Sichere Kommunikation in rauer Umgebung

Lange Zeit waren nur IT-Systeme in Büros und Privathaushalten das Ziel von Hackerangriffen. Das hat sich geändert. In immer stärkerem Maße werden auch Industrieanlagen, Ölförderanlagen, Raffinerien, das Stromnetz und Wasserwerke das Ziel solcher Attacken. Ein Beispiel: Im November 2011 verschafften sich Hacker über eine Remote-Access-Verbindung Zugriff auf das Wasserwerk von Springfield (Illinois) und zerstörten eine Pumpe. Vergleichbare Angriffe auf die SCADA-Infrastruktur (Supervisory Control and Data Acquisition) von Unternehmen und öffentlichen Einrichtungen werden sich nach Einschätzung des Department of Homeland Security in Zukunft häufen.

Wie dies in der Praxis funktioniert, zeigen die Angriffe mithilfe des Wurms Stuxnet. Mit ihm griffen Ende 2010 Hacker Programmable Logic Controllers (PLCs) der Firma Siemens an, die in Atomforschungsanlagen des Iran eingesetzt wurden und legten diese teilweise lahm. Bewährte Ansatzpunkte für Angreifer sind Peripheriesysteme in „rauen“ Umgebungen: Sensoren, PLCs und Systeme für das Messen, Steuern und Regeln. Die meisten diese Systeme haben eines gemeinsam: Sie tauschen mit anderen Systemen und Steuerrechnern Informationen aus, häufig über Standardprotokolle wie Ethernet (Industrial Ethernet).

Zudem verfügen viele Geräte seit den 90er Jahren über eine Internet-Schnittstelle. Solche Interfaces sind vor allem für Sensoren, Remote Terminal Units (RTUs), IP-Überwachungskameras und Steuerungen wichtig, die an schwer zugänglichen Orten platziert sind, etwa einer Ölförderanlage, Wasserpumpen oder einem elektrischen Umspannwerk. Dadurch sind solche Systeme in der Lage, Daten und Statusmeldungen an eine Zentrale zu übermitteln. Außerdem können Servicetechniker via Remote Access über WAN-Verbindungen (Wide Area Network) oder das Mobilfunknetz auf diese Geräte zugreifen und sie überwachen und konfigurieren.

 

Über den Outdoor-Access-Point ins Corporate Network

Doch gerade unzureichend abgesicherte Remote-Access-Funktionen machen SCADA-Systeme verwundbar. So kann sich ein Angreifer über eine Telnet- oder http-Verbindung Zugang zu solchen Komponenten verschaffen und diese manipulieren. Erleichtert wird dies dadurch, dass viele Hersteller den Zugang zu ihren Systemen mithilfe von Standard-Passwörtern schützen, die der User nicht ändern kann. Wie solche Hard-coded Passwords lauten, ist für einen Angreifer leicht herauszufinden.

Besonders beliebt bei Hackern sind Systeme, die über eine Wireless-LAN-Verbindung Daten übermitteln. Solche Outdoor-WLANs sind mittlerweile auf dem Gelände vieler Unternehmen im Einsatz. Zwar weisen Sicherheitsfachleute immer wieder darauf hinweisen, dass WLAN-Daten mithilfe von Verfahren wie WPA2 verschlüsselt werden sollten. Doch auch das bietet keinen hundertprozentigen Schutz. Im Internet kursieren Anleitungen und Tools, mit denen sich selbst solche Access Points cracken lassen, auch wenn diese mehrere Stunden in Anspruch nimmt. Gerade bei Outdoor-WLAN-Systemen ist es jedoch für einen Hacker relativ einfach, ohne großes Risiko den Datenverkehr aufzuzeichnen und auszuwerten.

Höchst problematisch ist, dass ein erfolgreicher Angriff auf Kontroll- und Steuersysteme in vielen Fällen auch das Tor zu anderen Bereichen des Corporate Network öffnet. Der Grund ist, dass es keine strikte Trennung zwischen Steuer- und Kontrollnetzen und dem Corporate Intranet mehr gibt. Das heißt: Ein Hacker kann sich von einer PLC aus über eine Industrial-Ethernet-Infrastruktur zu Datenbanken mit Finanz- und Kundendaten vorarbeiten.

 

VPN ist unverzichtbar

Doch wie lassen sich SCADA-Systeme gegen Angriffe sichern? Die Antwort: Mit denselben Mitteln wie ein „normales“ Corporate Network. Ein Schutzmechanismus sind Firewalls wischen Steuerungs- und Kontrolleinheiten und dem externen Internet-Verkehr. Sie analysiert alle Zugriffe auf die Systeme und blockiert verdächtigen Netzwerkverkehr oder Zugriffe auf bestimmte Ports.

Eine zentrale Rolle spielen IPsec-VPNs mit DES- oder AES-Verschlüsselung. Nur wenn der Datenverkehr über gesicherte Tunnel läuft, ist ausgeschlossen, dass Hacker Datenpakete von PLCs, Local Control Units oder RTUs abfangen, analysieren und daraus Rückschlüsse auf die Technologien und Systeme ziehen kann, die in einem SCADA-Netz eingesetzt werden. In einer dezentralen SCADA-Infrastruktur mit Endpoints an unterschiedlichen Standorten ist es sinnvoll, zusätzlich einen VPN-Server in Verbindung mit einem Gateway aufzusetzen. Das Gateway dient als Firewall und Torwächter: Es entscheidet, welche Daten welcher Systeme Zugang zum Netzwerk erhalten.

 

Fazit

Steuerungen, Datenerfassungsgeräte und Systeme in der Automatisierungstechnik sind heute genauso anfällig für Hacker-Angriffe wie PCs, Server und Notebooks im LAN. Daher benötigen sie denselben Schutz. Das gilt vor allem für Systeme mit Remote-Access-Verbindungen. Und das setzt den Einsatz von Virtual Private Networks und den entsprechenden Server, Clients und Gateways voraus. Ein VPN ist somit unverzichtbar, auch in Harsh Environments.

 

Nicht nur Server, Datenbanken und Client-Systeme sind Ziel von Hackerangriffen. Mittlerweile häufen sich Attacken auf Industrieanlagen, Wasserwerke und das Stromnetz.

(Bild: R_K_B_Jurec/Pixelio.de)

 

Viele Unternehmen nutzen Outdoor-WLAN-Access-Points, damit Mitarbeiter auf einem weitläufigen Firmengelände Zugang zum Firmennetz haben. Solche Verbindungen müssen sorgfältig abgesichert werden, damit Angreifer sich nicht in das Netzwerk einklinken können.

(Bild: Lancom Systems)