Ralf Krauter: Seit Stuxnet weiß man, wie leicht Computerviren auf Industriesteueuerungen und Überwachungssysteme für Maschinen geschleust werden können und welch großer Schaden damit angerichtet werden kann. Vor vier Jahren verbreitete der Computerwurm Angst und Ärger. Auf der Automatica, der Fachmesse für Industrieautomatisierung wird diskutiert, wie sich solche Probleme ändern lassen können. Wie sicher sind die Industriesteuerungen denn inzwischen geworden, Peter Welchering?
Peter Welchering: Sie sind weitgehend so unsicher wie vor vier Jahren, weit geöffnete Systeme für Angreifer. Da ist zwar viel an Schutzsoftware entwickelt worden, aber sie wird viel zu selten eingesetzt. Es gibt noch immer viel zu viele Sicherheitslücken. In einer Diskussionsveranstaltung heute mittag auf dem Automatica-Forum wurden zwei ziemlich beunruhigende Zahlen genannt. Zwischen 150 und 200 sogenannte Zero-Day-Lücken, also Sicherheitslücken, die noch nicht öffentlich bekannt sind, werden jedes Jahr für Angriffe auf Raffinerien, Wasserwerke, Produktionsstraßen und Kraftwerke verwendet. Und die zweite Zahl: Die amerikanische Regierung hat im vergangenen Jahr 200 gezielte Angriffe auf Industriesteuerungen dokumentiert, die eine Internet-Protokoll-Adresse haben, also am Netz hängen.
Krauter: Heißt das, dass die Angriffe auf Industriesteuerungen überwiegend übers Internet gefahren werden? Stuxnet ist ja über einen USB-Stick auf die Anlage gebracht worden.
Welchering: Angriffe übers Netz nehmen zu. Das liegt auch daran, das sich die Sicherheitseinrichtungen in den Fabriken und Energieanlagen verbessert hat. Da gehören Detektionssysteme auf den Industriesteuerungen seit 1,5 Jahr inzwischen zum Standard. Das sind regelrechte Einbruchmeldeanlagen, die schlagen Alarm und setzen die Steuerung außer Betrieb, wenn jemand die Steuerungskarte anfasst bzw. wenn ein Datenträger ohne Voranmeldung eingelegt wird. Das hat eben zu vermehrten Angriffen übers Netz geführt.
Krauter: Was sind denn die wichtigsten Angriffsmethoden übers Netz?
Welchering: Zum Teil hängen die Steuerungen völlig ungeschützt am Netz. Da wird nicht einmal ein Passwort abgefragt, wen jemand auf die Karte zugreift. Wenn Passwort-Schutz vorhanden ist, dann laufen oft Brut-Force-Attacken, es werden also hunderttausende Passwörter einfach ausprobiert. Und natürlich werden die Zugangsdaten zu Scada-Systemen auch gerne bei Mitarbeitern abgefischt, z.B. social engineering oder Virenattacke auf deren Arbeitsplatz-PC, Online-Durchsuchung der Wartungsrechner.
Krauter: Welche Schaden kann ein Angreifer denn anrichten, wenn er sich Zugang zu einer Industriesteuerung verschafft hat?
Welchering: Das hängt von den Schutzeinrichtungen des Steuerungssystems und auf der Karte ab. Ungefähr 25 Prozent sind da völlig blank. Wer also auf der Karte ist, kann etwa den Druck in einer Pipeline erhöhen, kann Pumpen auf Höchstleistung fahren oder abschalten, also ihm gehört das Steuerungssystem. Die Dokumentation der US-Regierung zeigt, dass hier die meisten Angriffe im Energiesektor stattfinden: auf Gas- und Benzinpipelines, Kraftwerkssteuerungen stattfinden.
Krauter: Welche Schutzsysteme sind denn da entwickelt worden, um die Industriesteuerungen besser abzusichern?
Welcherig: Besserer Routerschutz, Vorschaltrechner mit Firewalls – aber das hat auch zu einer raffinierten Angriffsmethode geführt. Industriesteuerung muss mit Daten versorgt werden. Das passiert über sog. Applikationsserver, hat man aus dem Datenbankbereich übernommen. Und da greifen die Online-Täter an: Die verwenden eine Methode, die wir aus Angriffen auf Kundensysteme kennen. Wenn ich mich bei meinem Online-Shop anmelde, muss ich ja meinen Benutzernamen und mein Passwort eingeben. Die werden an eine Datenbank weitergereicht, die nachschaut, ob Benutzername und Passwort stimmen. Das ist auch für Industriesteuerungen eingeführt worden. Die Angreifer geben dann statt eines Benutzernamens und statt eines Passworts einen Befehl in einer Datenbankabfragesprache ein. Dieser manipulierte Befehl wird an den Datenbankserver geschickt und schleust darüber Schadsoftware ein, mit der die Anwender dann die Industriesteuerung übernehmen.
Krauter: Werden da in München Abwehrlösungen diskutiert?
Welchering: Bessere Filtersysteme, die solche manipulierten Datenbankbefehle abfangen sollen. Aber das ist eine Forderung und noch keine Lösung.