Sicherheitskritische Systeme in intelligenten Fertigungsanlagen

11.11.2020 Von Udo Schneider*

Anbieter zum Thema

Aufgrund von Unwissenheit seitens der Anlagenbetreiber bieten sich Cyberkriminellen in vernetzten Produktionsumgebungen schnell eine Vielzahl möglicher Einfallstore. Welche Schwachstellen es zu kennen gilt.

Je weiter Produktionsumgebungen vernetzt werden, desto mehr potenzielle Angriffsziele gibt es für Kriminelle, doch diese müssen nicht ungeschützt bleiben.
(Bild: gemeinfrei / Pixabay)

Der wachsende Markt für intelligente Systeme und flexiblere Produktionstechniken - oft als industrielle Internet-of-Things-Geräte bezeichnet - bietet einen interessanten Einstiegspunkt für Angreifer, den Unternehmen kennen sollten. Am Beispiel einer intelligenten Fertigungsanlage veranschaulichten Security-Forscher, wie Softwarebibliotheken von Drittanbietern dazu missbraucht werden können, Schadsoftware zu implementieren, um beispielsweise den Betrieb in der Produktion zu stoppen.
Bis das betroffene Gerät schließlich als Verursacher identifiziert und unschädlich gemacht werden kann, fallen anhaltende Ausfallzeiten durch die nicht verfügbaren Dienste an. Basierend auf dem Forschungsbericht Attacks on Smart Manufacturing Systems – A Forward-Looking Security Analysiskonnten Sicherheitsexperten verschiedene Komponenten von Smart-Manufacturing-Systemen identifizieren, die besonders anfällig für Cyberangriffe sind.

Industrielle Software, die als gebündelte Add-Ins, Erweiterungen oder Apps geliefert wird

Bis jetzt hat industrielle Software, die in Add-Ins, Erweiterungen oder Apps verpackt wurde, kaum Beachtung bekommen. Dabei handelt es sich um mächtige und oft unterschätze Angriffsvektoren. Vor allem wenn Beschaffungsplattformen wie App Stores nicht richtig vor Angriffen gesichert sind, bieten sie eine zusätzliche Möglichkeit, unbemerkt auf Systeme wie Engineering Workstations zuzugreifen und Schäden anzurichten.

Kundenspezifische IIoT-Geräte

Kundenspezifische Geräte, die mit dem Industrial Internet of Things verbunden sind, erfreuen sich zunehmender Beliebtheit, da sie es Ingenieuren im Gegensatz zu weniger leistungsfähiger und traditioneller Hardware ermöglichen, eine vollständig kundenspezifische Automatisierungslogik in der Produktionsumgebung auszuführen.

Die gewonnene Flexibilität sowie die niedrigen Zugangsbarrieren für Entwickler führen zu einer Änderung des Sicherheitsverwaltungsmodells. Statt einem Anbieter zu vertrauen, der die jeweilig genutzte Gerätesoftware entwickelt, müssen die Benutzer oft komplizierte Vertrauensketten überwinden, wobei viele Drittbibliotheken in die endgültige Software importiert werden. Cyberkriminelle haben in letzter Zeit besonders solche Bibliotheken ins Visier genommen, um die Software an ihrem Ursprung zu kompromittieren. Deswegen ist es wichtig, das Risiko-Bewusstsein auch für Software im industriellen Kontext so zu schärfen, dass es dasselbe Niveau erreicht, wie es bereits in der allgemeinen Software-Entwicklung vorherrscht.

Mensch-Maschine-Schnittstellen (HMI)

Wie zahlreiche Schwachstellen zeigen, die Trend Micro im Rahmen seiner Zero Day Initiative veröffentlicht, bieten Human-Machine-Interfaces (HMI) eine breite Angriffsfläche, da es sich bei ihnen um Allzweckrechner mit vielen Schnittstellen handelt, die nur selten mit Updates oder Patches versehen werden können. Hinzu kommt die zunehmende Komplexität dieser Geräte.
Inzwischen leiden viele mobile HMI-Systeme zunehmend unter der Nutzung unsicherer Apps auf Mobilgeräten – ein Zeichen dafür, dass diese noch nicht für die verbreitete Nutzung bereit sind. Einige solcher Apps, bereits per Sideloading eingesetzt, verwenden unsichere Protokolle für die Kommunikation mit dem Backend, was sie zu einem der schwachen Glieder in diesem komplexen Ökosystem macht. Da die Auslieferung mit fest kodierten Berechtigungsnachweisen erfolgt, sind auch sie eine schnell zu identifizierende Schwachstelle.

Produktionsleitsysteme (MES)

Das Produktionsleitsystem (Manufacturing Execution System, MES) ist wohl der sensibelste Endpunkt in einem intelligenten Fertigungssystem und fungiert als vertrauenswürdige Brücke zwischen dem Produktionsbereich sowie dem übrigen Unternehmensnetzwerk, wie beispielsweise den Enterprise Resource Planning (ERP)-Systemen.

Als hochgradig kundenspezifische Produkte beinhalten diese Systeme eine oder mehrere Datensätze, die auf komplexen Automatisierungslogiken und Arbeitsplänen beruhen. Schon die kleinste Modifikation in einem der Datensätze kann schwerwiegende Folgen haben: Beschädigungen der Herstellungsgüter und vollständige Produktionsausfälle sind nur zwei mögliche Folgeschäden, wenn die MES nicht mit Sicherheitsvorkehrungen und entsprechenden Gegenmaßnahmen konfiguriert worden sind.

Moderne Aufzüge sind mit dem Internet der Dinge oder dem Mobilfunknetz verbunden. Darüber können sich Cyberkriminelle Zugang zur sensiblen Haustechnik verschaffen. (gemeinfrei)

Komplexe, programmierbare Produktionsmaschinen

Komplexe, programmierbare Produktionsmaschinen wie Industrieroboter verfügen über eine eigene Rechenleistung, die über die Kontrolle der Ausführung physischer Bewegungen und damit ihre Hauptfunktionalität, hinausgehen kann. Heutzutage können sie allgemeine Computeraufgaben ausführen, die jedoch als Schwachstelle identifiziert und von Cyberkriminellen missbraucht werden können. Angreifer versuchen dann, bösartige Logiken in den Maschinen zu verstecken, die aktuelle Endpunktschwachstellen angreifen, da sie als gültiger Maschinenautomatisierungscode betrachtet werden.

Was das für die Zukunft bedeutet

Die Auswirkungen von Cyberangriffen auf intelligente Fertigungssysteme können sehr gravierend sein, da für viele Unternehmen der Betrieb solcher Systeme geschäftskritisch ist. Zudem kommt es vermehrt zu Sicherheitsherausforderungen durch Angreifer, die verschiedene Ziele anvisieren. Im Fokus stehen dabei die Verbindung zwischen MES und den Aktoren, manipulierbare Sensoren, unverschlüsselter Netzwerkverkehr, herkömmliche oder mobile HMI sowie komplexe Software-Lieferketten mit vielen Abhängigkeiten.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Empfehlungswert wäre es daher, eine Deep Packet Inspection auf der Netzwerkebene zu implementieren, die sowohl die relevanten OT-Protokolle unterstützt als auch die Erkennung von anomalen Telegrammen ermöglicht. Des Weiteren sollte regelmäßig eine Integritätsprüfung auf Endpunkten durchgeführt werde, die bei veränderten Softwarekomponenten Alarm schlägt. Bei IIoT-Geräten sollte unbedingt eine Code-Signierung eingesetzt werden, die alle Abhängigkeiten im Blick hat und sich nicht nur auf die endgültige Firmware beschränkt.

Dieser Beitrag stammt von unserem Partnerportal Industry-of-Things.de.

* Udo Schneider arbeitet als IoT Security Evangelist Europe bei Trend Micro.

(ID:46983686)