Offene Tür

Forscher des Fraunhofer FKIE und der RWTH Aachen sind bei ihrer Suche nach Industrieanlagen mit OPC UA – was die Sicherheit betrifft – auf weit offene Tore gestoßen. MiaStendal – Adobe Stock

Um zu untersuchen, ob Internet-seitige OPC UA-Appliances sicher konfiguriert sind, scannten die Forscher per Open-Source-Portscanner zmap aktiv den IPv4-Adressraum nach öffentlich erreichbaren OPC-UA-Systemen und bewerteten die Sicherheit ihrer Konfigurationen. Dabei beobachten die Wissenschaftler problematische Sicherheitskonfigurationen wie fehlende Zugriffskontrolle (bei 24 % der Hosts), deaktivierte Sicherheitsfunktionen (24 %) oder die Verwendung veralteter kryptographischer Primitive wie SHA-1 (25 %). Ingesamt erreichten sie über einen Zeitraum von sieben Monaten 1100 Installationen, wovon 92 % fehlerhaft konfiguriert sind, etwa aufgrund fehlender Zugriffskontrolle, deaktivierter Sicherheitsfunktionen oder der Verwendung veralteter kryptographischer Primitive. Darüber hinaus entdecken sie mehrere Hundert Geräte in mehreren autonomen Systemen, die sich dasselbe Sicherheitszertifikat teilen.

Sicher mit OPC UA? Gewusst wie

Allerdings sehen die Forscher keine direkte Schuld bei OPC UA sondern „die sichere Einrichtung von OPC UA, dem Hauptkandidaten für sichere Kommunikation in der Industrie, ist jedoch aufgrund einer Vielzahl unsicherer Optionen eine Herausforderung“, wie es in der Einleitung der Forschergruppe in ihren Ergebnissen zur Sicherheit von Industrieunternehmen heißt. Auch später betonen sie, dass „OPC UA eine aktive Konfiguration zahlreicher Sicherheitseinstellungen erfordert , bei denen unvorsichtige Entscheidungen zu zweifelhaften oder sogar ungesicherten Systemen führen.“ Zudem sei „OPC UA das erste weit verbreitete industrielle Protokoll mit eingebauter und zertifizierter Sicherheit, das einen sicheren Fernzugriff ermöglicht.“

Um die Sicherheit in den Anlagen mit OPC UA zu erhöhen, verweisen die Forscher auf „offizielle Empfehlungen“:

  • Erstens sollte die Kommunikationssicherheit niemals abgeschaltet werden, d.h. es sollte, wann immer möglich, signierte und verschlüsselte Kommunikation verwendet werden.
  • Ebenso sollte eine anonyme Authentifizierung verboten werden.
  • Schließlich sollten nur drei der sechs verfügbaren Sicherheitsrichtlinien verwendet werden, da eine davon keine Sicherheit bietet und zwei aufgrund der Verwendung von SHA-1 veraltet sind. Daher sei es wichtig zu überprüfen, ob die UA-Einsätze des OPC diesen Empfehlungen entsprechen.

Was die Zukunft der Sicherheit mit OPC UA bringen soll

Die Forscher betrachten noch die Möglichkeit, dass andere OPC-UA-Geräte nur über IPv6 angeschlossen sind und die Scans sie daher nicht erfassen. Sie gehen jedoch nicht davon aus, dass diese Geräte sicherer konfiguriert werden, überlassen diese Analyse jedoch künftigen Forschung.

Ihre Ergebnisse würden abschließend untermauern, dass „sichere Protokolle im Allgemeinen keine Garantie für sichere Einsätze sind, wenn sie nach regelmäßig aktualisierten Richtlinien korrekt konfiguriert werden müssen, die dafür sorgen, dass grundlegende Primitive ihre Sicherheitsversprechen verlieren.“ Daher sind die Wissenschaftler fest davon überzeugt, dass es „unerlässlich ist, die Konfigurationskomplexität in Sicherheitsprotokollen zu reduzieren und sichere Standardeinstellungen für alle Konfigurationsoptionen zu fordern, um schließlich von der Sicherheit durch Entwurf zur Sicherheit durch Voreinstellung überzugehen.“

Angesichts der insgesamt immer noch vergleichsweise geringen Anzahl von mit dem Internet verbundenen OPC UA-Appliances zu Beginn der vierten industriellen Revolution, sei jetzt der perfekte Zeitpunkt, die Sicherheitskonfiguration von OPC UA-Installationen zu überdenken und zu verstärken und so schließlich eine sichere industrielle internetweite Kommunikation zu realisieren.