Stuxnet 2010, Duqu 2011 und Shamoon 2012 waren Viren, die alle spezifisch industrielle Steuerungssysteme angegriffen haben. Deswegen liegt seit ihrer Entdeckung ein besonderes Augenmerk auf der Sicherheit industrieller Steuerungs- und Scada-Systeme. Im Oktober 2013 veröffentlichte das Repository for Industrial Security Incidents (Risi) seinen Jahresbericht über Internet-Sicherheitsvorfälle und Trends, die industrielle Steuerungssysteme betreffen. Dieser Bericht enthält eine Analyse von 240 Vorfällen, die zwischen 2001 und 2012 in der Risi-Datenbank verzeichnet wurden, sowie detaillierte Ergebnisse und Analysen der jährlichen Risi-Sicherheitsuntersuchung für Steuerungssysteme. Demnach erfolgten 33 % aller Sicherheitsvorfälle in Steuerungen über den Fernzugriff. Die Anzahl der gemeldeten Internet-Sicherheitsvorfälle hat sich ebenfalls nach Zahlen des Risi in den vergangenen Jahren deutlich erhöht, in einzelnen Branchen um über 150 %.
"Produzenten, die im harten Wettbewerb stehen, können auch dem Gedanken wenig abgewinnen, dass sich vertrauliche Produktionsdaten in fremden Händen befinden." Stefan Schönegger, Geschäftsführer EPSGnEPSG
Die Zahlen erklären das Zögern vieler Unternehmen, die Automatisierungs-Hardware ihrer Maschinen und Anlagen für Betrieb, Diagnose, Wartung, Aktualisierung und andere Dienste von entfernten Standorten aus an das Internet anzuschließen. „Das ist verständlich, denn jedweder Stillstand einer Produktionsmaschine verursacht Verluste“, sagt Stefan Schönegger, Geschäftsführer der Ethernet Powerlink Standardization Group (EPSG). „Produzenten, die im harten Wettbewerb stehen, können auch dem Gedanken wenig abgewinnen, dass sich vertrauliche Produktionsdaten in fremden Händen befinden.“
Schad-Software verbreitet sich über TCP/IP
Hacker und Programmierer von Schad-Software verschaffen sich über das Internet – und damit meist über die Fernwartungs-Schnittstelle – über die eindeutigen IP-Adressen der Computer Zugriff. Da dieses Adressierungsverfahren von den Protokollen TCP und UDP – den meist verwendeten Protokollen auch in LANs – verwendet wird, werden Angreifer in internen Netzwerken direkt zu individueller Hardware geleitet, auch wenn diese selbst nicht direkt mit der Außenwelt verbunden ist.
Um hohe Leistungsfähigkeit zu erreichen, basiert das Powerlink-Protokoll auf dem IEEE-802.3-Ethernet-MAC-Standard. Der TCP/IP-Stack liegt über der Datenverbindungsschicht. Das bietet den Echtzeit-Kommunikationsschichten einen inhärenten Schutz.EPSG
Die Hardware in Produktionsmaschinen ist über Feldbus oder immer öfter über eine der Industrial-Ethernet-Varianten verbunden. Die verschiedenen Standards von Industrial Ethernet unterscheiden sich wesentlich durch die Art, in der Netzwerkknoten adressiert und Daten übertragen werden. Manche davon nutzen das TCP/IP-Protokoll unverändert. Damit kann sich Schad-Software frei im Netzwerk ausbreiten. Diesem Problem begegnen Hersteller von Automatisierungssystemen und Anbieter industrieller IT-Hardware, indem sie zum Schutz ethernet-basierter Netzwerke Sicherheitskonzepte mit industrietauglicher Firewall-Hardware anbieten.
Adresse unbekannt
Andere Industrial-Ethernet-Protokolle, besonders solche, die harte Echtzeitanforderungen abdecken, nutzen für den Großteil der Datenübertragung Master-Slave-Kommunikationsmechanismen und greifen nur zum Durchschleusen der regulären Ethernet-Kommunikation auf TCP/IP-Kommunikationsschichten zurück. Powerlink nutzt zum Beispiel ein kombiniertes Zeitschlitz- und Polling-Verfahren für die isochrone Datenübertragung. Wie der Master-Knoten die von ihm kontrollierten Knoten adressiert, können Software-Entwickler mit entsprechenden Entwicklungswerkzeugen einstellen. „Da keinerlei Möglichkeit besteht, während der Laufzeit auf diese Konfigurationsdetails zuzugreifen, besteht kein Bedarf für besonderen Schutz vor bösartigen Manipulationen im System selbst“, erläutert Stefan Schönegger. Auch Denial-of-Service-Angriffe würden nur den Zugriff von außen auf das System blockieren, nicht aber die korrekte Funktionsweise des Systems selbst – eine Maschine könnte somit die Produktion ungehindert fortsetzen.
In der asynchronen Phase werden Anwenderdaten und TCP/IP-Pakete gesendet. Eingebaute Router trennen Echtzeitinformationen und asynchrone Daten. Schad-Software bleibt deshalb komplett isoliert, auch wenn sie direkt in das System geschleust wird.EPSG
Allgemeine Daten sind vollständig isoliert
Jeder Powerlink-Kommunikationszyklus besteht aus drei Phasen. In der Initialisierungsphase sendet der Master-Knoten als Vorbereitung für den in der zweiten, zyklischen Periode erfolgenden isochronen Datenaustausch eine Synchronisierungsnachricht an alle von ihm kontrollierten Knoten. Am Ende folgt die asynchrone Phase, in der Anwenderdaten und TCP/IP-Pakete durch das Netzwerk gesendet werden. Eingebaute Router trennen Echtzeitinformationen und asynchrone Daten. Das nicht zu tun, wäre ein Risiko für das Echtzeitverhalten des gesamten Systems. Schad-Software bleibt deshalb komplett isoliert, auch wenn sie direkt in das System geschleust wird. Auch Schad-Software, die spezifisch darauf programmiert wäre die Echtzeit-Ebene anzugreifen, kann aus der TCP/IP-Ebene heraus keine Wirkung erzielen. Nur eine veränderte Basis-Firmware der Echtzeitprodukte selbst könnte das System einer Gefahr aussetzen.
Von außen eindringende Hacker oder Schad-Software haben daher keine Chance, ein Powerlink-Netzwerk zu gefährden. Ein Beispiel: Eine klassische SPS, die wiederum an ein übergeordnetes IT-System angekoppelt ist. Die Aktoren und Sensoren werden damit von der SPS wirksam geschützt. Durch einen Network-Address-Translation-Mechanismus (NAT) im Zugangspunkt werden lokale Adressen nach außen versteckt. Da Angriffe auch davon abgehalten werden sollten über die TCP/IP-Kommunikationsschichten durch das Industrie-Netzwerk zu reisen, ist es sinnvoll, auf der Nicht-Powerlink-Seite der Router alle externen Leitungen mit einer passenden Firewall zu schützen. Die Echtzeit-Kommunikationsschichten von Powerlink sind jedoch auch ohne derartige Vorsichtsmaßnahmen inhärent geschützt.
Powerlink verdankt sein Sicherheitsniveau zum großen Teil der Tatsache, dass es sich um Open-Source-Software handelt. Der Quellcode des Stacks und alle Abwandlungen davon werden häufig von der Gemeinschaft geprüft. Das verhindert nicht nur Sicherheitsprobleme, sondern bietet auch wirksamen Schutz vor verborgenen Backdoor-Angriffen, die Schwachstellen werden entdeckt und eliminiert, lang bevor sie Schaden anrichten können.
Peter Kemptner
(mf)
