:quality(80)/p7i.vogel.de/wcms/c0/11/c011915ad5c1dae221ec054dbad531d4/0113030444.jpeg "VW und andere Unternehmen setzen beim Internet of Things auf AWS. Mit AWS IoT bündelt der Konzern eine Vielzahl verschiedener Komponenten für unterschiedliche Anwendungsfälle. (Bild: frei lizenziert)")
IIoT-Komponenten :quality(80)/p7i.vogel.de/wcms/54/b7/54b76a2a88b7b7c9add36e1446aa7cac/0112951845.jpeg "Das Management von Benutzeridentitäten (IAM) ist einer der Eckpfeiler von ausgeklügelten Zero-Trust-Modellen. (Bild: Sivis)")
:quality(80)/p7i.vogel.de/wcms/f8/50/f850a5349669b646752c118a1828f5a5/0113850599.jpeg "ARI Motors Industries, bekannt für den kleinsten in Deutschland zugelassenen Elektro-Lkw darf sich auf erhebliche Fördermittel für den Bereich Forschung und Entwicklung freuen. Es geht um einige Millionen Euro, wie die dpa mitteilt. Folgende Vorhaben werden damit unterstützt ... (Bild: ARI Motors)")
:quality(80)/p7i.vogel.de/wcms/59/1d/591d3574571be73371c8ed9114c405d7/0114070729.jpeg "Der „Mobilfunk-Mast to go“ kommt auf der Digital X 2023 in Köln zum Einsatz. (Bild: Telekom)")
:quality(80)/p7i.vogel.de/wcms/26/7d/267da489afb4be68969520274d437163/0114161932.jpeg "Die Gewinner der Formnext Start-up Challenge erhalten einen 3D-gedruckten Award sowie ein von der Formnext und ihren Partnern gesponsertes vielseitiges Messe- und Marketingpaket. (Bild: Marc Jacquemin - Mesago Messe Frankfurt GmbH)")
:quality(80)/p7i.vogel.de/wcms/cf/6b/cf6b70def468bb9f26a3e49b6765e222/0114135633.jpeg "In den letzten zwei Jahrzehnten (2001 bis 2020) wurden weltweit über 50.000 bedeutende Patentanmeldungen im Zusammenhang mit der 3D-Druck-Technologie eingereicht. Seit 2013 ist ein starker Anstieg zu verzeichnen. (Bild: Europäische Patentamt (EPA))")
:quality(80)/p7i.vogel.de/wcms/03/3d/033d1fdce2bad33865d6bebb71aad303/0114127904.jpeg "Mittels Binder Jetting soll die Klebstoffsuspension über einen Druckkopf in kleinen Tropfen schichtweise in das Holzpulver eingebracht werden. (Bild: Fraunhofer IPA)")
:quality(80)/p7i.vogel.de/wcms/bb/e7/bbe7b488d28ada2d007713445f243bfc/0113927348.jpeg "Schmierstoffe sind unverzichtbar für alles, was sich bewegt. Sie vermindern die Reibung und halten Maschinen am Leben. Doch sie altern, was auch durch elektrische Felder passiert. Diesen Effekt kann man jetzt in einem neuen virtuellen Labor vorhersagen, um gegenzusteuern. (Bild: DSBW)")
:quality(80)/p7i.vogel.de/wcms/6c/11/6c11e66a855012af628abfbc6560d0d3/0113952260.jpeg "Die Lufthansa will Geschäftsreisenden jetzt schon vor dem Flug viel Arbeit abnehmen. Und zwar gibt es mit Swifty jetzt eine auf künstlicher Intelligenz basierende App, die die Organisation einer Reise wesentlich einfacher und übersichtlicher macht, wie die dpa erfahren hat. (Bild: Lufthansa)")
:quality(80)/p7i.vogel.de/wcms/bd/d4/bdd46ac37d6abaeae36a866a82b6415b/0114094008.jpeg "Beim diesjährigen Future of Industrial Usability holen wir mit Prof. Clemens Lutsch unter anderem das Thema Berufsbild UX/Usability auf die Bühne. (Bild: Vogel Communications Group)")
IoT-Security OT-Security: 13 Schwachstellen im Nichestack
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Genau dort, wo Digitalisierung die Wertschöpfung beschleunigen soll, können sich die Angreifer einklinken. Welche 13 Schwachstellen im Nichestack, einem TCP/IP-Netzwerk-Stack für Produktionssysteme, gefunden wurden und wie sie in Zukunft vermieden werden können.
Es ist nichts Neues, dass es bei der immer rasanteren Digitalisierung im produzierenden Gewerbe hier und da bei der Sicherheit hakt. Das Business prescht vor, die Security muss so gut es geht mithalten. Viel stärker, als es meist thematisiert wird, stecken die Hard- und Softwareteufel aber auch in den Details der IoT- und OT-Geräte, wie sie noch heute auf den Markt kommen.
Im hier behandelten Fall trifft es einen TCP/IP-Stack, der in vielen Produktionsanlagen und -Systemen verbaut ist: Den ‚Nichestack‘. TCP/IP-Stacks sind die ‚Protokollstapel‘, die einem mit Computertechnik ausgerüsteten Produktionssystem mittels aller gängigen Protokolle unter anderem die Kommunikation mit Systemen der Büro- und Internet-IT-Welt ermöglichen. Die Anwendungen reichen vom Web und FTP über diverse Administrations- und Monitoring-Protokolle bis hin zur E-Mail.
Die Architektur eines Stacks dieser Art lässt sich als eine Art Turm-Konstruktion aus fortlaufend nummerierten Protokoll-Schichten verstehen. Dabei nutzt jede Schicht für ihre Zwecke die jeweils darunter angeordnete Schicht, die sie über einen zugeordneten Service-Access-Point kontaktiert. Während einer Kommunikation – also einer Datenübertragung – werden die gestapelten Protokolle eins nach dem anderen verarbeitet. Beim Senden addiert jedes der Protokolle eigene Steuerungsinformationen hinzu, so dass am Ende jedes Stück Information die Header-Informationen der jeweils höheren Schichten trägt.
Schwachstellen wurden seit 1996 nicht gefunden
Spricht man vom Nichestack, hat man es mit einer speziellen Implementierung dieser an sich typischen Protokoll-Architektur zu tun, die von einem Hersteller namens ‚Interniche‘ 1996 entwickelt und 2006 um IPv6-Fähigkeiten erweitert wurde. Das Produkt existiert nebenbei auch in Form von OEM-Versionen, darunter: Stmicroelectronics, Freescale (NXP), Altera (Intel) und Microchip.
Was die Verbreitung betrifft, so findet sich der Nichestack in einer Vielzahl von OT-Geräten weltweit. Unter anderem steckt er in speicherprogammierbaren Steuerungen (SPS) des Typs Siemens S7 und damit in allen Produkten, die damit ausgestattet auf den Markt kommen.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/61/de/61debdcf4e217/cover-wp3-ls-siemens.png "Cover WP3 LS Siemens")
Die Sicherheitsforscher fanden NicheStack in den Produkten von etwa 200 Anbietern für Industrieprodukte, eine Recherche über die Suchmaschine ‚Shodan‘ ergab einen Einsatz in 6400 Geräteinstanzen.
Wie oben erwähnt, wird der untersuchte Stack seit 1996 eingesetzt und wurde 2006 noch einmal gründlich aufgebohrt. Wie kann es sein, dass die Schwachstellen dabei nicht entdeckt wurden? Um dies zu beantworten, lohnt sich ein Blick auf die Funktionsweise des speziellen Marktes, um den es hier geht. Auch, um ähnliche Fälle in Zukunft zu vermeiden.
Altlasten und das Fehlen von Security-by-Design
Produktionsanlagen können millionenschwere, komplexe Gebilde von Herstellern sein, die bereits aktiv waren, als die moderne Computertechnik noch in den Kinderschuhen steckte. Laufzeiten von 40 und mehr Jahren sind für einzelne Anlagen keine Seltenheit. Akquiriert werden sie deshalb über Ausschreibungen, die vor allem den Return-on-Invest (RoI) über einen sehr langen Zeitraum im Blick haben und verlangen, dass die Anlagen dabei zuverlässig und standfest laufen.
Cybersecurity ist bei den Anforderungen an die entsprechenden Produkte erst seit kurzem im Spiel. Und sie hat es bei bestem Willen zur hoch digitalisierten Produktion immer noch schwer, sich als Kriterium bei Kaufentscheidungen durchzusetzen – und erst recht als Ausschlusskriterium. Dort, wo ein Unternehmen das Thema ernst nimmt, fehlt es oft an Personal und/oder Know-how, die richtigen Anforderungen überhaupt in Ausschreibungen und Verträge aufzunehmen.
:quality(80)/p7i.vogel.de/wcms/44/41/44417aebb99b70f94a3f1a0b63ebb05c/98136924.jpeg "Laut einer Untersuchung von IBM haben sich die Hacker-Angriffe auf zentrale Industriezweige allein im Jahr 2020 verdoppelt, die Absicherung von IoT-Umgebungen ist dennoch oft unzureichend. (Bild: gemeinfrei)")
Cyber-Security
3 Tipps zur umfassenden Absicherung von IoT-Umgebungen
Das wiederum wissen die Anbieter. Manche von ihnen geben deshalb auch heute kaum Auskunft über die Prinzipien oder Best Practices, nach denen bei ihnen Software entwickelt wird. Das ist auch nicht verwunderlich, wenn die ersten Module eines Programms womöglich auf 20 Jahre altem Legacy-Code basieren. Darüber, ob man die Software oder die Hardware, auf der sie sich befindet, irgendwelchen Penetration-Tests aussetzt, schweigt man sich anbieterseitig zuweilen aus. Und eventuelle ISO-2700x- oder sonstige Zertifizierungen decken vom Scope her nicht immer die Entwicklungsabteilungen für die Programme ab.
Die Folge: Unternehmen kaufen Systeme, über deren Cyber-Sicherheit es nicht genau Bescheid weiß – mit der Folge, dass es auch gegenüber seinen eigenen Endkunden nicht vollständig auskunftsfähig über die Sicherheit der eignen Produktion sein kann. Was als Möglichkeit bleibt, ist: Testen.
Wie die Schwachstellen gefunden wurden
Das Security-Team von Jfrog hat zwei Versionen von Nichestack analysiert: Ein binäres Sample der Version 4.0.1 (öffentlich zugänglich über die alte Interniche-Website) und den Quellcode der Version 3 (öffentlich zugänglich über eine Website, die die Quelldateien für ein eingebettetes Projekt enthält). Die binäre Version wurde manuell und automatisch von Jfrog analysiert, wobei sowohl statische als auch dynamische proprietäre Techniken zum Einsatz kamen.
Die Sicherheitsforscher empfehlen ein Upgrade auf Nichestack v4.3. Das Dumme ist, dass Upgrades von Software-Modulen in zugelieferten IoT-Geräten nicht immer möglich sind und manchmal sogar entweder vom Hersteller oder von Produktionsteams aus Angst vor Ausfallzeiten abgelehnt werden. Hier finden Sie die Detail-Ergebnisse der Untersuchung.
Im Zweifelsfall gibt es deshalb folgende Möglichkeiten:
- 1. Discovery: Forescout-Research-Labs bietet ein Script an, welches dabei hilft, Geräte mit implementiertem Nichestack zu erkennen. Das Skript wird ständig mit neuen Signaturen aktualisiert, um den neuesten Entwicklungen folgen zu können.
- 2. Segmentierung: Sie sollten verwundbare Systeme vom Rest Ihres Netzwerks trennen und isolieren, bis sie gepatcht werden können – sofern dies überhaupt möglich ist. Entschärfen Sie, wie bereits angedeutet, die Schwachstellen gemäß der Liste in der Analyse: Was immer Sie nicht benötigen, sollte deaktiviert werden.
- 3. Remediation: Haben Sie ein Auge darauf, ob die Gerätehersteller Patches herausgeben, und erstellen Sie gegebenenfalls einen Ad-Hoc-Businesss-Continuity-Plan, wenn die Schwachstellen Sie nachgewiesenermaßen hart treffen. ‚HCC Embedded‘ – das Unternehmen, das Interniche übernommen hat – veröffentlicht Patches, die auf Anfrage erhältlich sind.
- 4. Detektion: Sofern Sie über die entsprechende Monitoring-Technik verfügen, halten Sie Ausschau nach bösartigem Netzwerkverkehr, der auf eine potenzielle Ausnutzung der Sicherheitslücken hindeutet.
:quality(80)/p7i.vogel.de/wcms/de/62/de6223d1ff17b2e0bad8ca9fa72123f2/0100185483.jpeg "Beim Zusammenwachsen von IT und OT sollte es weniger um Verschmelzung gehen, sondern vielmehr um die geregelte Konnektivität und Sicherheit. (Bild: gemeinfrei // Pixabay)")
IoT-Security
Zero Trust für IT- und OT-Infrastrukturen
Fazit
Die Frage bleibt, wie mit den Forschungsergebnissen umzugehen ist – und zwar einerseits dann, wenn man selbst mit einem betroffenen System arbeitet, und andererseits dann, wenn man auf längere Sicht eine bessere Transparenz erzielen will, was die Sicherheit der zugekauften IoT-Geräte betrifft. Die Verantwortlichen aus IT und OT sollten nun erst einmal prüfen, ob die entsprechenden Protokolle und Funktionen bei ihnen aktiv sind und benötigt werden. Wenn nicht, sollten sie deaktiviert oder per vorgelagerter Firewall blockiert sein. Langfristig gilt es, eine bessere Zusammenarbeit zwischen den Herstellern von OT-Equipment und den Unternehmen in Angriff zu nehmen. Anwender arbeiten daran, Security-Anforderungen in Ausschreibungen und Vertragsunterlagen zu integrieren. Die Anbieter werden sich dieser Entwicklung nicht ewig entgegenstellen können.
Zusätzlich lohnt es sich, auf der Anwenderseite alle Möglichkeiten zu nutzen, mehr über die Sicherheitslevel von zugekauften (I)IoT-Geräten zu erfahren. Beide Seiten sollten auf Augenhöhe über Risiken und Schwachstellen reden und Workarounds oder idealerweise Lösungen finden.
* Harry Zorn arbeitet als Vice President Strategic Sales bei Jfrog.
(ID:47935272)
:quality(80)/images.vogel.de/vogelonline/bdb/1948300/1948330/original.jpg "Mit nur wenigen Schritten könnten Hacker die volle Kontrolle über die IoT-Kamera bekommen. (Maksim Kabakou – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947103/original.jpg "Geräte und Maschinen wie Gabelstabler können sich über IoT-Services monetarisieren lassen. (gemeinfrei)")