M2M-Hotspot
Stuxnet 4.0 - nur eine Frage der Zeit!
Fortsetzung des Artikels von Teil 2
Gefahrenpotenzial durch Cyberwaffen
Die umfangreichen NSA-Aktivitäten hinsichtlich des ANT-Katalogs und die Infiltration der weltweiten Internet-Infrastruktur, einzelner Netzwerke sowie unzähliger Rechner kann man mit einem Satz zusammenfassen: Entwicklung und Inverkehrbringen von Cyberwaffen. Das trifft auch auf Stuxnet und andere APTs (Advanced Persistent Threads) zu, die von der NSA in Umlauf gebracht wurden. Die Geschichte der letzten 100 Jahre zeigt allerdings, dass militärische Waffenentwicklungen irgendwann auch die Sicherheit der Erfinder und deren Partner bedrohen – Maschinengewehr und Nuklearsprengkopf sind nur zwei derartige Beispiele. Und genau hier liegt auch das Problem für die Kommunikationslösungen in der M2M-Welt und im Internet der Dinge. Man muss wohl nicht wirklich davon ausgehen, dass die NSA mit ihren technischen Möglichkeiten kritische Infrastruktureinrichtungen und vernetzte Automatisierungsanwendungen in Deutschland angreift. Es ist allerdings sehr wahrscheinlich, dass die NSA-Cyberwaffen und der Zugriff auf Backdoors in Routern, Firewalls und anderen infiltrierten Systemen eventuell schon heute – mit Sicherheit aber in Zukunft – von gewöhnlichen Kriminellen und uns weniger freundlich gesonnenen Organisationen für Cyberangriffe jeder Art genutzt werden.
Es wird der NSA schon aufgrund der zigtausend Mitarbeiter kaum gelingen, das umfangreiche Spezialwissen geheim zu halten, zumal die US-Nachrichtendienste sehr eng mit speziellen Privatunternehmen zusammenarbeiten. Auch Edward Snowden war zuletzt bei einem solchen Unternehmen beschäftigt, deren Angestellte offensichtlich vollen Zugriff auf NSA-Geheimdokumente und Systeme haben. Es ist daher dringend erforderlich, sich mit der Fragestellung auseinanderzusetzen, wie man M2M- und Industrie-4.0-Anwendungen vor diesen Gefahren schützen kann. Hierzu drei Ansatzpunkte:
- Ethical Hacking / Cyberwarfare: Die Entwickler einer Sicherheitslösung orientieren sich in der Regel an den Möglichkeiten der Angreifer. Wenn man sich gegen die von der NSA in Umlauf gebrachten Cyberwaffen schützen will, sollte man allerdings nicht nur Dokumente über Ethical Hacking lesen. Viel hilfreicher sind Informationsquellen zum Thema Cyberwarfare (siehe auch 'Stuxnet and the Future of Cyber War' unter http://tinyurl.com/kh9eopv). Sehr aufschlussreich ist zum Beispiel das Buch 'Cyber Warfare – Techniques, Tactics and Tools for Security Practitioners' von Jason Andress und Steve Winterfeld. Gleiches gilt für die IT-Forensik. Es ist nicht nur sinnvoll, sich mit Maßnahmen zu befassen, um Beweise für Cyber-Attacken zu sichern, sondern sich auch die Methoden der Antiforensik näher anzusehen.
- Datenverkehr permanent überwachen: Um manipulierte Rechner- und Infrastrukturbaugruppen zu erkennen, sollte der gesamte Datenverkehr ins Internet mit geeigneten Mitteln dauerhaft überwacht werden. Appelbaum antwortet auf die Frage "Wie erkenne ich, ob auf meinem System eine NSA-Malware installiert wurde?" mit dem Ratschlag, besonders auf UDP-Datenpakete zu achten, die mit RC6 (Rivert Cipher 6) verschlüsselt wurden. Auch für eine M2M- oder Industrie-4.0-Lösung lässt sich eine SIEM-Lösung (SIEM = Security Information and Event Management) schaffen, um unnormales Kommunikationsverhalten in Echtzeit zu erkennen und einen Alarm auszulösen. SIEM-Analysen für Automatisierungslösungen sind sogar recht einfach umsetzbar, da die Kommunikationsbeziehungen und Verkehrsmuster relativ statisch sind. Jede Abweichung sollte als Hinweis auf ein nicht normales Verhalten gewertet und genau untersucht werden (siehe Bild).
- Normen und Empfehlungen kritisch betrachten: Derzeitige Sicherheitsnormen, wie zum Beispiel die IEC 62443 (Industrial Network and System Security), gehen nicht davon aus, dass ein Verschlüsselungsverfahren kompromittiert ist oder Firewalls und Router geheime Backdoors besitzen, über die der gesamte Datenverkehr abgehört oder manipulierte Datenpakete in den Verkehr eingefügt werden. Andere normative Vorgaben basieren zudem auf der Annahme, dass Virenscanner, die in regelmäßigen Abständen mit Updates versehen werden, auch alle Schadsoftwarebausteine finden und nicht bestimmte Dinge 'vorsätzlich' übersehen.
Des Weiteren sind Empfehlungen, den Cloud-Server einer M2M-Anwendung aus Sicherheitsgründen in Deutschland zu betreiben, wirkungslos, wenn die aus den USA stammende Serverhardware schon mit einer Backdoor angeliefert wird.
Autor: Klaus-Dieter Walter ist Mitglied bei SSV Software Systems und gehörte viele Jahre dem Vorstand der M2M Alliance an.
- Stuxnet 4.0 - nur eine Frage der Zeit!
- Schneller als Yahoo
- Gefahrenpotenzial durch Cyberwaffen
Lesen Sie mehr zum Thema
