Suchen

Unter dem Radar Neue Angriffsmethoden auf Industrie-4.0-Umgebungen

| Redakteur: Jürgen Schreier

Ein Forschungsbericht von Trend Micro, der zusammen mit dem Politecnico di Milano erarbeitet wurde, skizziert fortgeschrittene Angriffsszenarien in Industrie-4.0-Umgebungen und gibt Empfehlungen für OT-Betreiber. Er beruht auf Versuchen, die im Industrie-4.0-Labor der Hochschule durchgeführt wurden.

Für die Untersuchung wurde das Industrie-4.0-Labor des Politecnico di Milano genutzt. Dieses ist mit echten Fertigungsanlagen ausgestattet.
Für die Untersuchung wurde das Industrie-4.0-Labor des Politecnico di Milano genutzt. Dieses ist mit echten Fertigungsanlagen ausgestattet.
(Bild: Trend Micro )

Trend Micro veröffentlicht hat neue Forschungsergebnisse veröffentlicht, die aufzeigen, wie fortschrittliche Hacker unkonventionelle, neue Angriffsvektoren nutzen könnten, um intelligente Produktionsumgebungen zu sabotieren.

Der Report "Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis" entstand in Zusammenarbeit mit dem Politecnico di Milano (Polytechnische Universität Mailand). Das dortige Industrie-4.0-Labor ist mit echten Fertigungsanlagen von verschiedenen branchenführenden Herstellern ausgestattet, die den Forschern als Versuchsobjekte dienten.

Die Angriffsoberfläche des genutzten Systems mit physischem Netzwerk-Perimeter.
Die Angriffsoberfläche des genutzten Systems mit physischem Netzwerk-Perimeter.
(Bild: Trend Micro )

Im Rahmen der Untersuchungen beide Partner zeigen zeigen, wie böswillige Akteure vorhandene Funktionen und Sicherheitsmängel in IIoT-Umgebungen (Industrial Internet of Things, Industrielles Internet der Dinge) ausnutzen können, um daraus finanziellen Gewinn zu schlagen.

Erfolgreiche Angriffe führen zu finanziellen und Reputationsschäden

„In der Vergangenheit wurde bei Cyberangriffen auf Produktionsanlagen vor allem herkömmliche Malware verwendet, die durch übliche Netzwerk- und Endpunktschutz-Lösungen gestoppt werden kann. Es ist jedoch wahrscheinlich, dass fortgeschrittene Angreifer zukünftig Operational Technology (OT)-spezifische Angriffe entwickeln, die dann unter dem Radar fliegen“, so Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. „Wie unsere Untersuchungen zeigen, gibt es mehrere Vektoren, die für solche Bedrohungen offen sind. Erfolgreiche Angriffe darauf könnten zu erheblichen finanziellen und Reputationsschäden für betroffene Industrie-4.0-Unternehmen führen. Die Antwort ist IIoT-spezifische Sicherheit, die speziell dafür entwickelt wurde, um ausgeklügelte, gezielte Bedrohungen auszuschalten.“

Udo Schneider, IoT Security Evangelist Europe bei Trend Micro, hält es für wahrscheinlich, dass fortgeschrittene Angreifer zukünftig Operational Technology (OT)-spezifische Angriffe entwickeln, die unter dem Radar fliegen.
Udo Schneider, IoT Security Evangelist Europe bei Trend Micro, hält es für wahrscheinlich, dass fortgeschrittene Angreifer zukünftig Operational Technology (OT)-spezifische Angriffe entwickeln, die unter dem Radar fliegen.
(Bild: Alex Schelbert )

Kritische intelligente Fertigungsanlagen basieren in erster Linie auf proprietären Systemen, verfügen jedoch über die Rechenleistung herkömmlicher IT-Systeme. Sie sind deshalb zu weit mehr in der Lage, als nur die Aufgaben zu erfüllen, für die sie in der Regel eingesetzt werden. Angreifer können dies einfach ausnutzen.

Die Computer verwenden vor allem herstellerspezifische Sprachen zur Kommunikation, aber genau wie bei IT-Bedrohungen können die Sprachen dazu verwendet werden, bösartigen Code einzugeben, sich innerhalb des Netzwerks zu bewegen oder vertrauliche Informationen zu stehlen, ohne entdeckt zu werden.

Abschottung von OT- gegenüber IT-Systemen schwindet

Obwohl intelligente Fertigungssysteme so konzipiert und eingesetzt werden, dass sie isoliert sind, schwindet diese Abschottung mit der zunehmenden Konvergenz von IT und OT. Aufgrund der eigentlich beabsichtigten Trennung arbeiten die Systeme mit einem erheblichen Maß an Vertrauen und verzichten weitgehend auf Integritätsprüfungen, um böswillige Aktivitäten fernzuhalten.

Zu den gefährdeten Systemen und Maschinen, die genutzt werden könnten, gehören das Manufacturing Execution System (MES), Mensch-Maschine-Schnittstellen (HMIs) und individuell anpassbare IIoT-Geräte.

Diese sind potentiell schwache Glieder in der Sicherheitskette und könnten ausgenutzt werden, um produzierte Güter zu beschädigen, Fehlfunktionen zu verursachen oder Arbeitsabläufe zu ändern, um fehlerhafte Produkte herzustellen.

Der Bericht bietet einen detaillierte Überblick über empfohlene Verteidigungs- und Eindämmungsmaßnahmen, darunter:

  • Deep Packet Inspection, die OT-Protokolle unterstützt, um anomale Payloads auf der Netzwerkebene zu identifizieren
  • Regelmäßige Integritätsprüfungen auf Endpunkten, um geänderte Software-Komponenten zu identifizieren
  • Code-Signierung auf IIoT-Geräten zur Einbeziehung von Abhängigkeiten wie Bibliotheken von Drittanbietern
  • Ausdehnung von Risikoanalysen, um über die physische Sicherheit (Safety) hinaus auch Automatisierungssoftware mit zu berücksichtigen
  • Vollständige Chain of Trust für Daten und Software in intelligenten Fertigungsumgebungen
  • Erkennungswerkzeuge zur Erkennung verwundbarer oder bösartiger Logik für komplexe Fertigungsmaschinen
  • Sandboxing und Privilegientrennung für Software auf Industriemaschinen

Bonitätsprüfung für die IT-Sicherheit

Eine Art "Bonitätsprüfung für die IT-Sicherheit“ hat Tech Data entwickelt. Das Cyber Scoring des Security-Spezialisten nutzt das Framework und öffentlich zugängliche Daten von intelligenten Open Source-Werkzeugen und -Techniken (OSINT) zur Erfassung von Informationen und lässt zusätzlich Kriterien von OWASP (Standard zur Durchführung von neutralen Sicherheitsverifizierungen auf Applikationsebene) einfließen. Diese Vorgehensweise ist vergleichbar mit der von Angreifern.

Über die Hauptdomain eines Unternehmens werden die Systeme, Netzwerke und vereinzelte Endpoints identifiziert und anschließend untersucht. In der Bewertungsphase werden die Datenergebnisse (meist mehrere Tausend) von einem definierten Algorithmus analysiert und die Erkenntnisse kategorisiert aufbereitet.

Als Ergebnis des Cyber Scorings werden für den Auftraggeber zwei Reports ausgespielt: Ein Management-Report, der Informationen auf C-Level-Basis beinhaltet und gleichzeitig als Dokumentation und Wirksamkeitsüberprüfung (DSGVO-konform) dient. Und ein Spezialisten-Report, der für die interne IT-Abteilung oder den IT-Dienstleister oder Managed Service Provider gedacht ist. Beide Reports dienen dazu, das aktuelle Gesamtrisiko zu dokumentieren, Handlungsempfehlungen zu erstellen, Lösungsansätze zu entwickeln und aktiv einem potenziellen Angriff entgegenzuwirken.

Die Risikoeinschätzung wird in acht Kategorien vorgenommen. So werden beispielsweise Themen wie die konkrete Gefährdungslage, die Angriffsfläche im Internet, die vertrauenswürdige Verschlüsselung oder auch das Mitarbeiterverhalten und die Reputation im Cyberraum bewertet.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46597603)