Forensic Investigations / Fi Blog / Automatisierungssysteme im öffentlichen Netz, wirklich eine bloße Dummheit?


Automatisierungssysteme im öffentlichen Netz, wirklich eine bloße Dummheit?

Man mag es als 'Dummheit' bezeichnen, Automatisierungssysteme ins öffentliche Netz zu stellen, aber es ist nicht unbedingt Dummheit.

Arroganz der Sicherheitsfachleute

Ich halte es da mit Bruce Schneiers Kommentar (deutschsprachiger Bericht bei WinFuture ), der auf eine Untersuchung , wie viele Benutzer gefundene USB-Sticks arglos in PCs einstecken, feststellte, dass dies keine Dummheit wäre. Schließlich seien USB-Sticks doch genau dafür da. Dummheit wäre es, zu versuchen 'darauf zu spielen wie auf einer Okarina ' oder damit 'ein Omelett zubereiten' zu wollen. Er wirft den Sicherheitsleuten Arroganz vor und hält die Untersuchung an sich für sinnlos. Für ihn ist es, als würde man zu der Erkenntnis gelangen '75 Prozent der Menschen, die eine liegen gelassene Zeitung im Bus finden, lesen diese'. Im Hintergrund eines Computersystems gingen jedoch zu viele implizite Dinge vor sich, von denen der Benutzer im Allgemeinen nichts wüsste. Er sieht hier klar die Hersteller in der Pflicht, nicht einfach Programme von potentiell nicht vertrauenswürdigen Datenträgern zu starten. Microsoft hat hier im Übrigen auch gehandelt .

1 Fehler + noch 1 Fehler = 1 Problem

Ähnlich ist es auch im vorliegenden Fall: SPS'en sind dazu gemacht, sie ans Netz anzuschließen, wenn auch nicht unbedingt ans öffentliche Netz. Dennoch geben weder Beschreibung noch die Administrationsoberfläche einen solchen Hinweis ('Sind Sie sicher, dass Sie eine öffentliche IP-Adresse verwenden möchten?'). Auch ein werksseitig individuell pro Gerät gesetztes Passwort gibt es leider nicht ('secure by default'). Wenn zusätzlich noch eine Sicherheitslücke vorhanden ist, und sich die SPS gar noch ohne ein Passwort stoppen lässt ('Denial of Service'), ist das Desaster perfekt.

Die Legende vom 'Air Gap' oder 'Inselnetz'

Selbst ohne öffentlich im Netz erreichbar zu sein, sind Automatisierungssysteme Gefahren ausgesetzt. Gelingt ein Einbruch in das Firmennetzwerk, kann ein Hacker oder eine Schadsoftware von dort auf die Automatisierungssysteme zugreifen. Die Legende vom 'Air Gap', der physikalischen Trennung von Firmennetz und Anlagennetz, wird zwar immer noch hartnäckig propagiert, dürfte jedoch für Anwender komplexerer oder verteilter Anlagen mit Produktionsplanung-Steuerung, Extranet und Koordination mit Zulieferern/Kunden kaum realisierbar sein. Selbst physikalisch isolierte Netzwerke sind nicht ohne Risiko, da über tragbare Rechner und Wechseldatenträger ebenso Schadsoftware eingeschleppt werden kann, nichts anderes war bei Stuxnet der Fall. Vor fast einem Jahr hatte ich über diese und weitere Fakten bereits geschrieben . Wie einer der amerikanischen Kollegen jüngst festgestellt hatte, existiert ein solches 'Air Gap' nicht einmal in den Sicherheits-Leitfäden von SIEMENS oder Rockwell – er spottete 'Can you spot the air gap [...]? Funny, neither can I.'

Fazit

Überall wo Menschen arbeiten, passieren Fehler. Vorausschauendes und verantwortliches Handeln eines Platformanbieters kann jedoch größeren Schaden durch einen solchen Fehler häufig verhindern. Vor allem flächendeckenden Schaden. Platformanbieter und Implementierer sind hier aus meiner Sicht mehr in der Pflicht als der Endkunde, dennoch muss auch der Endkunde seinen Blick für Gefahren schärfen, da er letztendlich auch immer der primär Betroffene sein wird.

Es gibt jedoch in der heutigen vernetzten Welt keine Alternative – Automatisierungssysteme müssen sicher werden. Hört endlich auf, den Kunden die Schuld zu geben.

P.S.: (!) Wer seine S7-300-Firmware schon Ewigkeiten nicht mehr aktualisiert hat, sollte dies schleunigst tun. Auch hier gab es hart-codierte Passwörter ('Backdoors'), die seit heute öffentlich im Netz stehen (ICS-CERT Security Alert 11-204-01B ). Auffindbar für jeden, der es nicht ohnehin schon wusste.

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31