Wenn ein Virus alle Sicherheitsmaßnahmen durchbricht, ist der Schutz des SPS-Codes die letzte Bastion.

Wenn ein Virus alle Sicherheitsmaßnahmen durchbricht, ist der Schutz des SPS-Codes die letzte Bastion.Andrea Danti – Fotolia.com

In der allgemeinen IT-Umgebung in Büros, Verwaltung und Rechenzentren lassen sich Sicherheitsstrategien gut umsetzen. Der Schutz von industriellen Anlagen ist jedoch ungleich schwieriger. Teilweise liegt es am Bewusstsein der Beteiligten. Leitrechner und Steuerungsrechner werden noch als autarke Inseln betrachtet – ganz individuell auf die jeweilige Produktionsumgebung angepasst und damit kaum angreifbar. Spätestens mit dem Bekanntwerden der Aktivitäten des Wurms Stuxnet Mitte 2010 fand aber ein Umdenken statt. Die Angriffe von Stuxnet waren möglich, weil die ursprünglich vorhandene Abkapselung der Industriesysteme nach und nach aufgehoben wurde. Standard-Komponenten wie Windows, Ethernet und Datenbanken ersetzten proprietäre Technik. Maschinen und Anlagen sind nun über das Produktionsnetzwerk mit dem Firmennetzwerk und oft auch mit dem Internet verbunden. In vielen Betrieben steuert ein übergeordnetes MES (Manufacturing Execution System) die Produktion nahezu in Echtzeit und ist auf die unmittelbare Rückmeldung der Daten aus den Steuerungen angewiesen. Das Internet kommt spätestens dann ins Spiel, wenn unterschiedliche Standorte beteiligt sind oder eine Fernwartung durch externes Servicepersonal möglich sein soll. Schlussendlich sind industrielle Anlagen heute ähnlich gefährdet wie jede andere IT-Infrastruktur. Allerdings sind die Grundanforderungen seitens IT-Technik und Produktion konträr. Das Ziel der IT ist maximale Sicherheit. In der Produktion ist das zentrale Thema die Verfügbarkeit, alle anderen müssen sich unterordnen.

Das Gerät erkennt Viren und Malware wie Stuxnet auf S7-Steuerungen unmittelbar und informiert die Betreiber, bevor ein Schaden entsteht.

Das Gerät erkennt Viren und Malware wie Stuxnet auf S7-Steuerungen unmittelbar und informiert die Betreiber, bevor ein Schaden entsteht.MB Connect Line

Offene Schnittstellen sind das Einfallstor für Manipulation

Speicherprogrammierbare Steuerungen wie die Simatic S7-300 und S7-400 von Siemens sind nicht mit kommunikationstechnischen Schutzmechanismen ausgestattet. Jedes Gerät, das direkt oder über Netzwerk Zugang zur Steuerung hat, kann auf deren System- und Arbeitsspeicher einschließlich aller Programm- und Prozessdaten lesend und schreibend zugreifen. Eine Zugriffskontrolle erfolgt nicht, Teilnehmer werden weder klassifiziert noch identifiziert. Alle haben den vollen Zugriff auf das SPS-Programm, die aktuellen Prozesswerte und die hinterlegten Verfahrens- oder Rezepturdaten. Die SPS erkennt in der Kommunikation keinen Unterschied, ob ein Servicetechniker eine Programmänderung durchführt, das Bedienpersonal einen neuen Sollwert vorgibt oder ob eine Schad-Software wahllos Ausgänge setzt.

Das Protokoll für den Datenaustausch zwischen den Steuerungen und externen Systemen hat der Hersteller selbst nicht offengelegt. Es ist aber praktisch seit Jahren bekannt und auch in Form von Treiberbibliotheken in verschiedenen Varianten verfügbar. Wer das Protokoll kennt und direkt oder über Netzwerk Zugang zur Steuerung hat, kann das SPS-Programm und die Prozessdaten beliebig auslesen und ändern, ohne dass die Parameteränderungen zu erkennen sind. Je nach Art der Manipulation könnte dies die Anlage zerstören, beispielsweise durch Übertemperatur oder mechanische Überlastung, oder zu wirtschaftlichen Schäden durch die Produktion von Ausschuss führen. Wenn im Wirkungsbereich der kompromittierten Maschinen Menschen arbeiten, sind diese ebenso gefährdet. Ursprünglich war diese Offenheit auch gar kein Problem. Denn es kamen nur die Personen an die Steuerung, die dazu berechtigt waren. An eine durchgängige Vernetzung und den Datenaustausch per USB-Stick hat oft noch niemand gedacht. Eine Sicherheit auf dem Niveau der klassischen IT würde eine Neuentwicklung von Steuerungen und Engineeringtools mit entsprechenden konstruktiven Maßnahmen voraussetzen. Sobald solche Lösungen verfügbar sind, kann das die Situation bei neuen Anlagen spürbar verbessern.

Die Konfiguration kann nur direkt auf dem Gerät stattfinden. Denn der Zugriff aus dem Netzwerk oder dem Internet ist nicht möglich. So bleibt das Referenz-Backup unantastbar für Viren oder anderen Manipulationen.

Die Konfiguration kann nur direkt auf dem Gerät stattfinden. Denn der Zugriff aus dem Netzwerk oder dem Internet ist nicht möglich. So bleibt das Referenz-Backup unantastbar für Viren oder anderen Manipulationen.MB Connect Line

Altbestand wird zum Problem

Weltweit arbeitet eine große Anzahl von Anlagen mit ungeschützten SPS-Systemen. Sie sind in verschiedenen Anwendungen installiert – von Produktionslinien und Verpackungsmaschinen über die Wasserversorgung bis hin zu prozesstechnischen Anlagen –, die mit einem Lebenszyklus von bis zu zwei Jahrzehnten kalkuliert sind. Zur Verbesserung der Sicherheit an bestehenden Installationen hat MB Connect Line mbEagle entwickelt. Die jetzt vorgestellte Variante unterstützt die S7-300- und S7-400-Steuerungen. Das Gerät im kompakten Hutschienengehäuse wird über Ethernet oder MPI-/Profibus mit der Steuerung verbunden. Im ersten Schritt erstellt es ein sogenanntes Referenz-Backup. Dazu werden der komplette Programmspeicher (OB Organsiationsbausteine, FC Funktionen, FB Funktionsbausteine, DB Datenbausteine, SFC Systemfunktionen, SFB Standardfunktionsbausteine, SDB Systemdatenbausteine), die Bestellnummer und die Seriennummer aus der SPS ausgelesen. Diese Informationen werden dann auf dem Speichermedium dauerhaft abgelegt und dienen für spätere Vergleiche als Referenz. Anhand dieser Referenzdaten überwacht das Gerät den statischen Speicherbereich der Steuerungen kontinuierlich. Manipulationen durch Malware und Viren werden ebenso erkannt wie Änderungen am Steuerungsprogramm, die mal kurz in der Nachtschicht gemacht werden. Bei Änderungen der Programmdaten wird der Verantwortliche je nach Einstellung per E-Mail oder SMS alarmiert oder es wird ein Ausgang gesetzt, der eine Warnleuchte oder Hupe aktiviert. Der Verantwortliche muss dann entscheiden, ob er die Änderungen als neue Referenzdaten übernehmen oder verwerfen möchte. Für diesen Fall kopiert er die Referenzdaten zurück in die Steuerung.

Alle Aktionen sind über die Konfigurationsoberfläche des Gerätes per Browser steuerbar. Einzelne Aktionen sind auch über die digitalen Eingänge auslösbar, beispielsweise per Schlüsselschalter. Eine weitere Funktion ist die kontinuierliche Sicherung der Aktualdaten. Das stellt sicher, dass beispielsweise fortlaufende Verbesserungen an Rezepturen und Reglern erhalten bleiben, falls die SPS aufgrund eines Defekts einmal ausgetauscht werden muss. Die Wiederherstellung des Steuerungsprogramms und der Aktualdaten erfolgt direkt mit dem Backup-Gerät. Die Hersteller-Software ist dazu nicht erforderlich. Aus Sicherheitsgründen ist ein Zugriff auf mbEagle über das Firmennetzwerk oder Internet nicht möglich. Bei einem Security-Bruch ist der er die letzte Bastion, die bei Zugriff auf den Programmcode Alarm schlägt.

Technik im Detail

Stuxnet im Überblick

Erste Informationen zu Stuxnet wurden im Juni 2010 öffentlich bekannt. Nach und nach stellte sich heraus, dass es sich um eine spezielle Schad-Software für die Prozessleittechnik von Siemens handelte. Konkret war das Prozessleitsystem PCS7 und das Scada-System (Supervisory Control and Data Acquisition) WinCC betroffen. Stuxnet  nutzte mehrere damals unbekannte Schwachstellen in Microsoft Windows sowie gültige Zertifikate und konnte sich so unbemerkt auf den Host-Systemen der PCS7-Installationen einnisten. Das eigentliche Ziel des Wurms war aber nicht das Windows-System, sondern die S7-300- und S7-400-Steuerungen, die den physikalischen Prozess steuern. Verschiedene Sicherheitslücken innerhalb des PCS7-/WinCC-Systems und Schwachstellen auf Steuerungsebene machten dies möglich. Dazu gehörten fest einprogrammierte Passwörter der SQL-Datenbank in WinCC sowie eine Lücke beim Laden von DLL-Dateien in der Step7-Software, die das Einschleusen von manipuliertem Programmcode in die S7-Projektdaten ermöglichte. Durch sogenannte Root-Kits versteckte sich der Stuxnet-Wurm nicht nur auf den WinCC-Systemen, sondern verhinderte auch, dass die  manipulierten S7-Projekte in der Engineering-Software und auf den S7-Steuerungen erkannt wurden. Stuxnet war der erste Trojaner, der speziell dazu entwickelt wurde, Automatisierungssysteme zu manipulieren und die damit gesteuerten Prozesse zu stören. Die Fachwelt war sowohl über den betriebenen Aufwand zur Entwicklung der Schadsoftware als auch von dem detaillierten Know-how der Angreifer überrascht. Sie müssen sowohl exzellente Kenntnisse der WinCC-Systemplattform als auch der Programmiersprache Step7 besitzen. Stuxnet hatte Fachleuten zufolge mit Atomanlagen im Iran ein konkretes Ziel.