Tools, um Schwachstellen im Produktionsnetzwerk finden

Wissen schützt vor Hackerangriffen

09.09.2015
Von 

Ivo Strigel ist seit Mai 2013 Senior Manager Channel Sales für Deutschland, Österreich, die Schweiz und Osteuropa bei Blue Coat. In dieser Position verantwortet er den Vertrieb über Channel-Partner in den genannten Regionen. Der Diplom-Ingenieur ist seit mehr als 20 Jahren in verschiedenen Positionen im Bereich IT-Vertriebs- und -Management tätig und verfügt über eine tiefgehende Expertise zu den Themen IT-Business, Networking und Security.

Industrie 4.0 – eine autonome Produktion mit mitdenkenden und vernetzten Produkten – öffnet Fertigungsunternehmen den Weg ins Web. Hackern aber auch das Tor in die Produktionshalle. Um sich vor Angriffen zu schützen, muss die IT-Security die eigenen Schwachstellen und die Vorgehensweise der Cyberkriminellen kennen.

Durch die Vernetzung der Produktionssysteme lassen sich hohe Effizienzsteigerungen erzielen. So ist es kein Wunder, dass immer mehr Unternehmen ihre Industriellen Steuerungssysteme (ICS) nach außen öffnen. Dies bietet jedoch Angreifern neuartige Möglichkeiten. Gelingt es ihnen, den Zugangspunkt zum Netzwerk zu kompromittieren, können sie schrittweise in die Produktionsumgebung eindringen. Da die dort installierte proprietäre Hard- und Software in der Regel nicht an die bestehenden Sicherheitssysteme angebunden sind, haben Hacker meist leichtes Spiel und können Prozesse manipulieren oder gar die gesamte Umgebung sabotieren.

Ob ein Produktionsnetzwerk von einem Cyber-Angriff betroffen ist, kann oft zu spät bemerkt werden. Es gibt allerdings hilfreiche Tools.
Ob ein Produktionsnetzwerk von einem Cyber-Angriff betroffen ist, kann oft zu spät bemerkt werden. Es gibt allerdings hilfreiche Tools.
Foto: gregflat - shutterstock.com

Schwachstellen und Vorgehensweisen kennen

Um sich davor zu schützen, muss die IT-Security die Schwachstellen der Produktionsnetze, die Angriffsvektoren und die verwendeten Tools kennen. Nur so kann sie die Abläufe der Angriffe verstehen, die Ausbreitung der Malware verhindern und mögliche Schäden schnellstmöglich beheben. Basis hierfür sind neben dem vorhandenen Know-how auch bestehende Wissensdatenbanken und etablierte Prozesse.
Allerdings sind Informationen für den Schutz der nachgelagerten Produktionssysteme bislang noch eher rar. Security-Initiativen wie die Suchmaschine Shodan und der ICS-/SCADA-Honeypot Conpot unterstützen Verantwortliche bei der Beschaffung und Auswertung handlungsrelevanter Threat- und Schwachstelleninformationen.

Sicherheitslücken und fehlerhafte Systeme lokalisieren

Die Suchmaschine Shodan durchsucht das Internet nach verschiedenen erreichbaren Systemen. Dabei lässt sie einfach einen Portscan über die IP-Adressen laufen und sammelt sowie indiziert die zurückgesendeten Banner. So kann das Web schnell nach Servern und Routern bestimmter Typen oder nach IP-basierten Endpoints durchsucht werden. Über Filter lassen sich dabei Suchabfragen genau spezifizieren.
Damit ist die Suchmaschine ein nützliches Tool, um Schwachstellen oder fehlerhaft konfigurierte Systeme im eigenen Netz zu lokalisieren. So können Unternehmen die Sichtbarkeit ihrer Produktionssysteme im Internet minimieren - ein erster wichtiger Schritt bei der Absicherung der ICS-Umgebung. Ein Beispiel eines Shodan ICS-Radar ist hier zu sehen.

Bedrohungen analysieren

Die zunehmende Zahl maßgeschneiderter, mehrstufiger Advanced Persistent Threats (APT) macht es jedoch erforderlich, Bedrohungen sorgfältig zu analysieren. Dazu haben IT-Security-Experten die Conpot (Control System Honeypot)-Initiative gegründet. Dahinter verbirgt sich die Idee, im Internet aktive, virtuelle Systeme zu platzieren, die sich nach außen hin exakt wie ungeschützte ICS-Server oder Industrienetzwerke verhalten. Der Betreiber des Honeypots wartet dann ab, bis ein Angreifer das emulierte Kraftwerk, Verteilerhäuschen oder Industrieunternehmen attackiert - und kann schrittweise die Anatomie der Attacke beobachten. Somit erhält er wertvolle Analysen von Angriffsvektoren. Werden im Rahmen der Initiative Dutzende von Angriffen ausgelesen, analysiert und korreliert, lassen sich unter anderem Aussagen zu Trends und Entwicklungen oder regionalen sowie thematischen Schwerpunkten der Angriffe ableiten. So unterstützt der Honeypot maßgeblich bei der Suche nach Anomalien im Produktionsnetz.

Produktionsumgebung wirkungsvoll schützen

Um ihre Produktionsumgebungen wirkungsvoll abzusichern, sollten Unternehmen mit Shodan zunächst die Sichtbarkeit ihrer ICS-Systeme im Web prüfen. Sind diese in Shodan sichtbar, ist große Vorsicht geboten und Best Practices der (IT-)Security sollten umgehend implementiert werden, damit die gegebenenfalls versehentlich über das Internet erreichbaren Teile des Netzwerks sofort zuverlässig abgesichert werden. Oft reicht es zunächst, das im Internet sichtbare Gerät oder beispielsweise Teile einer Steuerung entsprechend zu konfigurieren oder sie vorerst komplett aus dem Netzwerk zu entfernen.

Zudem sollten Unternehmen via Conpot ein Profil der Angriffe erstellen, die gegen ähnliche ICS-Infrastrukturen wie die eigenen erkennbar sind. So ist es leichter möglich, Techniken und Angriffsvektoren der Hacker zu verstehen. Dadurch können Security-Teams ihre Sicherheitskonfiguration wie Regeln für Firewalls oder Zugangsberechtigungen anpassen und die eigene IOT Strategie überdenken. (bw)