Industrial Security : Pentests: Künstlicher Stress auf Bestellung
Jeder Feueralarm funktioniert nach dem Prinzip eines Penetrationstests: Ein Ernstfall wird simuliert, um die Funktionstauglichkeit eines Systems zu überprüfen und Schwachstellen zu entdecken, die erst in der Praxis auffallen. In IT-Netzwerken sind Pentests längst State-of-the-Art. Professionelle Pentester greifen die EDV-Systeme von außen so an, wie es ein Hacker auch machen würde – nur tun sie das im Auftrag eines Unternehmens und liefern nach erfolgtem Test einen Bericht ab, der Gefahrenherde und Verbesserungsvorschläge auflistet. Mit der zunehmenden Vernetzung von Industrieanlagen haben sich Cyberkriminelle vermehrt Angriffen auf OT-Netzwerke zugewandt. Denn hier ist das Bewusstsein für Security noch lange nicht so hoch wie bei IT-Systemen, und die Sicherheitseinrichtungen oft entsprechend wenig ausgebildet.
Angriff auf das iranische Atomprogramm
Angriffe auf OT-Netze werden nur selten bekannt, da weder Betreiber noch Lieferanten großes Interesse daran haben, ihre Verwundbarkeit öffentlich zu machen. Der erste große und systematische Angriff, der 2010 ans Licht kam, konnte noch als Geheimdienstaktion, als Form der politischen Cyber-Kriegsführung abgetan werden. Stuxnet galt den Steuerungssystemen, die auf den Computern in iranischen Atomanlagen installiert waren. Damit sollte das iranische Atomprogramm gestört und die Entwicklung einer Atombombe zumindest behindert werden. Doch spätestens seit dem spektakulärem Hack des ukrainischen Stromnetzes im Dezember 2015, bei dem in einem gut vorbereiteten Angriff 27 Umspannwerke gleichzeitig abgeschaltet und Stromausfälle bei mehr als 200.000 Kunden herbeigeführt wurden, ist die Fachöffentlichkeit über das Risiko von Attacken auf industrielle Netzwerke alarmiert. Es kann jeden treffen – auch Anlagen, die keine militärische Funktion und keine politischen Feinde haben. Seither boomt Cyber-Security in der Industrie. Eine Vielzahl an Ansätzen hat sich entwickelt – die spektakulärste, aber auch umstrittenste Methode sind industrielle Pentests.
Ja oder Nein: Die Entscheidungsfrage
Soll man OT-Netze und insbesondere Automatisierungssysteme durch einen künstlichen Angriff von außen auf Sicherheitsrisiken testen? „Ja“, sagt Georg Kremsner, bei Limes Security für industrielles Pentesting verantwortlich. „Nein“, sagen andere Stimmen aus der Branche. So rät etwa das deutsche Bundesamt für Sicherheit in der Informationstechnologie BSI von industriellem Pentesting ab. Die potenziellen Fehlerquellen seien zu hoch. Das hat technische Gründe: Automatisierungsnetze in Industrieanlagen dienten der Kommunikation von Sensoren mit Aktoren. Die verwendete Ethernet-Technologie sei im Vergleich zu robusten IT-Systemen in den Büros zu filigran und nur für die Datenübertragung in eine Richtung ausgelegt. Bei einem Pentest müssen diese Netzwerke für Echtzeit-Kommunikation herhalten, bei denen die Netzwerk-Scanner einen so hohen Datenverkehr produzieren, dass ein enormes Ausfall-Risiko bestünde. Daher, so das BSI: Keine gute Idee, eine laufende Anlage diesem Risiko auszusetzen.
Vorsichtig anklopfen
Georg Kremsner gibt dem zumindest zum Teil Recht. Ein Risiko ist, dass Automatisierungsnetze häufig nicht auf standardisierten Kommunikationstechnologien aufgebaut sind und im Gegensatz zu modernen IT-Umgebungen regelmäßig veraltete Geräte anzutreffen sind. „Ein Switch, der seit 30 Jahren im Einsatz ist und plötzlich erstmals mit einem ungewohnten Input konfrontiert ist, kann leicht ein Problem bekommen“, beschreibt Kremsner eine typische Problemsituation. Allerdings würde das nur passieren, wenn der Pentester unvorsichtig sei.
Inventory von Soft- und Hardware
Limes Security hat sich auf das Testen in Automatisierungsnetzen spezialisiert und bringt dafür eine Vielzahl an spezialisierten und zum Teil selbst entwickelten Tools zum Einsatz. Unter vorsichtiger Vorgangsweise versteht Kremsner beispielsweise, dass der Netzwerkscanner die TCP-Ports sehr langsam und vorsichtig scannt. Geht man zu schnell vor, sei bei zehntausenden zu überprüfenden Ports der Speicher des PLCs rasch voll – und damit ein Absturz vorprogrammiert. Auch müsse man vorher wissen, welche Geräte verbaut seien: Je älter der Maschinenpark, desto größer die Wahrscheinlichkeit, auf veraltete Protokolle und fehlende Sicherheits-Updates zu stoßen. Daher müsse vor dem Pentest unbedingt ein System- und Geräteinventar erstellt werden, in dem der Betreiber sowohl die verwendete Hard- als auch Software auflistet. Das alleine sei schon ein wichtiger Schritt, sagt Kremsner: Denn dieses System- und Geräteinventar fehle in der Industrie sehr häufig.
Threat+Risk-Workshop
Nach Möglichkeit sollten Pentests auch während der Wartungsintervalle oder – bei redundant ausgeführten Anlagen – am Back-up-System durchgeführt werden. Auch gäbe es kein Pentesting, ohne dass ein Netzwerkverantwortlicher stets greifbar sei, um bei Problemen sofort eingreifen zu können. Und die Definition von Bereichen, die beim Test unbedingt auszuklammern sind, sei der vielleicht wichtigste Bestandteil in dem Threat+Risk-Workshop, den Limes Security vor jedem Pentest mit dem Auftraggeber abhalte. Kremsner: „Berücksichtigt man all diese Vorgaben, ist industrielles Pentesting eine sehr effiziente Maßnahme, um technische Angriffsmöglichkeiten in einem OT-Netz festzustellen.“ Die Erfolgsquote spricht für sich: Limes hat in sieben Jahren Pentesting noch keinen Anlagenausfall verursacht.
Eine Frage des Bewusstseins
Anders als andere Anbieter auf dem Markt für Industrial Security begnügt sich Limes Security also nicht damit, die Schwachstellen nur theoretisch zu ermitteln, sondern legt aktiv den Finger drauf. Um das Bild mit dem Feueralarm von Beginn noch einmal aufzugreifen und zu präzisieren: Reicht es, wenn die Leute nach dem Alarm gemütlich zur Sammelstelle spazieren und dabei überprüft wird, ob eh alle die Feuertreppe finden und keine Schutztüre versperrt ist – oder sollen die Sicherheitsverantwortlichen mit der Stoppuhr daneben stehen und vielleicht sogar ein bisschen Rauch in die Gänge blasen? Das ist eine Frage der Philosophie, die der Auftraggeber bevorzugt. Aber egal ob er sich nach reiflicher Überlegung und gründlicher Überprüfung für oder gegen das Pentesting seiner Industrieanlage entscheidet, in beiden Fällen hat er schon gewonnen: Denn er hat zu diesem Zeitpunkt schon das Bewusstsein entwickelt, dass Cyber-Attacken gegen industrielle Netzwerke eine genauso reale Bedrohung sind wie ein Brand, und Cyber-Security daher wichtig ist. Und ist damit bereits weiter als die meisten anderen.