Forschungsergebnisse formen Studien
Die Studie entstand maßgeblich im Rahmen der Forschungen, die das US-Unternehmen in seinem Vedere Lab genannten Security-Labor in den Niederlanden durchführt. Das Labor mit dem Schwerpunkt Operational Technology (OT) befindet sich in Eindhoven in unmittelbarer Nachbarschaft zur Universität. Die Nähe zur Wissenschaft sorgt für einen aktuellen Kenntnisstand und neue Fachkräfte. Hier könne man intensiv Geräte untersuchen, die in Industrie und Wirtschaft im Einsatz sind, erläutert Daniel dos Santos. Der promovierte Informatiker leitet das Labor. Es dient nicht nur zum Testen und Forschen, sondern auch für Demonstrationszwecke, beispielsweise für Kunden. Für seine Forschungen hat das Lab immer wieder Preise gewonnen, auch bereits in diesem Jahr.
Neben industriellen Komponenten gehören weitere OT- und IOT-Systeme zum Kernbereich, darunter medizinische Geräte oder Systeme für das Gebäude-Management. In jedem Bereich existiert eine große Anzahl verschiedener Systeme. Die Gerätesammlung im Lab ist beeindruckend. Es habe über zehn Jahre gedauert, das Lab aufzubauen, die wichtigsten Geräte zu beschaffen und sie zu analysieren, erläutert dos Santos. Die gebräuchlichsten Industriekomponenten sind im Lab ordentlich an Hutschienen aufgereiht, sortiert nach Funktion und Typ. Im Zentrum stehen Industrial Control Systems (ICS), darunter klassische SCADA-Elemente oder Bestandteile speicherprogrammierbarer Steuerungen (SPS), wie sie überall in der automatisierten Produktion anzutreffen sind.
Kein Mangel an Sicherheitsproblemen
Daneben sind auch typische Geräte aus Krankenhäusern und anderen medizinischen Einrichtungen vorhanden. So etwa ein Image Management System, welches unter anderem ermöglicht, Bilder und Video-Aufnahmen verschiedenster Formate im OP oder in Behandlungsräumen aufzunehmen und darzustellen. Es läuft allerdings noch unter Windows XP und ist dadurch recht leicht angreifbar. Dazu gesellen sich im Lab auch neuere Geräte wie ein Multiparameter-Analysegerät für die Überwachung des Blutzuckers bei Diabetikern sowie zur Früherkennung von Nierenerkrankungen. Geräte also, die für Patienten sehr existenziell sein können.
Sie alle stehen für Untersuchungen und Demonstrationen zur Verfügung. Doch frei von Sicherheitsproblemen sei kaum eins, heißt es im Lab hinter vorgehaltener Hand. Häufig verfügten Geräte über Standardpasswörter. Diese stehen manchmal in der Betriebsanleitung oder sind sogar auf den Webseiten des Herstellers zu finden. Für Angreifer sind das ausgesprochen einfach zu realisierende Angriffsszenarien. Es existieren sogar Suchmaschinen, um solche Geräte zu finden. Sie können auch gezielt nach Standorten von Komponenten mit bestimmten Sicherheitslücken suchen. Davon profitieren allerdings nicht nur Angreifer, sondern auch die Gegenseite, also Sicherheitsbehörden oder -unternehmen. So können sie beispielsweise bei neu auftretenden Problemen Betreiber frühzeitig warnen. „Dafür werten wir zusätzlich anonymisiert Kundendaten aus“, erzählt Christina Höfer, die bei Forescout den Bereich OT- und IoT-Strategie leitet. Dadurch wisse man, „wo, wofür und wie oft diese Geräte eingesetzt werden“, ergänzt sie. Diese Ergebnisse werden auch im Lab verwendet. Regelmäßig entstehen daraus neue Studien.
Absichtliche Gefährdung
Betritt man das Labor, fällt ein besonders gesicherter und abgetrennter Raum auf. Die Security-Spezialisten nennen ihn „Danger Zone“, denn die darin befindlichen Systeme werden relativ schutzlos dem Internet ausgesetzt. Nur so lasse sich das Verhalten von Angreifern beobachten und ihre Methoden studieren, erläutert ein Mitarbeiter. Unter anderem ist hier auf einem Virtualisierungsserver eine komplette Industrieumgebung nachgebildet, bestehend aus mehreren virtuellen Maschinen. Sie wird ergänzt durch Cloud-Systeme. Auch Router, Edge-Devices, oder Engineering Workstations gehören dazu. Komplettiert wird alles je nach Bedarf durch weitere zu untersuchende OT- oder IT-Systeme. Das ganze Ensemble dient als Spielwiese für Angreifer und ist in der IT als Honeypot bekannt. Jede Aktion und jeder Schritt eines Eindringlings kann in Echtzeit beobachtet werden, man kann sozusagen einem Angreifer live über die Schulter schauen. So können sehr schnell neue Angriffsvarianten und Vorgehensweisen analysiert werden. „Für einen Angreifer sieht es aus wie eine reale Fertigungsanlage oder ein Krankenhaus, je nach Konfiguration“, erzählt dos Santos. Und die lässt sich sehr flexibel und schnell anpassen. Das alles, um den Angreifern möglichst einen Schritt voraus zu sein. Doch die kennen Honeypots längst und prüfen bei Angriffen in der Regel zunächst auf Hinweise auf solche Fallen. Es ist daher ein anspruchsvolles Unterfangen, Honeypots so zu gestalten, dass sie nicht als solche auffallen.
Die Fachleute konnten dadurch auch einen neuen Trend entdecken: die Zunahme indirekter Angriffe. Die erfolgen zum Beispiel über Systeme der Gebäudeverwaltung und -automation, die häufig nur unzureichend gesichert sind. Somit sind etwa Attacken auf Komponenten der Stromversorgung denkbar. Gelingen diese, könnte eine Produktion oder ein Krankenhaus empfindlich gestört werden. Wenn Security-Unternehmen mit ihren Forschungslaboren dazu beitragen können, solche Angriffe zu verhindern, helfen sie manchmal, Menschenleben zu retten.
Erfahren Sie auf unserer Themenseite „Cyberangriffe“, wie Sie Ihr Unternehmen ganzheitlich vor Cyberangriffen schützen – mit Hintergrundwissen, Best Practices und aktuellen Trends.
