Viele Sicherheitspräsentationen haben seither begonnen mit dem Satz \’Alles änderte sich mit Stuxnet\‘. Drei Jahre nach Stuxnet lohnt es, einen genaueren Blick darauf zu werfen, ob und welche Konsequenzen die Stuxnet-Malware für die Industrie wirklich hatte. Stuxnet wirkte wie ein Scheinwerferkegel auf den Stand der industriellen Cyber Security: Die Malware hatte gezeigt, dass auch Automatisierungssysteme mit Angriffsmethoden aus der Internetwelt erfolgreich attackiert werden konnten. Nach dem Entdecken von Stuxnet begannen Sicherheitsexperten auf der ganzen Welt, gezielt nach Schwachstellen in Industriesoftware zu suchen, und die Schwachstellenmeldungen stiegen sprunghaft an. Hersteller von Industriekomponenten waren plötzlich gezwungen, sich mit Ihren sicherheitsrelevanten Softwareschwachstellen in einer Art und Weise auseinanderzusetzen und diese zu beheben, wie es bis dahin nur IT-Unternehmen wie beispielsweise Microsoft, Cisco oder Google tun mussten. Gleichzeitig mussten sie erst lernen, mit der Kultur der Hacker umzugehen, die aus einer völlig anderen Welt kamen und nicht nur bestehende Sicherheitsmaßnahmen in Frage stellten, sondern auch eine völlig andere Sprache verwendeten. Als Konsequenz dieser Aktivitäten auf Herstellerseite waren Systemintegratoren und Betreiber wiederum damit konfrontiert, ebenfalls nachziehen zu müssen. Hersteller begannen häufiger als bisher, Sicherheitsupdates und auch Firmware mit sicherheitskritischen Änderungen herauszugeben, die idealerweise einen zeitnahen Weg in die Anlagen finden sollten. Systemintegratoren und vor allem Betreiber mussten sich nun überlegen, wie viel Bedeutung sie einer kritischen Sicherheitsschwachstelle beimessen sollten, da das Einspielen eines Updates oder einer Firmware einerseits in Konflikt zu bestehenden Verfügbarkeitsanforderungen stand, andererseits bei einer Ausnutzung durch einen Angreifer potentiell zu einem Ausfall (\’Denial-of-Service\‘ genannt) führen konnte.
Unterschiedlichste Motive der Hacker
Die Motivation der Hacker, Schwachstellen in Industriekomponenten zu finden, war unterschiedlicher Natur: Direkt nach Stuxnet war vorwiegend die Motivation sichtbar, Schwachstellen aufzuzeigen um einen gemeinnützigen Beitrag zur Absicherung kritischer Infrastrukturen zu leisten. Danach bildete sich jedoch auch relativ schnell eine weitere Gruppe, die Schwachstellen in Komponenten bekannter Hersteller gezielt veröffentlichte, um Eigenmarketing ihrer Unternehmen zu betreiben. Die letzte Gruppe von Hackern schließlich hatte ausschließlich kommerzielles Interesse: Gefundene Schwachstellen wurden gegen Bezahlung an den Meistbietenden verkauft, ohne den Hersteller zu benachrichtigen. Das Thema industrielle Cybersecurity ist seither auch auf allen großen Sicherheitskonferenzen wie der \’Blackhat\‘ oder \’Defcon\‘-Konferenz fester Bestandteil geworden. Die Ausrichtung veränderte sich jedoch im Laufe der Zeit: Während es direkt nach Stuxnet im Wesentlichen darum ging, Schwachstellen einzelner Hersteller anzuprangern, werden im Jahr 2013 eher Methoden vorgestellt, um eingesetzte Technologien zu unterwandern oder echte, produktive Industrielösungen anzugreifen.
Professioneller Umgang mit Schwachstellen erforderlich
Die Hacker-Community hat nun begonnen, systematisch nach Automatisierungssystemen zu suchen, die über das Internet erreichbar sind. Diese Verletzung gängiger Sicherheitspraktiken der Abschirmung solcher Systeme durch Firewalls entsteht oft aus der Anforderung der Fernwartbarkeit oder schlichtweg durch Netzwerkfehlkonfigurationen des Betreibers oder Integrators. Angreifer verwenden Suchmaschinen wie ShodanHQ oder einfach Google um solche unsicher konfigurierten Systeme zu entdecken. Frei verfügbare Hilfsmittel der Geo-Lokationssuche verraten überdies noch den ungefähren Standort des Systems. Diese Entwicklungen haben ihren Ausgangspunkt mit Sicherheit in erheblichem Ausmaß in Stuxnet. Es gibt jedoch auch positive Entwicklungen zu vermerken: Automatisierungshersteller haben begonnen, professioneller mit Sicherheitsschwachstellen umzugehen. Siemens war nach Stuxnet mitunter sicher am stärksten dem prüfenden Blick von Hackern ausgesetzt. Aus den frühen Gehversuchen im Umgang mit Sicherheitsschwachstellen (Vulnerability Management) sind nun ein transparenter Prozess und eine dezidierte Organisationseinheit entstanden, die sich um den professionellen Umgang mit Sicherheitsschwachstellen in Siemens-Produkten kümmert.
Spärliches Sicherheitsdesign ist die Regel
Neben den eher reaktiven Sicherheitsthemen haben viele Hersteller, getrieben durch die kritischen Nachfragen ihrer Kunden, auch begonnen gängige Sicherheitspraktiken in ihre Entwicklungsprozesse zu integrieren und hier im Vergleich zur Internet- und Bürowelt aufzuholen. Einige davon haben sogar Sicherheitsfunktionen, -komponenten und Dienstleistungen als zusätzliches Verkaufsargument entdeckt, Stuxnet hat also insofern sogar etwas zur Verbesserung des Sicherheitsmarktes beigetragen. Ob durch Stuxnet die Cyber Security von Industrieanlagen gesteigert wurde, ist dennoch eher zu bezweifeln. Einerseits wurden Sicherheitslücken geschlossen und neue Schutzmethoden eingebracht, auf der anderen Seite haben Hacker durch Stuxnet die Welt der Industrieanlagen erst richtig entdeckt. Auf beiden Seiten ist die Awareness gestiegen. Die größte Herausforderung bleibt weiter bestehen: Auch wenn Hersteller begonnen haben, in neue Produkte Security von Grund auf zu integrieren, läuft zumindest im Jahr 2013 der größte Teil von Industrieanlagen mit bestehender Technologie und damit eher spärlichem Sicherheitsdesign. Es liegt also in der Verantwortung der Systemintegratoren und Anlagenbetreiber, die industrielle Cyber Security von bestehenden Anlagen zu verbessern, indem bei entsprechenden Wartungsfenstern auch Sicherheitsmechanismen nachgerüstet werden. Welche Maßnahmen hier am effektivsten für die jeweilige Anlage sind, sollte mit ausreichender Vorbereitung in einer Risiko- oder Schwachstellenanalyse gemeinsam mit Experten geklärt werden. Wird dies nicht durchgeführt, und die Anlage weiter vernetzt, steigt auch das Risiko eines Security-Vorfalls (Incident). Woran ein solcher zu erkennen ist und wie man damit umgehen sollte, wird Inhalt der nächsten Ausgabe sein.
