War der Wurm drin?

IT-Sicherheit in der US-Stromversorgung

Trends & News | News

Der Auslöser für den großen Stromausfall in den USA steht so gut wie fest. Doch auch Tage nach dem Blackout war die Ursache für den Domino-Effekt, durch den 21 Kraftwerke vom Netz gingen, noch unklar. Etliche Indizien deuteten auf einen Zusammenhang mit dem zeitgleich im Internet tobenden Wurm W32.Lovsan hin. Auch wenn die bei Redaktionsschluss noch laufenden Untersuchungen zu einem anderen Ergebnis führen sollten - fest steht, dass die IT-Systeme der Stromversorger verwundbar sind.

Aufmacher

Die weit verbreitete Annahme, dass die Stromversorger ausschließlich autonome Rechnersysteme verwenden, ist überholt. Infolge der Deregulierung des Strommarktes in den USA ist der Kostendruck auf die Versorger immens gewachsen; deshalb griffen die Unternehmen seit Anfang der 90er Jahre mehr und mehr zu kostengünstigen Lösungen von der Stange anstelle von maßgefertigten Systemen. Laut einer Studie [[#lit04 4]] des Instituts for Security Technology Studies, Dartmouth, wird im Energiemanagement und in Kontrollsystemen vermehrt Windows und Unix eingesetzt. Damit, so das Institut, hole man sich aber auch darin enthaltene Sicherheitslücken ins Haus.

Drei ausgefallene Leitungen in der Nähe von Cleveland, Ohio, sollen den größten Blackout in der Geschichte der USA ausgelöst haben. Der regionale Stromversorger FirstEnergy bestätigte den Ausfall in seinem Netz, die eigenen Alarmsysteme hätten den Fehler allerdings nicht gemeldet. Kurz danach war dann im Nordosten der USA und Teilen Kanadas der Strom für rund 60 Millionen Menschen weg.

Die Anschlüsse der Kraftwerke an das Stromnetz werden über so genannte Control Area Operators (CAO) gesteuert. Die CAOs geben den Kraftwerken vor, wie viel Leistung sie in das Netz einzuspeisen haben. Bei einem Ausfall sorgt das CAO für erhöhte Einspeisung durch die anderen Stromerzeuger. Kann die Mehrleistung nicht aufgebracht werden, koppelt das CAO notfalls Versorgungsgebiete ab. Wenn das nicht schnell genug erfolgt, trennen sich die Kraftwerke zum eigenen Schutz selbsttätig vom Stromnetz. Am 14. August geschah genau dies: Durch einen Domino-Effekt gingen 21 Stromerzeuger vom Netz.

Zwei Tage vor dem großen Blackout hatte sich der Wurm Lovsan über das Internet verbreitet. Er befiel Windows-2000- und XP-Systeme über ein Sicherheitsloch auf Port 135 im RPC/DCOM-Dienst. Betroffen waren hauptsächlich PCs von Privatanwendern, doch gelangte Lovsan auch in viele Unternehmensnetze. Selbst in das Netzwerk der kalifornischen Edwards Air Force Base, dem Test-Center für die hochgeheimen B-2- und B-1-Bomber, drang er ein.

Die Frage nach einem möglichen Zusammenhang zwischen dem Auftreten des Wurms und dem Blackout lag also auf der Hand, denn in den vergangenen zwei Jahren wurde die Betriebsfähigkeit von US-Stromversorgern schon mehrfach durch Würmer beeinträchtigt:

Am 25. Januar 2003 verlor ein Versorgungsunternehmen für mehrere Stunden die Kontrolle über seine SCADA-Systeme, die für Telemetrie und Steuerungen benötigt werden, als SQL-Slammer die Kommunikationswege verstopfte [[#lit01 1]]. In der Folge brach die Verbindung mit Kontrollstationen zusammen, so dass auf manuellen Betrieb umgeschaltet werden musste. Glücklicherweise gab es zu diesem Zeitpunkt keinen Störfall, der ein Eingreifen erforderlich gemacht hätte.

Im September 2001 gelangte der Nimda-Wurm in das interne Netzwerk eines Stromerzeugers [[#lit01 1]] und drang über Wartungsleitungen in das LAN des Herstellers der SCADA-Kontrollsoftware ein. Von dort aus wanderte er über weitere Wartungsleitungen zu anderen Stromproduzenten.

Im August 2001 befiel CodeRed II das Netz eines Dienstleisters, der mit mehreren Versorgern verbunden war [[#lit01 1]]. Er breitete sich bis in einen internen Webserver eines Kontroll-Centers aus.

In den Leitständen der Kraftwerke stehen Windows-Rechner zur Visualisierung und Überwachung der SCADA-Systeme. Unter anderem wird dabei OLE for Process Control (OPC) eingesetzt, das eine einheitliche Schnittstelle für Kontrollsysteme bietet. OPC basiert auf Microsofts COM/DCOM-Modell - genau der Technik mit dem Sicherheitsloch, das W32.Lovsan ausnutzt. In einem Netz, in dem dieser Wurm aktiv ist, wird die DCOM-Kommunikation und damit auch OPC massiv gestört. Renaud Barrilère, verantwortlich für den Einsatz von OPC im europäischen Kernforschungszentrum (CERN), schätzt ein solches Szenario als sehr bedrohlich ein: „This would be a disaster.“ Reaktionen auf Leitungsausfälle können unter Umständen nicht rechtzeitig eingeleitet werden. Die Isolierung einer Fehlerquelle bleibt aus oder schlägt fehl. In der Konsequenz bricht ein ganzes Stromnetz zusammen.

Dr. Johannes Hoffmann, Leiter Netzleittechnik bei ABB Deutschland, bestätigt den Einsatz von Windows-Systemen in der Leittechnik von Energieversorgern. Bei den Bedienstationen werde fast nur noch Windows eingesetzt, so Hoffmann. Auch andere Hersteller setzen auf Windows. Toshiba beschreibt seine Lösung TOSMAP-DSTM [[#lit03 3]] mit den Worten: „Der Bediener kann auf Basis von Windows 2000 alle Kraftwerkssysteme wie Boiler, Turbine und Generator überwachen und steuern.“

Ein Ausfall der Bedienstationen würde zwar die eigentliche Prozesstechnik nicht beeinflussen, gleicht aber einem Blindflug, da auflaufende Meldungen nicht mehr angezeigt werden. Da laut Hoffmann Störungen in Stromnetzen von Control Area Operators in der Regel manuell beseitigt werden, kann es dadurch zu folgenschweren Verzögerungen kommen.

Statt eigener Kommunikationsverbindungen nutzen die Stromversorger zwecks Kostenersparnis in letzter Zeit vermehrt das Internet. Mit IPSec-verschlüsselten VPNs werden Mess- und Kontrolldaten durch das öffentliche Netz transportiert. Ein Eindringen in solche Verbindungen ist nahezu unmöglich, eine Störung ist jedoch recht einfach herbeizuführen, nicht zuletzt durch eine falsch konfigurierte Firewall. In allen Warnungen zum Schutz vor Lovsan wurde empfohlen, Port 135 auf den Firewalls zu sperren - genau der Port, über den OPC/DCOM kommuniziert. Im Zusammenhang mit dem Blackout kam daher sogar die Hypothese auf, die Kommunikation sei nach dem versehentlichen Sperren dieses Ports zusammengebrochen.

Dass die IT-Sicherheit der Stromversorger in den USA ein Sorgenkind ist, belegen viele Studien [[#lit05 5]]. Neben dem US-Institut für Internet-Sicherheit - CERT/CC -, das seit 1997 jährliche Workshops zum Thema Information Survivability [[#lit02 2]] für Energieversorger veranstaltet, weist auch das Department for Homeland Security auf mögliche Bedrohungen hin. Gefahr drohe von Terroristen, von verärgerten Mitarbeitern, von externen Hackern und von eingeschleppten Viren und Würmern. Denial-of-Service-Attacken, Einbrüche in Systeme und Lauschangriffe sind mittlerweile eine reale Bedrohung für kritische Infrastrukturen geworden.

Für die deutsche Energieversorgung bestehe diese Gefahr nicht, meint Helmut Lebeau vom Verband der deutschen Netzbetreiber. Hier seien die Kommunikationsnetze noch geschlossene Netze, die weder Verbindungen ins Internet noch in Unternehmensnetze hätten. Im Unterschied zu den USA, wo sehr große Strecken zu überbrücken seien, verfügten die deutschen Stromversorger über eigene Nachrichtennetze. Daher müsse man auch keine öffentlichen Infrastrukturen wie etwa das Internet benutzen. Für Cyber-Attacken auf kritische Infrastrukturen gebe es daher hierzulande keinen Ansatzpunkt, so Lebeau gegenüber heise Security. (dab)

[#anfang Seitenanfang]


Von der Einspeisung ins Übertragungsnetz bis zur Verteilung zum Kunden verwenden Versorgungsunternehmen Energy Management Systeme (EMS). So genannte SCADA-Systeme (Supervisory Control and Data Acquisition) dienen zum Sammeln und Übertragen von Messwerten wie etwa Zustandsdaten aus Verteilerstationen, Um- und Abspannwerken. Die Mehrzahl der mehr als 3200 US-Stromversorger hängt von SCADA-Systemen ab.


Der Hersteller Invensys koppelt die Prozess-LANs sogar mit den Unternehmensnetzwerken.

Die Daten werden zentral von einem Control Area Operator überwacht. SCADA-Systeme lassen sich auch fernsteuern, um Schalter in Übertragungsnetzen zu öffnen oder zu schließen. Um mehrere zehntausend Messstellen (RTU) mit einer Zentrale (MTU) in einem SCADA-System zu verbinden, ist ein weitreichendes Netzwerk erforderlich. Dabei kommen unter anderem Frame Relay, X.25 und TCP/IP zum Einsatz.

Die Software für SCADA-Systeme wird in der Regel von Drittherstellern geliefert. Als Betriebssysteme werden neben den Real-Time-Operating-Systemen QNX, VTX, und VxWorks verschiedene Unix-Varianten und Windows eingesetzt. Windows dient nicht nur als Human Machine Interface (HMI) zur Visualisierung und Bedienung der SCADA-Systeme in Kraftwerken, sondern zunehmend auch als Plattform für SCADA-Clients und Server selbst.

Die Kommunikation von SCADA-Systemen in Netzwerken basiert unter anderem auf OLE for Process Control (OPC). OPC hat sich quasi als Industriestandard etabliert, OPC-Server-Toolkits werden von vielen Herstellern zum Anpassen an die mitgelieferten Kontrollsysteme angeboten. Damit lassen sich auch andere Techniken miteinander koppeln, die im Anlagenbau eingesetzt werden, so zum Beispiel Distributed Control System (DCS), Progammable Logic Controller (PLC) und Intelligent Electronic Devices (IED). (dab)

[1] NERC Cyber Security Standard ftp://www.nerc.com/pub/sys/all_updl/standards/dt/cybersardt-0803a.pdf

[2] CERT Information Survivability Workshop Overview

[3] Toshiba TOSMAP-DSTM

[4] Cyber Security of the Electric Power Industry, ISTS Dartmouth 2002

[5] SCADA and Industrial Automation Security

[#anfang Seitenanfang]


Nach Redaktionsschluss dieses Artikels veröffentlichte SecurityFocus einen Bericht über die Ermittlungsergebnisse der Nuclear Regulatory Commission (NRC), die das Eindringen von SQL Slammer in ein Atomkraftwerk von FirstEnergy in Ohio untersuchte. Der Wurm drang im Januar 2003 über eine ungesicherte Leitung in das Netzwerk des Kraftwerks ein und legte ein Überwachungssystem für fast fünf Stunden lahm.

Kommentare

Anzeige
Anzeige