Speicherprogrammierbare Steuerungen in Industriebetrieben können für Hacker und Cyberkriminelle ein potenzielles Einfallstor darstellen. Internationale Bekanntheit hat bereits vor Jahren der Stuxnet-Angriff auf das Atomprogramm im Iran erlangt. Doch auch in der Schweiz sind Betriebe nicht vor SPS-Angriffen gefeit. Denn die Steuerungssysteme sind in diversen Fertigungsprozessen unerlässlich und kommen auch bei kritischen Infrastrukturen zum Einsatz.
Angriffsziel und Schlüssel in die operative Technik
SPS-Steuerungen sind das Herzstück moderner industrieller Automatisierungstechnik. Sie dienen dazu, Maschinen und Prozesse in Industriebetrieben effizient, flexibel und zuverlässig zu steuern. Eine SPS ist im Wesentlichen ein spezialisiertes Computersystem, das entwickelt wurde, um industrielle Prozesse zu steuern und zu überwachen. Sie übernimmt dabei Aufgaben wie das Ein- und Ausschalten von Maschinen, die Regulierung von Prozessparametern und die Kommunikation mit anderen Systemen in einer Produktionsanlage. Speicherprogrammierbare Steuerungen sind dabei aus zweierlei Sicht ein Ziel von Cyberkriminellen. Auf der einen Seite können SPS selbst von Hacking-Attacken betroffen sein. Auf der anderen Seite kann Ransomware in die Steuerungen geladen werden. Wenn es dann zu einer Wartung kommt, wird das Endgerät des Technikers mit der Schadsoftware infiltriert. Danach haben Hacker unbemerkten Zugriff auf die operative Technik.
Mit „Evil PLC-Attacke“ hat die Infiltration der OT auch bereits einen eigenen Namen. Die Sicherheitslücke kann sich für Industriebetriebe dramatisch auswirken. Denn Cyberkriminelle können interne Systeme oft über Wochen oder Monate hinweg unbemerkt mit Schadsoftware infiltrieren. Die Evil PLC-Attacke wurde erfolgreich bei diversen Automatisierungsherstellern in Europa getestet und war stets erfolgreich. Industriebetriebe sollten daher schnellstmöglich handeln und entsprechende Patches durchführen. Dadurch wird verhindert, dass es durch Cyberkriminelle zu einer Störung in den speicherprogrammierbaren Steuerungen kommt. Da die SPS rein für die Steuerung und Überwachung von Prozessen genutzt werden kann, müssen zur Wartung und Änderung der SPS-Code-Logik externe Geräte angeschlossen werden. Wird die Sicherheitslücke nicht schnellstmöglich geschlossen, besteht für Industriebetriebe nahezu ein dauerhaftes Risiko.
Verfälschte Messdaten bedrohen kritische Infrastruktur
Über eine Evil PLC-Attacke können aber nicht nur Daten verschlüsselt und die operative Technik gestört werden. Auch die Daten von Sensoren lassen sich verfälschen. Dieses Risiko besteht vor allem für Unternehmen im Bereich der kritischen Infrastruktur, die Ziel von Cyberterroristen werden. Für die Übermittlung von Steuerungsdaten werden auch heute noch ungesicherte Netztechnologien wie Profibus oder DNP genutzt.
Nachdem die SPS erfolgreich infiltriert worden ist, können Daten unverschlüsselt eingesehen werden. In einigen Systemen sind dann Änderungen ganz ohne Kommunikationsunterbrechung möglich. So lassen sich Messdaten wie Füllstand, Temperatur oder Druck unbemerkt verfälschen. Kritische Werte werden nicht wahrgenommen, bis es zu einem Sicherheitsstillstand kommt. Durch die Evil PLC-Attacke lassen sich aber auch Sicherheitsmechanismen umgehen. Die automatische Abschaltung bei kritischen Messwerten wird blockiert und es kann zu schweren Schäden in der kritischen Infrastruktur kommen.
Risiko bereits seit Jahren bekannt
Dass speicherprogrammierbare Steuerungen ein breites Angriffsziel für Cyberkriminelle sein können, war bereits 2019 bei der Sicherheitstagung IT Defense ein diskutiertes Thema. Damals wurden Hochregallager, die chemische Industrie und diverse Energieversorgung einer kritischen Prüfung unterzogen. Trotz der alarmierenden Ergebnisse wurde auch in grossen Betrieben und im öffentlichen Bereich vergleichsweise nur wenig getan. Das liegt vor allem auch daran, dass Cyberkriminelle zusätzliches Wissen im Bereich der Industrie benötigen. So kann ein manipuliertes Pumpenventil nur dann in einer Katastrophe enden, wenn genau die richtige Menge Luft in die Rohre gelangt. Viele Unternehmen haben das konkrete Risiko daher als gering eingeschätzt. Mit wachsender Bekanntheit der Evil PLC-Attacken könnte sich das Angriffsrisiko aber schon bald konkretisieren.
Schutzmassnahmen im Überblick
Um sich vor einer Evil PLC-Attacke schützen zu können, sollten Unternehmen in erster Linie Updates und Patches an der speicherprogrammierbaren Steuerung durchführen. So wird die bereits bekannte Sicherheitslücke geschlossen. Um Cyberkriminellen nicht Tür und Tor zu öffnen, lohnt sich der Einsatz von Firewalls mit erweiterten Schutzfunktionen für Iot- und OT-Infrastruktur. So können sensible Daten bei einer erfolgreichen Evil PLC-Attacke dennoch geschützt bleiben. Zusätzliche technische Massnahmen sind im Bereich der Cybersecurity sind:
- Netzwerksegmentierung
- Verwendung von IPS (Intrusion Prevention System)