Suchen

Security in der vernetzten Automatisierung

Wirkungsvoller Zugriffsschutz setzt Spitzel vor die Tür

| Autor/ Redakteur: *Stefan Klünder / Ines Stotz

Webbasierte Konfigurationsschnittstellen werden von unzähligen Automatisierungs-Baugruppen genutzt, damit Anwender möglichst einfach auf eine integrierte Benutzerschnittstelle zugreifen können. Weil sie aber meistens völlig unzureichend gesichert sind, steht qualifizierten Angreifern Tür und Tor offen.

Firma zum Thema

In vernetzten industriellen Systemen stellen Konfigurationsschnittstellen und die dafür erforderlichen Webserver ein erhebliches Sicherheitsrisiko dar. Selbst ein individueller Zugriffsschutz durch Benutzername/Passwort oder eine HTTPS-Verschlüsselung sind für einen fähigen Angreifer keine unüberwindbare Hürde.
In vernetzten industriellen Systemen stellen Konfigurationsschnittstellen und die dafür erforderlichen Webserver ein erhebliches Sicherheitsrisiko dar. Selbst ein individueller Zugriffsschutz durch Benutzername/Passwort oder eine HTTPS-Verschlüsselung sind für einen fähigen Angreifer keine unüberwindbare Hürde.
(Bild: SSV Software Systems)

Durch das Internet der Dinge, Cyber-physikalische Systeme und Industrie 4.0 wird die Anzahl der vernetzten Baugruppen in der Automatisierung in den nächsten Jahren sehr stark anwachsen. Da praktisch jedes System zumindest eine webbasierte Benutzerschnittstelle für Inbetriebnahme- und Serviceaufgaben besitzt, steigt auch die Anzahl möglicher Angriffspunkte. Um derartige Schnittstellen besser zu schützen, besteht aus Expertensicht akuter Handlungsbedarf.

Mithören bei Ethernet-Netzwerken ist ganz leicht

In einer typischen Netzwerkkonfiguration bildet ein Ethernet-LAN-Switch die zentrale Infrastrukturbaugruppe. Alle Systeme eines Netzwerks sind sternförmig mit den einzelnen Switch-Ports verbunden. Im Switch existiert eine Adresstabelle, in der festgehalten wird, welches System bzw. welche Ethernet-MAC-Adresse mit welchem Port verbunden ist. Mit Hilfe dieser Tabelle laufen die Datenpakete bei der Kommunikation zweier Rechner im LAN nur über die jeweiligen Kabelverbindungen zwischen dem betreffenden System und dem Switch-Port. Alle anderen Rechner am gleichen Switch bekommen diese Datenpakete nicht zu sehen.

Bildergalerie

Aus dem Switch-Verhalten sollte man nicht schlussfolgern, dass die Kommunikation zwischen zwei LAN-Systemen nicht ohne weiteres durch ein drittes System abhörbar ist. Es existiert zum Beispiel mit Arpspoof ein Werkzeug, mit dem jeder entsprechend vorgebildete Angreifer von einem dritten Rechner aus die Kommunikation zweier anderer Systeme im gleichen LAN abhören kann und jederzeit durch einen Men-in-the-Middle-Angriff manipulieren kann, ohne das die anderen Systeme im LAN etwas davon mitbekommen.

Ein Eingriff in die LAN-Verkabelung ist nicht erforderlich. Es wird lediglich das Packet-Forwarding aktiviert und auf dem anzuhörenden Rechner die ARP-Tabelle manipuliert. Letztes erfolgt mit Arpspoof vom Rechner des Angreifers aus. Mit einer solchen Vorgehensweise lässt sich die Kommunikation zwischen dem eingebetteten Webserver einer Automatisierungsbaugruppe und einem Benutzer-PC innerhalb des gleichen LANs abhören, aufzeichnen, manipulieren und sogar ins Internet übertragen.

Die Angriffsmethode XSS ist weit verbreitet

XSS ist die Abkürzung für Cross-Site Scripting. Gemeint ist damit eine Angriffsform, bei der einem HTTP(S)-Server innerhalb einer Anfrage (HTTP-Request) ein ausführbares Codefragment übermittelt wird, um mit diesem Code einen Speicherbereich des Servers zu infizieren (persistentes XSS) oder dafür zu sorgen, dass der Code in der Serverantwort (HTTP-Response) direkt an den Client zurückgeschickt wird (reflektierendes bzw. nicht persistentes XSS). Im ersten Fall wird der Code zu einem späteren Zeitpunkt als Antwort auf eine Abfrage an den Client geschickt – zum Beispiel in einem Forumseintrag. In beiden Fällen führt der Client – typischerweise ein Webbrowser – den Code aus.

Um XSS-Angriffe auf Automatisierungsbaugruppen zu unterbinden, muss der jeweilige Server jeden eingehenden Request systematisch nach den XSS-typischen Zeichenfolgen durchsuchen und alle kritischen Sequenzen ausfiltern. Das gilt auch für alle Erweiterungen, die in Form von CGI-Modulen oder sonstigen serverseitigen Skripten erstellt werden und die Antworten für Clientsysteme erzeugen. Darüber hinaus sollten alle Webschnittstellen einer Automatisierungsbaugruppe mit professionellen Testwerkzeugen, wie zum Beispiel ZAP durch entsprechend geschulte Fachkräfte geprüft werden.

In den USA betreibt die Regierung ein ICS-CERT (Industrial Control Security Computer Emergency Response Team). Es ist dem US Department of Homeland Security unterstellt und veröffentlicht auf der Website fortlaufend Schwachstellen in Automatisierungsprodukten. Hier findet man auch etliche namhafte deutsche Hersteller, die mit den XSS-Schwachstellen in ihren Produkten aufgefallen sind.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 42990938)