Warum überhaupt Sicherheits-Systeme für IIOT und Industrieproduktion?

SAP Hacker Angriff auf Industrie-Systeme

Teil 1 der Serie über SAP Sicherheit im IIOT Umfeld

Das Internet der Dinge, das IoT, wie es neuerdings gerne abgekürzt wird, das „Internet of Things“ ist ein zentrales Thema, das Bastlerherzen höherschlagen und die Strategen von Big Data und digitaler Transformation frohlocken lässt.
In der Ausprägung „Industrial IoT“, dem „Industriellen Internet der Dinge“, auch kurz IIOT genannt, wird die Industrie angesprochen, mit ihren Industrie-Netzen und Fertigungssystemen.
SAP-Systeme, die in solchen Umgebungen ein ICS, ein „Industrial Control System“ oder ein „Shop Floor Control“ integrieren und ansteuern, sind oft ein integraler Bestandteil solcher in herkömmlicher Sprache genannten „Industrie-Automatisierungs-Systeme“. Aber „Industrie 4.0“ hat mehr Chic.

Gefahren der industriellen Produktions-Vernetzung

Mit der Automatisierung und der Vernetzung kommen aber auch deutliche Gefahren auf die oft Jahrzehnte alten Anlagen hinzu.
Denn es steckt viel kommerzielle Versprechung hinter dem IIoT, vor allem in Verbindung mit neuen Fertigungstechniken, neuem Fertigungsdesign in den vielfältigen Industriebetrieben und den Vertrieb von Produkten mit komplett neuen Fertigkeiten.
Die Vernetzung der Dinge und die Kommunikation der Dinge untereinander über das Internet sind die Grundkomponenten, die „Building Blocks“, aus denen sich alte Produkte umwandeln und erneuern lassen und neue Produkte, die bisher nicht möglich waren, auf den Produktionsplan bringen.
Aber vor allem ist die Sicherheit der Systeme ein Problem. Auf allen Ebenen, von der Fertigung bis zum Betrieb, ist Sicherheit ein stark vernachlässigter Faktor in der gesamten Wertschöpfungskette des IoT.
Wie alle Begeisterung für neue Welten, so sollte sich auch in der aktuellen „Hype“, der medialen Aufregung über die Möglichkeiten des IIoT, eine deutliche Portion Skepsis einschleichen.

Schutzbedürfnis vom Design über Produktion bis zum Vertrieb

Schutz der Entwicklung während des Designs, Benutzung abgesicherter kryptographischer Bauteile, Sicherung der Fertigung gegen innere und äußere Angriffe, Verschlüsselung der Kommunikation im Betrieb und Schutz der entstehenden Metadaten gegen Missbrauch der Big Data Bestände sind Grundsicherungen, die in jedem System vorhanden sein sollten.

Aber all dies sind Faktoren, die kaum diskutiert werden, weil die Maßnahmen Investition erfordern und keine sichtbare Produktivität bringen. „Die Systeme sind ja hinterher genauso wie vorher – nur teurer“ ist eines der Standardargumente gegen IIOT-Sicherheitsprojekte. Wie im Falle des Jeeps, der bei laufender Fahrt gehackt wird, taucht Kryptographie auf dem Design-Zettel erst auf, wenn es zum aktuellen Einbruch kam oder die Tagespresse von einem neuen Hack überläuft. Die Tatsache, dass man schon im ersten Design solche eine kritische Infrastruktur wie die Steuerung eines Autos aus der Sicht eines Hackers ansehen sollte, ist man aus Kostengründen wohl nicht nachgegangen.

Unternehmen mit kritischer Infrastruktur KRITIS

Und dann ist da noch eine andere Kategorie europäischer und vor allem natürlich hier in Deutschland nationaler Unternehmen, die von staatlichen Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) als KRITIS, als wichtig für die kritische Infrastruktur von Deutschland eingestuft werden.
Dazu gehören natürlich Energieversorger, Banken, Kliniken und Hochtechnologie, zivil wie militärisch. Auch hier sind die Themen zur Sicherheit von industriellen Produktions- und Betriebsumgebungen bekannt, aber oft vernachlässigt. Wir haben einmal einen Pentest auf ein sehr großes Klinikum gemacht, mit einer hohen Menge an kritischen gefundenen Schwachstellen, die identifiziert wurden, herkömmlich auch „Sicherheitslücken“ genannt.
Als Antwort wollte die Geschäftsführung den Bericht des „Pen Tests“ nicht annehmen. Erst als wir darauf hinwiesen, das trotzdem die Geschäftsführerhaftung ((§ 43 Abs. 1 GmbHG) greift, BSI-Richtlinien verletzt werden und einige der Fehler auch in die Kategorie „Grob fahrlässig“ ( oder bei SOX  „Gross Negligence“) gehörten, wurde ein Abnahmetreffen vereinbart.
Zur Verteidigung sei angeführt, dass gerade im Gesundheitssektor die Zulassungsverfahren technischer Apparaturen, vor allem wenn diese eine amerikanische FDA-Zulassung haben, stark reguliert sind. Man kann den steuernden PC der Apparatur wie einem CT oder einer Dialyse-Einheit nicht einfach von Windows XP auf Windows 10 upgraden. Dazu wäre eine komplette Neuabnahme, im Ernstfall für einige Millionen Dollar, nötig. Das ist natürlich auch nicht vertretbar.
Aber auch im produktionstechnischen Bereich herkömmlicher Schwerindustrie gibt es solche Anlagen. Wer will schon eine Hydraulik-Presse patchen, die seit 1970 eingebaut ist, 30 Tonnen schwer ist und nur direkt mit einem Kraftwerksanschluss betrieben werden kann? Einmal durchstarten nach einem Patch? Dann brennt  das Kraftwerk durch, da die Stromleistung ab-und angeschaltet wird, was bei solch einem Starkstrom-Anschluß kaum realisierbar ist.

Die SAP & IIOT Messe-Hacks

In dem Szenario, das auf dem Jahreskongress DSAG 2019 und auf der it-sa 2019 gezeigt wird, missbrauchen wir ein SAP-PLM-System für solch einen Angriff. Wir  nutzen die Tatsache, das SAP-Systeme mit einem industriellen Kontroll-System zur Fertigungssteuerung und Rückmeldung verbunden sind, Das gibt direkten Zugriff auf die Maschine.
Wir benutzen dann eine Abwandlung eines bestehenden Hacks auf Siemens-Systeme, das zum einen auf der Blackhat 2013 vorgestellt wurde, aber auch in dem Hacker-Werkzeug Metasploit enthalten ist. Nur wurde dieser Angriff auf SAP ABAP umgeschrieben und als kundeneigener Code mit einem speziellen weiteren Hack („REPOSRC“) in das infizierte SAP System eingespielt.
Dieser ABAP kann dann direkt, ohne weitere Maßnahme, jede beliebige Produktionsmaschine lahmlegen, die am Netzwerk hängt und mit einem Siemens-Kontroller der Generation S7/300 oder S7/1200 verfügt. Die Demo-Fabrik, die wir auf der Messe zeigen, enthält diese Komponenten.

Mehr weltweite Zielsysteme für solche Hacks?

Und wer das immer noch für hypothetisch hält:
Ein Besuch auf der Website des „Google für Hacker“ genannten shodan.io zeigt dann, wie viele tausende Siemens S7-Systeme weltweit direkt zugänglich sind und die mit diesem Hack direkt „abgeschossen“ werden können.

Man beachte, dass Siemens-Systeme auch bereitwillig ihre Seriennummer bekannt geben – ein weiteres Thema der Angriffe.
Warum ist das alles bisher nicht bekannt geworden? Oder etwas anders gefragt, warum gab es bisher keine spektakulären „Hacks“ hierzu? So wie PETYA und Non-PETYA, die öffentlich wirksam ganzen Konzerne wie MAERSK oder Beiersdorf lahmgelegt haben?

Die Angreifer – oder „Threat Actor“ genannt

Die Antwort mag wie ein Spionagethriller von John LeCarre klingen, ist aber wohl wahrscheinlich. Zum einen gab es immer wieder Angriffe, die gezeigt haben, das ganze Regionen lahmgelegt werden können. Da war, umnur zwei aus zahllosen Beispielen auszuwählen, zum einen der große Blackout im Osten der USA im Jahr 1998 oder vor kurzem der tagelange Blackout in Süd- und Mittelamerika.
Beide können als „Verkettung widriger Umstände“ gesehen werden, für beide gibt es aber auch eine andere, geopolitische Erklärung, ähnlich wie bei dem PETYA-Trojaner, der im Umfeld der Ukraine-Krise entstand.
Das würde auch die Zurückhaltung bei aktuellen Angriffen erklären. Denn wenn man so mächtige Werkzeuge hat, die ganze Länder lahmlegen können, warum sollte man das den Gegner im Voraus wissen lassen?

Das sind übrigens keine hausgemachten Verschwörungstheorien  Es gibt gut infomierte Kreise, die das renommierte  Magazin der amerikanischen konservativen Think Tanks „Foreign Affairs“ herausbringen. Sehr lesenswert, denn hier publizieren sehr viele prominente Politiker und Wissenschaftler aus Aussen-und Geopolitik – auch und zur Zeit sehr viel über IT-Sicherheit und IT-Informationspolitik.

Alle diese Angriffe zeigen aber, dass ein zerstörerischer Angriff jederzeit möglich ist. Und dass das Gefährdungspotential, von organisierter Kriminalität wie im Fall PETYA und dem kommerziellen Nachfolger „Non-PETYA“ über klassische Industriespionage bis hin zu gezielten Angriffen auf kritische Infrastruktur, in diesen Zeiten allgegenwärtig ist.

Man spricht von „Threat Actors“, wenn es sich um Hacker oder organisierte Kriminalität handelt und von „State Actors“, wenn staatliche Organisationen dahinter stehen.

Die Meinung, dass es nicht nötig ist, etwas zur Sicherung der eigenen Industrieproduktion zu tun und das es alles sicher genug ist, war noch nie stichhaltig – und ist es heute weniger denn je.

Besuchen Sie uns auf der DSAG und der it-sa und diskutieren Sie mit uns dieses Gefährdungspotential. Wir sind auf der Aktionsfläche auf dem Stand von IBS Schreiber