Gastbeitrag Sascha Herzog: IT-Sicherheit in aktuellen und zukünftigen Industrienetzwerken

Sascha_Herzog

Von Sascha Herzog, Experte für IT-Sicherheit

Die NSIDE Attack Logic GmbH ist ein Unternehmen, das ausschließlich realitätsnahe, IT-gestützte Angriffe auf Unternehmens- und Industrienetzwerke simuliert – also vom Kunden genehmigte Hackerangriffe auf deren Systeme durchführt. Durch die Identifikation von Schwachstellen und Angriffsmöglichkeiten können sich unsere Kunden im Anschluss bestmöglich vor echten Angriffen schützen, indem empfohlene Schutzmaßnahmen umgesetzt werden.

In Zeiten von Industrie 4.0, „Internet of Things (IoT)“ und einer zunehmenden Internetvernetzung von Industriesystemen bieten sich natürlich für Hacker neue Möglichkeiten Industrienetzwerke direkt aus dem Internet anzugreifen. Da dieses Thema aber bereits in vielen anderen Blogs und Vorträgen behandelt wurde, möchte ich dazu nur ein paar Bilder sprechen lassen, die das Ergebnis diverser Recherchen unserer Analysten auf den Maschinen-Suchmaschinen censys.io und shodan.io und weiterer Deep Web Quellen waren:

Die oben aufgeführten Beispiele zeigen direkt aus dem Internet erreichbare Systeme. Im Folgenden gehen wir jedoch davon aus, dass das Zielunternehmen seine kritischen Systeme gut gesichert und deshalb nicht direkt an das Internet angeschlossen hat.

Da wir in unserer Tätigkeit schon viele Industrieunternehmen aus diversen Branchen (Automation, Energie, Fertigung, Chemische Industrie, etc.) auf Sicherheitslücken in Ihrer Unternehmensinfrastruktur untersucht haben, ist uns etwas aufgefallen: Die gleichen Angriffsmuster und Angriffsmöglichkeiten ergeben sich immer wieder, selbst, wenn das Unternehmen keine direkt aus dem Internet erreichbaren Industriesysteme besitzt. Die fast immer gleiche Angriffsmethodik wollen wir in diesem kurzen Blogeintrag grob skizzieren.

Wie gehen Angreifer und auch unsere Analysten (als erlaubte Angreifer) vor?

Grafik5

Schritt 1 – Taktische Informationsbeschaffung

Schritt 2 – Auswahl des geeigneten Angriffspfads

Schritt 3 – Planung und Vorbereitung des Angriffs

Schritt 4 – Einbruch ins Office-Netzwerk

Schritt 5 – Kontrollübernahme des Office-Netzwerks

Schritt 6 – Identifikation von Schnittstellen zum Industrie- oder Produktionsnetzwerk

Schritt 7 – Einbruch ins Industrienetz über Schnittstellensysteme

(Schritt 8 – Sabotage und Spionage)

Da jeder der aufgeführten Schritte für sich alleine genommen ganze Bücherregale füllen könnte, möchte ich mich in diesem Artikel auf die Schritte 6 und 7, die Identifikation und Kompromittierung von Schnittstellensystemen konzentrieren.

Grafik6
Benachbartes Office- und Industrienetz – Theoretische Trennung durch Firewall

 

Anhand der zahllosen öffentlich verfügbaren Informationen und technischen Möglichkeiten, die sich einem versierten Angreifer heutzutage bieten, ist der Einbruch auf mindestens einem Mitarbeiter-PC oder einem IoT(Internet of Things) Gerät im Zielunternehmen so gut wie sicher. Dieses Gerät kann dann als Basisstation für weitere Vorstöße des Hackers in das Office-Netzwerk und zu guter Letzt auch in das Industrienetz fungieren. Meistens wird hier mit Malware gearbeitet, die mittels gezielter Phishing-Angriffe (Spear-Phishing) auf einzelne Personen eingeschleust wird. Dazu beschäftigt sich der Hacker im Vorfeld länger mit der Zielperson und erstellt ein psychologisches Profil, um die Erfolgsaussichten des Angriffs zu verbessern.

Ein Beispiel:

Die Personalabteilung eines Industrieunternehmens im Energiesektor hat eine Stellenbeschreibung für einen „Field-Engineer“ auf ihrem Jobportal geschalten. Ein Angreifer sucht mit einer einfachen Google Suche nach einem perfekt wirkenden Lebenslauf:

Er kopiert und passt den echten Lebenslauf, ein Word-Dokument, an und integriert einen eigenen, schwer zu entdeckenden Trojaner in das Dokument, welches er im Anschluss direkt an die Personalabteilung verschickt. Als der Mitarbeiter des Industrieunternehmens das Dokument öffnet, wird der Trojaner im Hintergrund aktiviert und erlaubt dem Angreifer aus dem Internet die Kontrolle des Mitarbeiter-PCs.

Nach der Kontrollübernahme des Mitarbeiter-PCs, identifiziert der Angreifer Möglichkeiten das Office-Netzwerk auf Grund von Fehlkonfigurationen einzelner Systeme oder von vorhandenen Softwareschwachstellen vollständig unter seine Kontrolle zu bekommen. Dieser Schritt gelingt uns in simulierten Angriffen bei Kunden (leider) in über 90% aller Fälle. Dieses Vorrücken dauert meist zwischen 1-5 Tage und wird als „Lateral Movement“ bezeichnet.

Eigentlich sollte dieser Umstand ja keine Gefahr für das Industrienetzwerk bedeuten, da, wie wir ja alle wissen, Industrienetzwerke komplett abgeschottet und getrennt zu nicht vertrauenswürdigen Netzwerken, wie W-LANs und Office-Netzwerken arbeiten, der sogenannte „Air Gap“.

Leider entspricht dieses idealistische Bild, selbst in Unternehmen die zur kritischen Infrastruktur zählen, meistens nicht im geringsten der Realität (Disclaimer: Wir können natürlich nur von Unternehmen berichten, die wir in unserer langjährigen Karriere selber getestet haben und Aussagen uns bekannter Spezialisten einbeziehen!).

IT-Sicherheit zur Verteidigung kritischer Infrastruktur im Unternehmen

Es geht also sowohl beim Angriff, als auch bei der Verteidigung aus unserer Sicht stets um Schnittstellen zu anderen Netzwerken! Wir suchen nach Systemen, die ein Bein im Office Netzwerk (oder einem anderen unsicheren Netzwerk) und das andere in unserem eigentlichen Zielnetzwerk, dem Industrie-/Fertigungsnetz haben. In einigen Fällen tauchen die von uns identifizierten Systeme weder im Konzept, noch in den Netzwerktopologiezeichnungen auf und wurden deshalb bei vorangegangenen konzeptionellen Risikobetrachtungen übersehen.

Systeme mit zwei oder mehr aktiven Netzwerkschnittstellen zu finden ist sehr einfach für Angreifer, die in einem Microsoft Netzwerk (Active Directory) die höchsten Benutzerrechte (Domain/Enterprise Admin) erreicht haben.

Von uns oft identifizierte Systeme sind diverse Datenbanken (Warehouse-DB, Werkstück-DB, etc.), MES-Systeme, SAP-Server, FTP-Server, Security-Produkte (wie Firewalls) und Workstations von Technikern (Administratoren, Ingenieuren, Operatoren).

Sind diese Systeme erst einmal identifiziert, ist es oft ein Leichtes diese als weiteren Sprungpunkt vom Office-Netzwerk in das Industrienetz zu verwenden, da diese Systeme ja schließlich auch vom „Chef“ des Office-Netzwerks (Domain-Admin) verwaltet werden. Da der Angreifer diese Rechte erlangt hat, schaltet er sich über das neu ergatterte System nun eine Weiterleitung ins Industrienetz.

IT-Sicherheit: Einbruch ins Industrienetz mittels Malware aus dem Office-Netzwerk
Einbruch ins Industrienetz mittels Malware aus dem Office-Netzwerk

Der Rest wäre dann nur noch Formsache. Befindet sich ein Angreifer erstmal im Industrienetz, Fachkenntnisse vorausgesetzt, bieten sich ihm oft zahlreiche Möglichkeiten die Maschinensteuerungen und Industrieanlagen zu übernehmen. Oftmals finden sich zahlreiche Schwachstellen in veralteten Betriebssystemen (WinXP, etc.), sowie fehlende oder schwache Authentisierungsmechanismen (Zugang ohne Passwort, Klartextprotokolle, fehlender zweiter Faktor, etc.) und Verschlüsselung.

Die Auswirkungen solcher und ähnlich erfolgter Angriffe hängen natürlich stark von der kontrollierten Umgebung, dem Industriesektor und weiterer physischer Schutzmaßnahmen des Unternehmens ab. Sie können jedoch von der Zerstörung einzelner Maschinen, über den Know-How Diebstahl, bis hin zur Destabilisierung von ganzen Ländern durch die Zerstörung kritischer Infrastrukturen führen. Das gefährliche bei Industriesteuerungen ist grundsätzlich, dass durch mechanische Komponenten immer auch Menschen zu Schaden kommen können.

Mögliche Schutzmaßnahmen

Im Folgenden haben wir die aus unserer Sicht wichtigsten Möglichkeiten aufgelistet sich vor diesen Angriffen bestmöglich zu schützen, falls eine komplette physikalische Trennung der Netze („Air Gap“) aus Unternehmenssicht nicht möglich ist:

  • Schnittstellen auf ein Minimum reduzieren
  • Funktionale Gruppen und Enklaven einrichten
  • Regelmäßige Penetrationstests und Sicherheitsanalysen durchführen
  • Grenzen der Enklaven schützen und überwachen
  • Unidirektionaler Datenverkehr an Enklavengrenzen
  • Produktionsnetze nicht an das Corporate AD koppeln
  • Multifaktor-Authentisierung an Enklavengrenzen
  • Verbot/Whitelisting von Wechselmedien wie USB-Sticks
  • Sichere Fernwartungkonzepte (Opt-In)
  • Endpoint Protection auf Systemen im Produktionsnetz
  • Whitelistings von Anwendungen, Benutzern, IPs, Assets, Uhrzeiten, etc.

#

Über Sascha Herzog

Sascha Herzog ist technischer Geschäftsführer der NSIDE Attack Logic GmbH in München und arbeitet seit 2003 im Bereich IT-Sicherheit als Penetration Tester und Ethical Hacker. Er führte Penetration Tests und simulierte Angriffe bei zahlreichen internationalen Unternehmen durch. Herr Herzog leitete viele Projekte bei namhaften Kunden, globalen Finanzinstitutionen, Versicherungen, internationalen Medienkonzernen, Regierungseinrichtungen, Pharma- und Energieunternehmen, sowie zahlreichen Kunden aus dem deutschen Mittelstand und der Industrie.

Der Vortrag zum Thema IT-Sicherheit: „Angriff auf Roboter in der industriellen Fertigung“, Dienstag, 08. November, 10.40 Uhr, IT2Industry Open Conference, Messe München

Darüber hinaus präsentiert die Weltleitmesse electronica, in deren Rahmen die IT2Industry stattfindet, am Mittwoch, 09. November, ein ganztägiges Forum zum Thema Cyber Security.

,,,,,,,,,,,

Kommentar verfassen

Akzeptieren und Weiter

Diese Webseite verwendet Cookies, um ein bestmögliches Webseiten-Erlebnis zu bieten. In unseren Datenschutzhinweisen können Sie Details über die Einstellungen einzelner Anbieter erfahren und diese ändern. Durch den Besuch dieser Website akzeptieren Sie die Nutzung von Cookies.

%d Bloggern gefällt das: