KONSTRUKTION & ENGINEERING - konstruktion.de
KONSTRUKTION & ENGINEERING - konstruktion.de
KONSTRUKTION & ENGINEERING - konstruktion.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
SPEKTRUM • KRIMINALITÄT<br />
AKTUELLES<br />
Der Spion in meiner SPS<br />
Die Bedrohung industrieller Systeme durch Computerschädlinge<br />
ist real. Die richtige Antwort<br />
lautet: Information, systematische und planvolle<br />
Umsetzung einer robusten Architektur sowie ein<br />
gesun<strong>de</strong>s Risikobewusstsein und Wachsamkeit.<br />
Stuxnet hat bewiesen, was Fachleute schon lange befürchten:<br />
Mit <strong>de</strong>m Einzug eingebetteter Computersysteme<br />
in alle Bereiche <strong>de</strong>r Industrie und <strong>de</strong>s<br />
täglichen Lebens sowie <strong>de</strong>ren vollständiger<br />
Durchdringung ist ein kaum abzusehen<strong>de</strong>s<br />
Risikopotenzial durch Computerschädlinge<br />
entstan<strong>de</strong>n. Beruhigt haben wir<br />
uns damit, dass all diese Systeme zwar Computer<br />
im technischen Sinn sind, aber so an<strong>de</strong>rs und speziell,<br />
dass ein Angri� unmöglich o<strong>de</strong>r zu aufwendig<br />
erschien. Lei<strong>de</strong>r trügt <strong>de</strong>r Schein: So unterschiedlich sind zum<br />
Beispiel speicherprogrammierbare Steuerungen im Kern gar nicht.<br />
Viele Hersteller greifen auf dieselben Betriebssysteme, Netzwerkstacks<br />
und Bibliotheken zurück. O� wur<strong>de</strong>n vorhan<strong>de</strong>ne Architekturen<br />
um die Ethernet o<strong>de</strong>r TCP/IP-Fähigkeit erweitert und<br />
dazu generische Quellen verwen<strong>de</strong>t. Vieles wird unverschlüsselt<br />
übertragen, und die verwen<strong>de</strong>ten Plattformen lassen sich leicht ermitteln.<br />
Angreifer haben ihre Metho<strong>de</strong>n im Wettrüsten mit <strong>de</strong>n<br />
Antivirus-Herstellern in <strong>de</strong>r PC-Welt über Jahre perfektioniert.<br />
Die An<strong>de</strong>rsartigkeit <strong>de</strong>r eingebetteten Computersysteme bil<strong>de</strong>t<br />
nur eine trügerische Sicherheit. Im Gegenteil: Das Fehlen standardisierter<br />
Kanäle und Prozesse zum Nachrüsten von Sicherheitsfunktionen<br />
und Stopfen <strong>de</strong>r Lücken macht diese Systeme in Wahrheit<br />
sehr viel anfälliger.<br />
Im April 2011, also kein Jahr nach <strong>de</strong>r Ent<strong>de</strong>ckung von Stuxnet<br />
im Juni 2010, ent<strong>de</strong>ckte das Laboratory of Cryptography and System<br />
Security in Ungarn (CrySyS) einen neuen Schädling: Duqu.<br />
Wie wir heute wissen ist Duqu, im Gegensatz zu Stuxnet, eher ein<br />
Spion als ein Saboteur, aber Verwandscha� sbeziehungen scheinen<br />
zu bestehen.<br />
Was ist zu tun, um Maschinen und Anlagen und alle Nicht-PC-<br />
Rechnersystem zu schützen? Wer meint, nur solche Hersteller wären<br />
betro� en, <strong>de</strong>ren Produkte bekanntermaßen kompromittiert<br />
wer<strong>de</strong>n konnten, irrt. Die Hersteller von Automatisierungsprodukten<br />
und allgemein von eingebetteten Rechnern erkennen ihre<br />
Verantwortung und arbeiten daran, <strong>de</strong>n Schutz und die Robustheit<br />
ihrer Produkte gegen Computer-Angri� e zu verbessern und ähnli-<br />
22<br />
3 / 2012<br />
che Mechanismen zu scha� en, wie sie die PC-Welt schon kennt.<br />
Bei <strong>de</strong>n Betreibern entwickelt sich das Risikobewusstsein lei<strong>de</strong>r<br />
nur langsam. Dort ist aber zuallererst anzusetzen. Auch wenn die<br />
vorhan<strong>de</strong>nen Sicherheitsfunktionalitäten bei weitem nicht ausreichend<br />
sind, so wer<strong>de</strong>n lei<strong>de</strong>r o� nicht einmal diese genutzt. Dazu<br />
gehört zwingend eine Security Policy, eine organisatorische Richtline,<br />
die sicherheitsrelevante Verfahren regelt, zum Beispiel <strong>de</strong>n<br />
Umgang mit Passwörtern. Alle Netzwerkkomponenten sollten<br />
sauber kon� guriert und überwacht wer<strong>de</strong>n, sinnvollerweise durch<br />
Einsatz eines � exiblen und leistungsfähigen Netzwerkmanagementwerkzeugs,<br />
mit <strong>de</strong>m sich auch Verän<strong>de</strong>rungen und Fehler<br />
dokumentieren lassen.<br />
Sind diese Sofortmaßnahmen ergri� en, kann im nächsten<br />
Schritt das Eindringen und vor allem die Ausbreitung von Schadso�<br />
ware durch <strong>de</strong>n Einsatz von Firewalls eingedämmt wer<strong>de</strong>n.<br />
Dabei gilt es, sowohl Einfallstore von außen, also vor allem Zugänge<br />
zum Internet o<strong>de</strong>r an<strong>de</strong>ren Netzen zu kontrollieren, also auch<br />
eine horizontale Segmentierung mit Firewalls vorzunehmen. Dabei<br />
wer<strong>de</strong>n Netzwerksegmente durch Firewalls getrennt. Diese<br />
Firewalls arbeiten wie Schotte in einem Schi� : Dringt ein Schädling<br />
an einer Stelle ein, so soll er das Segment nicht verlassen können.<br />
Dieses Konzept wird als Defense in Depth bezeichnet und<br />
durch die Standards ISA-99 und IEC 62443 näher <strong>de</strong>� niert.<br />
Industrielle Anwendungen haben in <strong>de</strong>r Regel <strong>de</strong>n Vorteil, dass<br />
die eingesetzten Protokolle in die Inhalte <strong>de</strong>r Datenpakete hinsehen<br />
können und <strong>de</strong>n Au� au gera<strong>de</strong> <strong>de</strong>r industriellen Protokolle<br />
kennen. ■<br />
Autor Prof. Dr.-Ing. Peter Fröhlich,<br />
Hirschmann Automation & Control