Fünf Angriffsvektoren gegen Fertigungssysteme
Industrieunternehmen intelligent schützen
Fortsetzung des Artikels von Teil 1
Missbrauch von mobilen HMIs
Mobile HMIs (Human Machine Interfaces) sind mittels anfälliger oder böswilliger mobiler Anwendungen angreifbar. Um solche Apps zu erkennen, ist eine manuelle Codeüberprüfung aktuell der beste Verteidigungsansatz. Mit Hilfe eines Modells lässt sich erläutern, was passiert, wenn der Angreifer Zugang zu einem System hat, das über ein Netzwerk mit der mobilen HMI und dem jeweiligen Gerät verbunden ist.
In einem weiteren Fallbeispiel untersuchten die Forscher die Comau PickApp näher, nachdem sie entdeckten, dass eine Mobile-HMI-App vertrauliche Authentifizierungsinformationen durchsickern lässt und somit Cyberkriminellen den Zugriff auf die Industrieroboter erleichtert. Mit Hilfe der aktivierten PickApp kann der Angreifer sich Zugang zu einer intelligenten Fertigungsanlage verschaffen und durch bekannte Zugangsdaten direkt mit dem Roboter interagieren. Zur Abhilfe muss der Hersteller ordnungsgemäße Authentifizierungsprotokolle implementieren. Dies zeigt, dass sowohl für die Steuerungs- als auch für die Anwendungsseite regelmäßige Sicherheits-Updates notwendig sind. Außerdem müssen die Benutzer die richtigen Berechtigungsnachweise erstellen, bereitstellen und verwenden.
Ein weiteres Problem im Zusammenhang mit der App ist die Aufforderung an den Nutzer, die Sicherheitseinstellungen zu deaktivieren, wodurch die App Installationen von unseriösen Plattformen im Hintergrund ausführt. Zur Beseitigung des Problems sollte der Anbieter entweder die App über den Google Play Store vertreiben oder andernfalls einen internen „App Store“ mit gültigen Zertifikaten erstellen.
Die ausschließliche Verwendung von Software-Maschinenschnittstellen birgt zudem Sicherheitsrisiken aufgrund von fehlenden mechanischen oder elektrischen Verbindungen zwischen dem befehlsgebenden Gerät (etwa dem HMI) und dem Stellglied (zum Beispiel dem Motor). Der Fall PickApp, der keine Ausnahme darstellt, erlaubt es Cybersicherheitsforschern, zu diesem Problem Stellung zu nehmen. Die App ersetzt das Hardware-Teach-Pendant, ist jedoch nicht in der Lage, die Anforderungen an die Not-Aus-Funktionalität (die Normen und Vorschriften unterliegen) zu erfüllen. Dies liegt daran, dass ein Softwarefehler auf der mobilen Seite den Bediener daran hindern kann, rechtzeitig Not-Aus-Befehle zu erteilen.
Datenmanipulation auf dem MES
Cyberkriminelle, die sich mit Datenmanipulationen befassen, haben oft die Intention, Fehlfunktionen, Schäden an den Produktionsanlagen oder fehlerhafte Endprodukte herbeizuführen. Angreifer benötigen dafür keinen direkten Zugang zum Netzwerk der intelligenten Fertigungssysteme, sondern nur zur Datenbank des MES (Manufacturing Execution System, Produktionsleitsystem).
Das MES verwendet eine interne Datenbank – beispielsweise Microsoft Access – zur Speicherung der Arbeitspläne, die der Betreiber erstellt. Wenn ein Arbeitsplan ausgeführt wird, benutzt das MES diese Datenbank, um die Vorgänge des Arbeitsplans in eine Reihe von Parameterwerten für die verschiedenen Stationen zu übersetzen. Trend Micro Research stellte fest, dass viele MES weder die Datenbank authentifizieren noch eine Möglichkeit zur Validierung der einzelnen Datensätze enthalten. Dies ermöglicht es einem Angreifer, die Datenbank willkürlich zu manipulieren und zwei praktische Angriffe durchzuführen. Als Beispiel dient eine Produktionsstation, die mit zwei Bohrern bestückt ist und damit entweder links oder rechts bohren kann.
Fall 1 – Fehler in der Produktion: Der Angreifer kann den Wert eines mit einer Operation verbundenen Parameters ändern. Beispielhaft würde so aus dem Befehl, „rechter Bohrer“ „linker Bohrer“ werden. Folglich wird jedes Mal, wenn der Bediener eine „rechter Bohrer“-Operation erzeugt, diese durch eine „linke Bohrer“-Operation ersetzt.
Fall 2 – Blockade der Produktion: Jede Station ist mit einem Satz voreingestellter verfügbarer Operationen konfiguriert, die in der SPS der Station programmiert sind. Infolgedessen erwartet die Station, einen der beiden Werte vom MES zu erhalten. Ein Angreifer kann einfach über die Einführung eines Out-of-Bound-Werts in die Parameterwerte einer dieser Operationen einen DoS-Angriff starten. Geschieht dies, löst die Bohrstation jedes Mal, wenn der Bediener einen Arbeitsplan mit einer „Bohrer“-Operation erstellt, einen Fehler aus, und die Produktion ist blockiert.
Die beste Strategie zur Vermeidung eines solchen Angriffs besteht darin, zu verhindern, dass eine Kompromittierung der Datenbank oder des ERP-Systems erfolgt, da der gesamte Datenverkehr von der Datenbank oder dem ERP-System zum MES normalerweise autorisiert ist. Wenn es einem Angreifer also gelingt, eine vertrauenswürdige Maschine zu kompromittieren, ist es bereits zu spät. Befindet sich der Angreifer bereits in einem Netzwerk, bei dem das MES Befehle aus dem Netzwerk akzeptiert, ist es möglich, diese zu fälschen. Zum Schutz ist es angebracht, Gegenmaßnahmen gegen IP- und ARP-Spoofing zu ergreifen.
Böswillige Automatisierungslogik
Unter Verwendung von Programmierumgebungen großer Hersteller von Industrierobotern ist es möglich, anfällige oder bösartige Automatisierungslogik für Maschinen zu erstellen. Diese Situation erfordert benutzerdefinierte Programmanalyse-Techniken, um jede Automatisierungslogik vor dem Einsatz auf der Systemintegrator-Ebene zu validieren. Leider reicht zur Vermeidung solcher Angriffe die Netzwerk- und Endpunktüberwachung nicht aus. Zum einen gibt es legitime Gründe dafür, dass beispielsweise ein Roboter Daten von einer Maschine empfangen muss. Die Blockierung dieses Datenverkehrs würde zu einer Unterbrechung der Maschinenfunktionen führen. Zum anderen ist die Automatisierungslogik nicht in gängigen ausführbaren Formaten wie dem Portable-Executable-Format (PE) und dem Executable- and-Linkable-Format (ELF) implementiert. Die Basis liegt also nicht in Universalsprachen wie C vor, für die Scanner, die auf Schwachstellen oder Anzeichen von bösartigem Verhalten hinweisen können, leicht verfügbar sind. Daher sind eine stetige Kontrolle der Zugänge und die kontinuierliche Erneuerung von Sicherheitsprogrammen unerlässlich.
Angreifer lehnen sich heutzutage nicht zurück und hoffen auf ein verwundbares, intelligentes Fertigungssystem, das in Suchmaschinen wie Shodan auftaucht und für sie zum Angriff bereit ist.
Es ist anzunehmen, dass fortgeschrittene Angreifer auch unkonventionelle Angriffsvektoren nutzen werden. Die Wahrscheinlichkeit dafür steigt noch dadurch, dass intelligente Fertigungssysteme zwar aus Hardware bestehen, aber in einem Ökosystem mit einem komplizierten Netz von Abhängigkeiten existieren.
Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro,
www.trend-micro.com.
- Industrieunternehmen intelligent schützen
- Missbrauch von mobilen HMIs
Lesen Sie mehr zum Thema
