White Paper. Infrastruktur und Industrie im Kreuzfeuer. IT-Sicherheit in industriellen Netzen

Transkript

1 White Paper Infrastruktur und Industrie im Kreuzfeuer IT-Sicherheit in industriellen Netzen

2 Fortinet White Paper April 2014 Copyright 2014 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, and FortiGuard, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet s internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. Technical Documentation Knowledge Base Customer Service & Support Training Services FortiGuard docs.fortinet.com kb.fortinet.com support.fortinet.com training.fortinet.com fortiguard.com Seite 2

3 Inhaltsverzeichnis Einleitung...4 Konkrete Gefahrenmomente...5 Beispiele für Angriffsmöglichkeiten...6 Checkliste...7 Konkrete Schutzmaßnahmen...8 Vorgehensweise...9 Vorteile...10 Zusammenfassung...10 Glossar...11 Top 10 Bedrohungen nach BSI...11 Seite 3

4 Einleitung Stuxnet, Duqu, Flame: Die Meldungen über diese Cyber-Waffen haben die Öffentlichkeit im Juni 2010 erstmals konkret auf die Möglichkeit der Sabotage von Industrieanlagen durch Software und Hackerangriffe aufmerksam gemacht. Ziel der erfolgreichen Angriffe waren erwiesenermaßen Installationen von Projektierungs- und Visualisierungssoftware, beispielsweise in iranischen nukleartechnischen Anlagen. Das Bewusstsein für die Bedrohungslage für SCADA-Systeme ist also geweckt. Aber wie ist der Bedrohung konkret zu begegnen? SCADA-Systeme und -Netzwerke (SCADA = Supervisory Control and Data Acquisition) haben für Industrie- und Infrastrukturanlagen eine zentrale Bedeutung. Durch die Kommunikation mit ICS-Systemen (ICS = Industrial Control System) für den Betrieb und die Automatisierung industrieller Prozesse stellen sie Schlüsseldaten für die Überwachung und nötigenfalls Steuerung von Anlagen durch das zuständige Personal bereit. Diese Strukturen finden sich in vielen Bereichen industrieller Abläufe, von der Fertigungsindustrie über Logistik und Transport bis hin zur öffentlichen und privaten Energie- und Wasserversorgung. Aufgrund ihrer zentralen Bedeutung für die Wirtschaft und die Versorgung der Bevölkerung mit Waren, Dienstleistungen, Energie und sauberem Wasser wäre es fatal, hier keinen wirksamen Schutz vorzuhalten. Luft-Schnittstelle Seite 4

5 Konkrete Gefahrenmomente Unterstrichen wird diese Notwendigkeit durch dokumentierte Beispiele dafür, dass real Angriffe auf solche Systeme gefahren werden. Allein das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT, in den USA hat im Zeitraum Oktober 2012 bis Mai 2013 von rund 200 Einbruchsversuchen in SCADA/ICS-Systeme berichtet. Mehr als 50 Prozent davon entfielen auf Anlagen der Energieversorgung, rund 17 Prozent auf Hersteller und rund 10 Prozent auf Netzwerke von Telekommunikationsanbietern. Nicht nur der direkte Angriff auf ein ungeschütztes Steuersystem, beispielsweise von Pumpen, Pressen oder Produktionsanlagen, kann versorgungstechnisch, wirtschaftlich oder ökologisch zu katastrophalen Ereignissen führen. Forscher haben beispielsweise ein Tool entwickelt, das Passwörter in speicherprogrammierbaren Steuerungen knacken kann. Gelingen kann das zwar nur, wenn Zugang zum (ungeschützten) SCADA/ICS-Netzwerk besteht. Dann aber sind tief gehende, schwer zu entdeckende Eingriffe mit unabsehbaren Folgen kein Problem mehr. Bild 2: Angriffsmöglichkeiten in industriellen Netzen Seite 5

6 Übrigens: Man sollte bei Bedrohungen dieser Art nicht von Einzeltätern ausgehen, sondern von organisierter (Cyber-)Kriminalität: Es gibt durchaus spezielle Suchmaschinen, die Listen mit Begriffen zum Auffinden verwundbarer Systeme anbieten. Als prominentes Beispiel sei hier Shodan* Wer glaubt, dass die Sicherung des Unternehmensnetzwerks (Office Security) auch die Automatisierungs- und Produktionstechnologie schützen kann, ist leider im Irrtum. So bleiben die meisten SCADA/ICS-Systeme angreifbar. Die daraus erwachsenden Sicherheitsbedrohungen stellen für die betroffenen Unternehmen und ihre Entscheider ein reales Problem in Bezug auf wirtschaftliche Risiken, Imageverlust und Haftungsrisiken dar. Der Vergleich mit dem Risikopotenzial der mobilen Kommunikation ist durchaus berechtigt: Schließlich bewertet das Bundesamt für Sicherheit in der Informationstechnologie (BSI) die Gefährdungspotenziale bei Mobilkommunikation, SCADA, Schnittstellen und Speichermedien mit thumbs up also steigend! (siehe auch S. 11 Top 10 Bedrohungen für Industrial Control Systems gemäß BSI ) Beispiele für Angriffsmöglichkeiten Um die Brisanz des Themas noch einmal ganz konkret zu machen: Auf der DefCon**-Konferenz 2012 hat ein Teilnehmer (Dan Tentler) von Beispielen berichtet, was damals schon alles auf der Suchmaschine Shodan zu finden war. Dazu gehörten unter anderem eine Autowaschanlage, die sich ein- und ausschalten ließ, eine Eishockey-Spielfläche, die mit einem Klick in den Abtaumodus geschaltet werden konnte, das komplette Verkehrskontrollsystem einer Stadt, das sich in den Testmodus versetzen ließ. Das stellt nur einen kleinen Einblick in die Bandbreite von beeinflussbaren Systemen dar mit großer Wirkung: Am oberen Ende der Skala befinden sich aber nun mal auch Fertigungsstraßen, Chemie-Anlagen, Logistiksysteme, Wasserwerke und schlimmstenfalls die bereits erwähnten nukleartechnischen Anlagen. Seite 6

7 Wenn bislang Angriffe auf kritische Infrastrukturen und ihre Prozesssteuerungssysteme wegen ihrer vermeintlich geringen Wahrscheinlichkeit als Risiko akzeptiert wurden, gilt es nun, dieses Risiko neu zu bewerten. Die Tatsache, dass in der Öffentlichkeit wenig über konkrete Angriffe und möglicherweise verursachte Schäden bei Unternehmen bekannt wurde, darf nicht verwundern. Wer gibt so etwas schon gerne zu? Checkliste: Anforderungen an den Schutz von SCADA-Systemen Das Bewusstsein für die Bedrohungslage von SCADA Systemen muss im Unternehmen vorhanden sein. Bei Bedrohungen dieser Art sollte man nicht von Einzeltätern, sondern von organisierter (Cyber-)Kriminalität ausgehen. Das Bundesamt für Sicherheit in der Informationstechnologie bewertet die Gefährdungspotenziale bei Mobilkommunikation, SCADA, Schnittstellen und Speichermedien als steigend. Die Cyber Waffen, mit denen SCADA Systeme kompromittiert werden, zeichnen sich durch eine wachsende Komplexität sowie Kompetenz der Angreifer aus. Einzig akzeptabel ist ein in Echtzeit greifender, nicht aushebelbarer Schutz inklusive Intrusion Prevention. Wenn in Ihrem Unternehmen auch nur einer der hier genannten Punkte nicht im Blick ist, sollten Sie aktiv werden. Christian Vogt, Regional Director Deutschland und Niederlande bei Fortinet Deutschland***, sagt zur Bedeutung der Sicherung von SCADA-Systemen: Leider werden SCADA-Systeme trotz ihrer zentralen Rolle für die Beherrschung von Produktionssystemen jeder Art wenn überhaupt häufig nur mit Passwörtern geschützt, die unverschlüsselt zu den Fernsteuerungsterminals (Remote Terminal Unit, RTU) übertragen werden. Das öffnet selbst einfach gestrickter Malware Tür und Tor für den Abgriff dieser Sicherung. Die Cyber-Waffen, mit denen SCADA-Systeme heute kompromittiert werden, zeichnen sich durch eine wachsende Komplexität sowie Kompetenz der Angreifer aus. Einfaches Patch Management der internen Systeme oder die einstufige Zugangssteuerung und -protokollierung, wie eben beschrieben, reicht längst nicht mehr aus. Einzig akzeptabel ist hier ein in Echtzeit greifender, nicht aushebelbarer Schutz inklusive Intrusion Prevention. Seite 7

8 Konkrete Schutzmaßnahmen SCADA-Systeme sollten mithin nicht direkt über das Internet erreichbar sein, da die Suche nach solchen Systemen zugenommen hat. Außerdem sollten sie per Firewall geschützt und selbst vom Firmennetz isoliert werden. Auch der Fernzugriff in Zeiten von Mobility und BYOD selbst bei prozesskritischen Systemen durchaus nichts Ungewöhnliches sollte absolut nur über sichere Methoden wie VPN möglich sein. Es empfiehlt sich darüber hinaus, Sicherheits-Appliances einzusetzen, die den speziellen Security-Anforderungen von Steuerungs- und Überwachungsanlagen in der Industrie entsprechen. Um seinen Schutz gewährleisten zu können, müssen sämtliche Verbindungen des SCADA-Netzwerks zu anderen Netzen auf ihr Risikopotenzial im Hinblick auf Angriffe bewertet und mit Schutzmechanismen ausgestattet werden, die Angreifer ins Leere laufen lassen. Zu diesem Zweck sollten beispielsweise Netzwerk-Appliances von vornherein sorgfältig konfiguriert und auf keinen Fall mit den Werkseinstellungen betrieben werden, die weil in der Regel weitläufig bekannt leicht angreifbar und aushebelbar sind. Geschäftliche Anforderung Vermeidung von wirtschaftlichen Risiken, Imageverlust und Haftungsrisiken für Unternehmen und Entscheider Absicherung von Produktionsüberwachungsund Steuerungssystemen gegen Manipulation und unbefugten Zugriff Nachweis der Sicherheit und Zuverlässigkeit der eigenen Produktion gegenüber Geschäfts- und Finanzpartnern Sicherung der Qualität und Kontinuität der Produktionsprozesse Lösung Einbindung von Security-Experten für Sicherheit in Produktionsnetzwerken Einsatz von SCADA Security Appliances, die den speziellen Anforderungen an den Schutz von Steuerungs- und Überwachungsanlagen in der Industrie entsprechen Implementierung und Dokumentation von geeigneten und mehrschichtigen Sicherheitssystemen in Unternehmens- und Produktionsnetzwerke Strategische Planung für Updates und ein konsolidiertes Security-System mit stark integrierten Erkennungsmechanismen Proaktiv sollte zum Beispiel durch einen versierten und objektiven IT- Partner das SCADA-System auch auf Schwachstellen getestet werden, um diese sofort ausmerzen zu können. Seite 8

9 Rechtliche Grundlage (Auszug aus dem Sicherheitskatalog gem. 11 Abs. 1a EnWG der Bundesnetzagentur) 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) enthält den Auftrag an die Bundesnetzagentur, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen zu erstellen zum Schutz gegen Bedrohungen für Telekommunikationsund elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Mit dieser im Rahmen der EnWG-Novelle 2011 neu eingefügten Vorschrift wird die Pflicht zum Betrieb eines sicheren Energieversorgungsnetzes nach 11 Abs. 1 EnWG konkretisiert. Unter Sicherheit wird in Anlehnung an den in 1 Absatz 1 EnWG definierten Gesetzeszweck einerseits die technische Anlagensicherheit verstanden, andererseits und vor allem aber auch die allgemeine Versorgungssicherheit. Vor dem Hintergrund einer immer stärkeren Durchdringung der Steuerung von Energieversorgungsnetzen mit Informations- und Kom-munikationstechnologie und der damit zunehmenden Bedeutung von IT-Sicherheit umfasst das Ziel der Sicherheit nach dem Willen des Gesetzgebers daher nun auch den angemesse-nen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbei-tungssysteme, die der Netzsteuerung dienen. Vorgehensweise Mögliche und wichtige Maßnahmen zum Erhöhen des Schutzlevels sind beispielsweise das Patchen von Betriebssystemen, Anwendungen und SCADA-Komponenten, die Überwachung der Kommunikation zwischen Anwendungen im SCADA-Netz mit anderen Netzen, die Überwachung der Interaktion von Menschen mit SCADA-Netz und -System, die genaue Überwachung aller Netzwerke und Reaktion auf Virenbefall und Angriffe in Echtzeit. Nun können SCADA-Systeme aufgrund ihrer Bedeutung für den Betrieb für einen Patch nicht mal eben angehalten werden. Hier hilft eine mehrstufige Verteidigungsstrategie nach dem Prinzip Wall und Graben. Dabei wird mithilfe spezieller SCADA-Sicherheits-Appliances für jeden Layer also auf RTU- und Netzwerk-Level eine eigene Sicherheitsstufe eingerichtet. Das erfordert ein konsolidiertes Security-System mit stark integrierten Erkennungsmechanismen einschließlich anwendungsspezifischer Firewalls, die für jede Verbindung nur explizit erlaubte Datenpakete akzeptieren, Virus-Erkennung mit automatischen Updates und Signaturdatenbank inklusive bereits bekannter SCADA-Gefährdungen (Exploits), Anwendungssteuerung, Webfilter, Virtual Private Network (VPN), DDoS- und DoS-Abwehr, Seite 9

10 Datenbankschutz, Schutz von Webanwendungen. Eine weitere gute Quelle für Handlungsempfehlungen ist das Whitepaer des Bundesverband der Energie- und Wasserwirtschaft e.v. (BDEW) Anforderungen an sichere Steuerungs- und Telekommunkationssysteme - Ausführungshinweise zur Anwendung. Vorteile Die geschäftlichen Vorteile des SCADA-Schutzes mithilfe der gebotenen Sorgfalt in Sachen Netzwerkbetrieb und einer SCADA-Security-Appliance liegen auf der Hand: Produktionssteuerungssysteme, die nicht von außen kompromittier- und manipulierbar sind, sorgen zum Beispiel für Kontinuität im Geschäft, ein positives Image bei Geschäftspartnern und Kunden sowie nicht ganz unwichtig gute Voraussetzungen dafür, sich bei der Beschaffung von Kapital ein gutes Rating der angefragten Finanzierungspartner mit allen dazugehörenden Vorteilen zu sichern. Zusammenfassung Es ist offensichtlich, dass im Umfeld industrieller Netzwerke durch die rasante Entwicklung IP-basierender Dienste und der Integration dieser Infrastruktur in die klassischen Unternehmensnetze Handlungsbedraf in puncto Sicherheit besteht. Die hier angeführten Gründe und Handlungsempfehlungen sollen Denkanstöße liefern, um die eigenen Sicherheitsvorkehrungen kritisch zu hinterfragen. Die genannten Quellen ebenso wie dier Herausgeber dieses Whitepapers können dabei eine Hilfe sein. Seite 10

11 Glossar Supervisory Control and Data Acquisition (SCADA) Computersystem zur Überwachung und Steuerung technischer Prozesse Industrial Control System (ICS) Automatisierungs-, Prozesssteuerungs- und Prozessleitsysteme in Fabriken, Verkehrsleitsystemen und Versorgungsunternehmen Cyber-Kriminalität Straftaten, die im Internet passieren bzw. mithilfe der Techniken des Internets geschehen Haftungsrisiken IT-Compliance, also die Einhaltung von Vereinbarungen, Regeln und Gesetzen im Kontext der Unternehmens-IT, sind nicht nur als Verpflichtung juristischer Personen zu verstehen. Auch Geschäftsführer, Unternehmer oder Mitarbeiter mit Leitungsaufgaben stehen im Rahmen ihrer Sorgfaltspflicht persönlich für die Umsetzung von Integrität, Authentizität, Sicherheit und Verfügbarkeit aller geschäftsrelevanten und schutzbedürftigen Daten ein nötigenfalls auch mit ihrem Privatvermögen. Bundesamt für Sicherheit in der Informationstechnologie (BSI) das BSI ist eine unabhängige und neutrale Behörde für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Mit dem ICS Security Kompendium hat das BSI ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen (ICS) veröffentlicht. Shodan Shodan ist eine Suchmaschine im Internet, entdeckt scheinbar verborgene Geräte mit Internetanschluss und indiziert hierbei eine Anzahl von über 500 Millionen Treffern (Stand 4/2013). Remote Terminal Unit (RTU) ein regel- bzw. steuerungstechnisches Instrument zur Fernsteuerung Distributed Denial of Service (DDoS) durch Distributed Denial of Service können Netzwerkverbindungen sowie benötigte IT-Ressourcen beeinträchtigt und Systeme wie ICS zum Absturz gebracht werden. DDoS ist ein Angriff auf eine IT-Ressource mit dem Ziel, die Verfügbarkeit zu beeinträchtigen. Der Angriff erfolgt von vielen verteilten Computern über das Internet. Virtual Private Network (VPN) VPN verbinden Teilnehmer eines privaten, in sich geschlossenen Netzes mit einem anderen privaten Netz auf einer öffentlich zugänglichen Infrastruktur, z. B. dem Internet. Nur die über das VPN verbundenen Teilnehmer können dabei Informationen austauschen. Appliance in der IT ein kombiniertes, für spezielle Zwecke entwickeltes System aus Hardware und speziell für diese Hardware entwickelter Software Seite 11

12 Über Fortinet Fortinet wurde im Jahr 2000 gegründet und betreut heute mit ca Mitarbeitern und ca Vertriebspartnern weltweit über Kunden. Fortinet entwickelt u.a. Next Generation Firewall Systeme für Unternehmen aller Größenordnungen und kann sich seit vielen Jahren als Nr. 1 im UTM-Security-Markt bezeichnen (Quelle: IDC). Die Lösungen beinhalten Sicherheits-Module wie Firewall, VPN, Antivirus inkl. Sandboxing, Intrusion Prevention, URL-Filter, WLAN- und Switch-Controller, BYOD-Support, Applikationskontrolle, Client-Reputation, Bandbreitenmanagement, Data Loss Prevention, WAN-Optimierung, Anti-Spam uvm. Speziell entwickelte Chipsets (ASICs) beschleunigen gezielt einzelne Prozesse und garantieren so Security in Echtzeit. Überdies bietet Fortinet auch -Security-Lösungen, Web Application Firewalling, zentrale 2-Faktor-Authentifizierung, Endpoint-Security, zentrales Management und Reporting, hochsichere WLAN- Umgebungen, High-Performance Abwehr von DDoS-Angriffen, Schutz von unternehmenseigenen DNS-Servern, Datenbanksicherheit,, Schwachstellen-Management uvm. Zentrale Fortinet Incorporated 1090 Kifer Road, Sunnyvale, CA Tel Fax Niederlassung Deutschland Fortinet GmbH Wöhlerstr. 5, Frankfurt Tel Fax Mail: sales-germany@fortinet.com Copyright 2012 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, and FortiGuard, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet s internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. Certain Fortinet products are licensed under U.S. Patent No. 5,623,600. FDNS-DAT-R dt