Das ICS-Computer Emergency Response Team (ICS-CERT) der US-Regierung gibt Warnungen hinsichtlich bekannter Sicherheitslücken in Industrieprodukten heraus. In dem Jahrzehnt vor der Entdeckung von Stuxnet veröffentlichte ICS-CERT fünf Sicherheitswarnungen, die drei Hersteller betrafen. 2011 wurden 215 Sicherheitslücken publik gemacht und es gab 104 Sicherheitswarnungen, von denen 39 Hersteller betroffen waren. Bis Ende 2012 wurden 569 Scada/ICS-Sicherheitslücken aufgedeckt. Diese Besorgnis erregende Tendenz wurde von Kevin Hemsley von ICS-CERT bestätigt: \“2011 erlebte ICS-CERT einen Anstieg der bekannt gewordenen Sicherheitslücken in ICS-Produkten (Industrial Control System) um 753%. Die koordinierte Aufdeckung solcher Lücken nimmt rasch zu, aber ebenso die Zahl der unerwarteten oder vollständigen Offenlegungen. Insgesamt nimmt die Geschwindigkeit, in der ICS-Sicherheitslücken aufgedeckt werden, dramatisch zu.\“ Der Umgang mit diesen Schwachstellen ist eine wichtige Frage.
Tretmühle: Patches für Industriesicherheit
In der IT-Welt werden Sicherheitslücken durch regelmäßige Softwarepatches behoben – typische Computer benötigen mindestens einmal pro Woche neue Sicherheitsupdates, die immer mit einem Neustart des Systems verbunden sind. Für die Nutzer von Steuerungssystemen sind so häufige Produktionsstillstände wohl kaum tolerierbar. Was aber, wenn der Patchzyklus verlängert und z.B. mit den jährlich anfallenden Wartungsaktivitäten verknüpft würde? 2008 war ich an der Analyse eines Prozesssteuerungsnetzwerks (PCN) einer Raffinerie beteiligt, zu dem 85 Rechner gehören. Wir konnten nur die Daten für 78 sammeln, stellten aber fest, dass insgesamt 272 separate Prozesse im Einsatz waren. Eine Recherche in der National Vulnerability Database (NVD) ergab, dass 48 dieser Prozesse eine oder mehrere schwerwiegende Sicherheitslücken aufwiesen. Über das gesamte Steuerungsnetzwerk der Raffinerie hinweg gab es 5.455 bekannte Sicherheitslücken, also durchschnittlich 70 pro Maschine.
Probleme beim Patchen
Eine Untersuchung von Patches für bereits freigegebene Betriebssystemsoftware deckte auf, dass zwischen 14,8 und 24,4% der Korrekturen fehlerhaft waren und negative Folgen für den Endbenutzer hatten. Davon führten 43% zu Abstürzen, Hängern, Datenverfälschungen oder Sicherheitsproblemen. Darüber hinaus behoben die Patches nicht immer die Sicherheitslücken, für die sie gedacht waren. 2011 stellte ICS-CERT fest, dass 60% der Patches die bekannten Sicherheitslücken in Steuerungssystemen nicht beheben konnten. Die meisten Patches erfordern eine Unterbrechung des Produktionsprozesses, aber einige beenden sogar die Funktionen, die für das Gesamtsystem unverzichtbar sind. So war z.B. eine Sicherheitslücke, die der Stuxnet-Wurm nutzte, ein festverdrahtetes Passwort in der WinCC SQL-Datenbank von Siemens. Das Unternehmen wurde dafür kritisiert, dass es nicht schnell genug ein Patch veröffentlichte, mit dem das Passwort entfernt werden konnte. Kunden, die das Passwort manuell änderten, fanden heraus, dass systemkritische Funktionen von diesem Passwort abhängig waren. Diese Lösung machte also alles noch schlimmer!
Wenn es keine Patches gibt
Nach Aussage von McBride7 wurden seit Januar 2012 für weniger als die Hälfte der bei ICS-CERT bekannten Sicherheitslücken Patches angeboten. Es gibt viele Faktoren, die einer schnellen Bereitstellung von Patches entgegenstehen. So berichtete mir ein großer ICS-Anbieter von Sicherheitslücken in einem embedded Betriebssystem, auf die man beim Test eines Produkts stieß. Dieses System war ein Third Party-Produkt, dessen Hersteller sich weigerte, die Schwachstellen zu beheben. Hier standen der ICS-Anbieter und seine Kunden vor einer Situation, in der Patchen nicht möglich war.
Viele entscheiden sich gegen das Patchen
Mein letztes Beispiel unterstreicht eines der Kernprobleme: Viele Kunden wollen nicht riskieren, die Systemverfügbarkeit zu verschlechtern und Ausfallzeiten zu erhöhen. Meine eigenen Erfahrungen bestätigen dies. Im September 2010 gaben wir das Tofino Industrial Security-System v1.6 frei. Dieses Upgrade war zur Behebung einiger sicherheits- und leistungsrelevanter Probleme gedacht. Es wurde allen registrierten Nutzern kostenfrei angeboten, sofern es innerhalb von 30 Tagen heruntergeladen wurde. Anfangs war die Akzeptanz sehr niedrig. Deshalb verlängerten wir das Angebot um weitere 30 Tage. Nach zwei Monaten hatten nur 30% der Anwender das kostenlose Upgrade heruntergeladen.
Patchen kann funktionieren
Um es ganz deutlich zu sagen: Das Patchen von Fehlern ist ein wichtiger Prozess für alle Steuerungssysteme, aber eine Strategie wie in der IT, die ein reaktives, kontinuierliches und somit häufiges Patchen vorsieht, wird für Scada/ICS-Systeme nicht funktionieren. Eine erfolgreiche Patch-Planung muss vielmehr Prozesse für Tests und entsprechende Change-Management-Mechanismen vorsehen. Für ein ausgewogenes Verhältnis zwischen Systemzuverlässigkeit und Systemsicherheit sind eine sorgfältige strategische Planung und eine entsprechende Umsetzung notwendig.
Nutzen von Ersatzmaßnahmen
In der Telekommunikationsindustrie werden häufig Ersatzmaßnahmen genutzt, um das Patchen zu verschieben, damit eine entsprechende Planung möglich wird. Nur wenige Scada/ICS-Anbieter haben dies angeboten, aber es gibt viele Möglichkeiten. Beispiele dafür sind:
- Umkonfigurierung des Produktes (z.B. \’HTTP-Port deaktivieren\‘)
- Zusätzliche Firewall-Regeln (z.B.\’HTTP-Verkehr generell blockieren\‘)
- Umfangreichere IDS-Regeln/Signaturen (z.B. Installieren von Signaturen für Logins mit Default-Passwort)
Diese Maßnahmen sollen einen potenziell gefährlichen Datenverkehr zum Gerät verhindern.
Diese Strategie hat erhebliche Vorteile:
1. Solche Ersatzmaßnahmen lassen sich unabhängig von der Produktentwicklung durchführen und verursachen in der Regel weniger Quality Assurance-Aufwand. So kann schneller auf die Sicherheitsanforderungen der Kunden reagiert werden.
2. Da die Ersatzmaßnahmen unabhängig von der Produktfirmware sind, haben sie oft auch geringere Auswirkungen auf die Produktfunktionalität, und die Kunden sind daher eher bereit, sie einzusetzen.
3. Mit dieser Strategie lassen sich auch vorhandene Produkte unterstützen, die zu alt sind, als dass sich der Aufwand für ein komplett neues Firmware-Release rechtfertigen ließe.
Voraussetzungen für den Erfolg
Damit Ersatzmaßnahmen in der Fabrik funktionieren, müssen Sie folgende Bedingungen erfüllen:
1. Sie dürfen nur geringe Auswirkungen auf Prozesszuverlässigkeit und -sicherheit haben.
2. Sie müssen einfach zu implementieren sein.
Eine Reihe von SIS-Anbietern (Safety Integrated System) bieten fest konfigurierte Firewalls mit voreingestellten Protokoll- und Signaturregelsätzen, die Produkt- und Sicherheitsanforderungen gleichermaßen berücksichtigen. Ein Beispiel dafür, wie schnell Ersatzmaßnahmen zum Schutz gegen Sicherheitslücken eingesetzt werden können, stammt von Schneider Electric. Ende 2011 veröffentlichte der Sicherheitsexperte Ruben Santamarta Details zu mehreren Sicherheitslücken in Schneiders Modicon PLC-Produktlinie. Schneider verfügte über eine Fehlerkorrektur zu zwei der Sicherheitslücken, arbeitete aber noch an Patches für die übrigen. Um den Kunden helfen zu können, während die anderen Patches noch in der Entwicklung waren, erstellte Schneider den Leitfaden – \’Mitigation of the PLC Vulnerabilities Using a Tofino SA\‘ (Risikominderung bei PLC-Sicherheitslücken mittels Tofino SA). Dieser Leitfaden erläuterte, wie eine Hirschmann Tofino Industrie-Firewall eingesetzt werden kann, um schädlichen Datenverkehr herauszufiltern, bevor er den PLC erreicht. So konnte Schneider seinen Kunden einen Schutzmechanismus an die Hand geben, der sich unmittelbar einsetzen ließ, ohne dass Änderungen an den Automatisierungseinrichtungen oder Netzwerkkonfigurationen erforderlich waren.
Schlussbemerkungen
Das Patchen von Scada/ICS-Systemen kann funktionieren, wenn es eine entsprechende Change-Steuerung gibt, die mit vorhandenen Wartungsplänen koordiniert wird. Allerdings muss das Patchen mit einer Ersatzmaßnahmen-Strategie kombiniert werden. Alles in allem bieten diese Vorgehensweise eine flexiblere und weniger risikobehaftete Lösung für die Sicherheit von Steuerungssystemen.
www.beldensolutions.com