Die Anlage ließ sich nicht mehr steuern. Die Ingenieure des Stahlwerkes hatten keine Kontrolle mehr. Die Temperatur war nicht zu senken, der Hochofen konnte nicht reguliert heruntergefahren werden. Am Ende wurde die Anlage massiv beschädigt. Was nach einem konstruierten Fall klingt, ist ein realer gezielter Cyber-Angriff auf ein Stahlwerk in Deutschland, den das BSI in seinem \’Bericht zur Lage der IT-Sicherheit 2014\‘ auflistet. Über die Methode der Hacker halten die Forscher Folgendes fest: \“Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten die Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor.\“ Das Know-how der Angreifer, so heißt es weiter, sei ausgeprägt gewesen – nicht nur über IT-Sicherheit, sondern auch über die eingesetzten Industriesteuerungen und Produktionsprozesse.
Stromversorgung gefährdet
Was Hacker mit bösen Absichten alles bewerkstelligen können, das hat vor Kurzem auch der Angriff auf den französischen Sender TV5Monde aufgezeigt. Nur eine Fernsehstation, könnte man meinen. Doch Attacken auf Unternehmen, Behörden, Institutionen, auf Industrieanlagen und ebenso auf Einrichtungen der kritischen Infrastruktur gibt es in unterschiedlicher Form und Ausprägung praktisch jeden Tag, wenn sie auch meist nicht öffentlich bekannt werden. Ziele sind ebenso Kraftwerke: Die besonders für Produktionsbetriebe so wichtige und vor allem stabile Stromversorgung ist damit gefährdet. Böse, aber realistische Zungen behaupten, dass Europas Stromnetze ein ordentliches Blackout in absehbarer Zeit auch ohne Hilfe von Cyber-Kriegern zuwege bringen – Stichwort Energiewandel. Ein Schutz der gesamten IT-Infrastruktur bis hinein in die sensiblen Produktionssteuerungen ist deshalb im Sinne der Risikominimierung ein notwendiger Aufwand.
Totale Vernetzung
Die Fabrik der Zukunft, auch Industrie 4.0 genannt, ist bereits im realen Aufbau. Die intelligente Produktion erfordert, dass über eine Vielzahl an Sensoren – angebracht bis zur hintersten, öligsten Maschine im Produktionsprozess – eine Unmenge an Daten erhoben wird. Die Kommunikation der Maschinen untereinander wie mit den menschlichen Verantwortlichen läuft meist über das Internet – Externer Zugriff zur Fernwartung inklusive. Die technologische Durchdringung und Vernetzung aller physischen Systeme und deren Anbindung an das Netz ist praktisch allgegenwärtig. Was so ein Mehr an Kontrolle, Weiterentwicklung und Wertschöpfung bringt, vervielfacht auf der anderen Seite die Angriffspunkte für ungebetene Gäste. Zugriffskontrollen, Security Monitoring, Firewalls: All das muss sich somit über den gesamten, bisher vielleicht autarken, Produktionsbereich erstrecken. Ein modernes Security-Information- and Event-Management (SIEM), wie es längst im Bürobereich eingesetzt wird, samt Disaster-Recovery, kombiniert mit entsprechenden Alarmierungssystemen und gepaart mit aktuell gehaltenen Notfallplänen inklusive regelmäßiger Disaster-Tests unter realen Bedingungen, ist dafür notwendig.
Strom weg, Daten futsch?
Fällt der Strom aus, egal ob durch Hacker, überlastete Stromnetze oder Naturkatastrophen ausgelöst, und fahren damit alle Server, Systeme, Applikationen völlig planlos irgendwie herunter, ist das Chaos perfekt. Ein geregeltes, geordnetes Herunterfahren der IT, gesteuert nach bestimmten Prioritäten, die Wichtiges von Unwichtigem trennt, ist entscheidend. Gleiches gilt umgekehrt: Ist der Strom wieder da, muss das System geordnet hochfahren. Mitunter muss es zunächst davon abgehalten werden, sich wieder zu aktivieren: Gibt es mehrere Stromausfälle kurz hintereinander, wäre ein zwischenzeitliches Hochfahren vermutlich fatal. Das alles lässt sich nicht einfach von Hand bewerkstelligen. Im Notfall, bei einem längerem Stromausfall und womöglich einer zu kurzen USV-Dauer, werden sich selbst die besten IT-Verantwortlichen schwer tun, einen Shutdown für hunderte Server manuell zu steuern. Das funktioniert nur mit einem zentralen Power-Management, einer Software-Applikation also, die physikalische Kontakte und Sensoren ebenso gut im Griff hat wie die USV-Geräte und virtuellen Anwendungen. Ein logikbasierter Failover-Ablauf ist dabei zentraler Bestandteil. Die Anwendung selbst muss natürlich entsprechend abgesichert sein: Sie ist die letzte, die herunter- und die erste, die wieder hochfährt. Um Abhängigkeiten unterschiedlicher Server-Systeme zueinander berücksichtigen zu können, braucht es ein ausgeklügeltes Shutdown-Procedere. Eine instabile Stromversorgung erfordert in einem Betrieb etwa den Einsatz der USV-Anlage. Nach einigen Stunden muss alles heruntergefahren werden. Ist die Stromversorgung wieder kontinuierlich verfügbar, sollen die IT-Systeme automatisch in der umgekehrten Reihenfolge des Shutdowns hochgefahren werden.
Typische Mängel
Das BSI, das selbst Penetrationstests bei Behörden durchführt, listet in seinem aktuellen Online-Bericht eine Reihe typischer Sicherheitsmängel auf. Etwa, dass Patch-Stände von Betriebssystemen und Applikationen veraltet und verfügbare Sicherheitsmechanismen deaktiviert sind. Maßnahmen zu Netzwerk-Management und -überwachung sind entweder gar nicht oder nur als Insellösungen vorhanden. Log-Daten werden lediglich lokal auf den Komponenten selbst vorgehalten und nur anlassbezogen manuell ausgewertet. Oft sei die Verantwortlichkeit für die IT-Sicherheit im Unternehmen nicht klar geregelt. Vom Faktor Mensch ganz zu schweigen: Social Engineering, bei dem menschliche Eigenschaften wie Hilfsbereitschaft, Neugier, Vertrauen oder Angst ausgenutzt werden, ist oft der erste Schritt, um an Zugangsdaten zu gelangen. Die BSI-Experten stellen fest, dass im Zuge der Entwicklung zu Industrie 4.0 IT-Komponenten immer stärker Einzug in die Produktionsnetze halten. Viele dieser Systeme seien jedoch nicht in Hinblick auf mögliche Angriffe konzipiert.
Honeypot lockt Angreifer
Ein Log-Archivierungssystem und ein gutes SIEM in Echtzeit ermöglichen generell eine laufende automatische Auswertung und Analyse aller Log-Dateien im IT-Netz. Mit zusätzlichen Applikationen lässt sich das gesamte Netzwerk auf Schwachstellen hin scannen. Ergebnisse werden an das zentrale Log-Management geschickt, das entsprechende sicherheitsrelevante Alarme auslöst. Unabhängig vom periodischen Scan ermöglicht eine solche App ebenfalls einen Alarm an den Administrator, wird etwas (unbefugt) am File-System geändert. Mit weiteren Features, wie beispielsweise dem sogenannten Honeypot, lassen sich auch aktiv und frühzeitig Virenausbrüche, Trojaner und Bot-Systeme erkennen sowie Angreifer gezielt von den Produktivsystemen wegleiten. Alle Komponenten zusammen ergeben eine Hochsicherheitsplattform, die eine hohe Ausfallssicherheit der gesamten IT-Struktur gewährleistet. Ein solches geregeltes, integratives Shutdown-Konzept bietet zudem die Möglichkeit, ein Shutdown-Procedere von der Zentrale aus in den jeweiligen, mitunter in weit entfernten Ländern gelegenen Außenstellen und deren lokalen Servern zu steuern – Mit autark arbeitenden Anwendungen, die zentral konfiguriert und periodisch synchronisiert werden. Für den generellen Überblick werden die jeweiligen Logs an die Zentrale übermittelt. Das BSI berichtet zudem, dass in Unternehmen Sicherheitskonzepte oft unvollständig und inkonsistent seien. Betriebe verfügen zwar u.a. über umfangreiche Disaster-Recovery-Systeme, die vom Diesel-Notstromaggregat bis zum gespiegelten Rechenzentrum alles bieten. Doch richtige und vor allem regelmäßige Desaster-Tests unter möglichst realen Bedingungen werden nicht durchgeführt.
Blackout
In seinem Thriller \’Blackout\‘ beschreibt Bestseller-Autor Marc Elsberg fast wie in einem Fachbuch, wie es, ausgelöst durch Terroristen, zu einem europaweiten völligen Stromausfall über Wochen kommt. Unrealistisch? Liest man im BSI-Bericht über reale Vorfälle, eher nicht. Nur mit hohem Aufwand konnte im Vorjahr die Stabilität des Stromnetzes in Österreich und Deutschland aufrechterhalten werden. Ausgelöst vermutlich durch einen Steuerungsbefehl beim Start eines Gaskraftwerkes in Süddeutschland, wurden in der Steuerung verschiedener österreichischer Leittechniknetzwerken Anomalien im Datenstrom festgestellt. Diese verursachten bei Verteilnetz- und Kraftwerksbetreibern Einschränkungen sowie vereinzelte Ausfälle in der Datenübertragung. Wegen der nicht spezifizierten Verarbeitung dieser Nachricht in Netzwerk-Komponenten wurde der Befehl in einer Endlosschleife versendet. Diese löste erhebliche Störungen der Leittechnik für die Netzsteuerung aus. Urheber des Vorfalles: unbekannt.
