sicherungssysteme durch Dritte prüfen lassen.

Das ICS-CERT ist Teil des United States Computer Emergency Readiness Team (US-CERT), das dem Department of Homeland Security untergeordnet ist und speziell für die Sicherheit von industriellen Steuerungssystemen zuständig. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Aufgaben; dies betrifft nach eigenen Angaben insbesondere "die Kooperation mit Herstellern, Integratoren und Betreibern". (kbe)