Categories: Cybersicherheit

Cyberangriffe zum Anfassen

Cyberattacken auf Fertigungsunternehmen und Betreiber kritischer Infrastrukturen nehmen zu. Um die Herausforderungen dieser Entwicklung und die Risiken besser sichtbar und anfassbar zu machen, hat PwC Deutschland ein Cyber Security Experience Center in Frankfurt am Main aufgebaut. Oliver Hanka, Director im Bereich Cyber Security bei PwC Deutschland, erklärt, was das komplett vernetzte Modell-Ökosystem zeigt – vom Kraftwerk über die robotergestützte Fertigung bis hin zum digital vernetzten Krankenhaus.

Welche Ziele verfolgt PwC mit dem Cyber Security Experience Center in Frankfurt

Oliver Hanka: Häufig wird über Cybersecurity sehr abstrakt gesprochen. Selbst wenn über erfolgreiche Hacking-Angriffe berichtet wird, erfährt man zwar, wie sich der Angriff auf ein Unternehmen ausgewirkt hat. Aber die Zusammenhänge, wie es zum Angriff kommen konnte, bleiben meist unklar. Wer nicht tief in der Materie steckt, also keine ausgewiesener IT-Security-Experte ist, kann die Vorgehensweise der Hacker kaum verstehen. Im Gegensatz zur IT interagieren OT/IoT-Geräte üblicherweise mit ihrer Umwelt. Das bedeutet, dass sich Angriffe auf diese direkt sichtbar auswirken. Wir können daher wirklich zeigen, was bei einem Cyberangriff mit diesen Geräten und in der Produktion passiert.

Welche Angriffsszenarien werden in Frankfurt gezeigt?

Wir haben ein verkleinertes, komplett vernetztes Modell-Ökosystem mit Technologien aus den wichtigsten Bereichen der kritischen Infrastruktur aufgebaut – vom Kraftwerk über die robotergestützte Fertigung bis hin zum digital vernetzten Krankenhaus. Alle Modelle sind dabei mit physischen SPS- und ICS/SCADA-Netzwerken verbunden, die innerhalb eines vollständig integrierten Cybersicherheitsrahmens arbeiten. Mit dieser praxisnahen Versuchsanordnung können wir Angriffsvektoren und mögliche Folgen einer Attacke unmittelbar an den jeweiligen Technologien demonstrieren und wichtige Tipps für die Prävention geben. Die Angriffe sind komplett real. Es ist zu sehen, wie ein Angreifer vorgeht, was passiert und wie die Dinge zusammenhängen. Wir zeigen aber auch Abwehrmaßnahmen, wie zum Beispiel das Monitoring oder welche Strategien es gegen solche Angriffe gibt.

Warum nehmen Angriff in der Fertigung so massiv zu?

Durch die Verschmelzung von industriellen Betriebs- und klassischen Informationstechnologien, also der OT-IT-Konvergenz, nehmen die Risiken durch Cyberattacken konstant zu. Hatten es die Angreifer bisher vor allem auf IT-Infrastrukturen abgesehen, geraten in vernetzten Industrieumgebungen immer häufiger auch operative Bestandteile wie Steuerungs- und Automatisierungssysteme ins Visier der Kriminellen. Das verursacht nicht nur wirtschaftliche Schäden, sondern kann im Falle von kritischen Infrastrukturen wie Kraftwerken oder Krankenhäusern auch zu ernsthaften Folgen für den Menschen führen.

Wie gehen die Angreifer vor, wenn sie OT-Systeme attackieren?

In der klassischen Fabrik mit Werksgelände und Zaun drum herum kommen die Angriffe eher über die IT rein. Zum Beispiel über Phishing in der Buchhaltung und dann bewegt sich der Angreifer seitlich fort. In nicht geschützten Anlagen, etwa Umspannwerken der Energieversorger oder bei der Bahn, die vernetzte, frei zugänglicher Komponenten haben, kommt es eher vor, dass das Zugangstor die OT ist.

Was machen die Angreifer, wenn sie in ein System eingedrungen sind?

Was genau passiert, hängt vom Angriffstyp ab. Oft wollen Angreifer erst einmal lange Zeit unbemerkt bleiben und die OT nicht direkt manipulieren. Sie gehen dann sehr schleichend vor. Wollen sie stören, dann sieht man einen direkten Effekt. Beide Methoden sind bei uns zu sehen. Es gibt zum Beispiel einen Roboterarm, der die Aufgabe hat, kleine schwarze Klötzchen zu Zahlen zu formen. Wenn der Angriff erfolgt, hört er damit auf, fährt wild herum und attackiert so unbeabsichtigt einen Styropor-Kopf – und gefährdet in der Realität Mitarbeitende in der Produktion.

Welche typischen Schwachstellen haben OT-Systeme? Ist es die die Software selbst oder ist es eher die Vernetzung?

Einmal hat die OT-Software Schwachstellen wie wahrscheinlich jede Software, die auf dem Markt ist. Ein Aspekt kommt hinzu: Zumindest die alten OT-Anlagen wurden nie dafür entwickelt, dass sie komplett bis in die Cloud vernetzt sind. Früher gab es in der Fabrikhalle ein Netz, aber das war abgeschottet. Und dann gab es im Büro die IT. Inzwischen ist es aber alles vernetzt. Und jetzt hat man Systeme wie Windows 95, Windows XP, die plötzlich vernetzt sind, die ich aber nicht updaten darf. Wir haben zum Beispiel einen Kunden, der hat ein Fabrik Management System bekommen, das auf Visual Basic 6 basiert. Der Kunde fragte uns, ob wir keine Argumente gegenüber dem Anlagenhersteller hätten, dass es keine gute Idee ist, Visual Basic 6 zu nutzen. Der Support wurde 2008 komplett eingestellt. Das ist Grund genug, ein solches System nicht mehr zu verkaufen.

Aber es lassen sich doch wahrscheinlich bei vielen Systemen Patches einspielen?

Oft werden in der Fertigungsindustrie noch sehr veraltete Anlagen genutzt, die schon mehr als ein Jahrzehnt laufen. Gepatcht werden diese Anlagen selten. Also nicht wie in der klassischen IT mehrmals im Jahr. Daher gibt es immer wieder veraltete Systeme – zum Beispiel Windows XP –, für die es dokumentierte Schwachstellen gibt, die nicht gepatcht werden können. Über diese Hacking-Tools gibt es massive Angriffsszenarien auf veraltete Anlagen.

Welche Geräte werden in Frankfurt beispielhaft angegriffen?

Ein weiteres Beispiel ist ein Pressure Reducing Metering System (PRMS). Da greifen wir nicht direkt die Funktionalität des Pressure Reducing Systems an, das den Druck in einer Pipeline regelt. Wir attackieren das Überwachungssystem, das unter anderem Sensoren nutzt, die ein Feuer erkennen und melden sollen. Dieses Absicherungssystem attackieren wir mit einem Man-in-the-Middle-Angriff, der sich unbemerkt in die Kommunikation zwischen Sensor und Bedienterminal klemmt, und entweder die Meldung unterdrückt oder aber auch eine falsche Meldung auslöst, damit das System automatisch abgeschaltet wird.

Das klingt ein wenig nach Deutschem Museum in München, wo die Besucher auch viel ausprobieren können.

Bei uns geht es darum, dass die Besucher erleben können, was Cyber Security für Industrieanlagen bedeutet. Bei manchen Showcases sieht man den Schaden sofort. Oftmals läuft ein Angriff aber auch subtiler ab. Zum Beispiel haben wir eine mobile fahrbare Wand, auf der Industriesteueranlagen verschiedener Hersteller installiert sind. Darüber läuft auf einem Bildschirm die Simulation eines Logistikzentrums, in dem Kartons ins Hochregal sortiert werden. Die normale Operation ist, dass je nach Kistengröße eine Kiste in verschiedene Hochregale sortiert wird. Wenn da was manipuliert wird, dann fängt das System an und verschiebt die Kisten falsch. Man kann sich leicht vorstellen, zu was für einem Chaos dies führt, wenn Pakete später nicht mehr automatisch auffindbar sind und von Hand sortiert werden müssen. Man sieht aber nicht spontan, dass da was schiefläuft, sondern erst nach und nach stauen sich Pakete, wo eigentlich keine hin sollten. Wir haben auch ein Gebäudemanagementsystem, wo die Klimaanlage angegriffen wird und sich die Luft langsam aufheizt. Der Effekt zeigt sich erst nach zwei Stunden. Unseren Besuchern zeigen wir dann am Ende unserer Tour, was wirklich passiert ist.

Sie zeigen auch ein Water Treatment System?

Das ist ein Modell der Wasserversorgung. Man hat zwei Tanks und das Frischwasser in einem Tank wird in einen anderen Tank gepumpt. Da kann es angereichert werden, wie zum Beispiel typischerweise in den USA mit Chlor oder bei uns wird Chlorid zugesetzt. Dann wird es wieder zurück gepumpt und geht in den Wasserkreislauf. Der Angriff auf dieses System manipuliert die Schwellwerte für die Notabschaltung der Tanks. Wenn ein Tank zu voll wird, läuft der Tank über. Wir zeigen ein Monitoring-System, das die physikalischen Signale überwacht. Das heißt also der Füllstandanzeiger ist ein mechanischer Schalter, der bei dem Angriff im System unterdrückt wird. Eine Monitoring-Lösung kann dann trotzdem, auch wenn das System auf PC-Ebene gehackt wurde, den Schalter auslösen.

Wie reagieren die Besucher auf das Experience Center?

Für die Besucher ist es besonders faszinierend, Cybersicherheit wirklich greifen zu können, wo sich sonst bei der IT das meiste nur am PC abspielt. Hier echte Komponenten von Industrieanlagen in Aktion zu sehen, kommt gut an. Jeder Besucher nimmt unterschiedliche Dinge für sich mit. Für Systemadministratoren ist es vielleicht interessant anzusehen, aber sie interessieren sich mehr für die Bits und Bytes. Für sie ist eher interessant, dass wir zeigen können, was es für Monitoring-Möglichkeiten gibt und wie sich die Angriffe erkennen lassen.  Aber bei Managern, Geschäftsleitern oder Mitarbeitenden aus der Produktion lösen der Roboterarm oder die zusammenbrechende Wasserversorgung schon Aha-Effekte aus. Der Showeffekt führt dazu, doch mal darüber nachzudenken, das Thema anzugehen. Gerade im Mittelstand sehen wir das häufig.

Zeigen Sie auch konkrete Security-Lösungen?

Ein ganz großes Thema ist Monitoring, also die Erkennung von Angriffen. Wir haben bei uns im Cyber Security Experience Center Lösungen verschiedener Hersteller installiert. Anhand unterschiedlicher Szenarien können wir die jeweiligen Stärken und Schwächen der Systeme aufzeigen und die Besucher können sich darüber informieren, welches System für ihren Anwendungszweck am geeignetsten ist. Dies geht soweit, dass Besucher auch einen Netzwerkmitschnitt mitbringen, der sich bei uns einspielen lässt und an dem die unterschiedlichen Werkzeuge ausprobiert werden können.

Es gibt eine Flut an Security-Anbietern. Viele behaupten ihre Lösung sei die einzig wahre?

Ich gebe Ihnen recht, dass man kaum mehr durchblickt, was wirklich sinnvoll ist und was nicht. Wenn ich mir die Hersteller-Webseiten anschaue, dann weiß ich meist nicht so wirklich, was genau sie anbieten. Irgendwas mit Security, aber was im Kern dahintersteckt, ist nicht wirklich verständlich. Deswegen schauen wir uns die Lösungen an, testen, was wirklich funktioniert, und was vielleicht auch nicht.

Oliver Hanka

verantwortet bei PwC Deutschland das Thema Industrial und Product Cyber Security.

Roger Homrich

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

3 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

3 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

3 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

4 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

4 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

4 Tagen ago