Hackerangriff - ein Teil für die Risikobeurteilung?

jora

Level-1
Beiträge
289
Reaktionspunkte
52
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

nachdem in diesem Fall nicht nur das Krümelmonster
https://de.wikipedia.org/wiki/Sesamstraße#Kr.C3.BCmelmonster
sondern auch wir von der Sicherheit große Probleme mit unvorhersehbaren Ereignissen haben, frage ich mich, wie ihr mit der IT-Sicherheit und der Risikobeurteilung umgeht.
Auslöster ist:
http://www.sps-forum.de/stammtisch/78435-erpressung-durch-hacker-cyberattacke-der-keksfabrik.html

Das schöne ist, das ein hardwaregebundenes Sicherheitssystem absolut unempfindlich gegen solche Beeinflussung ist, aber wie sieht das bei den immer mehr eingesetzten sicheren Sicherheitssteuerungen. Vielen von diesen Steuerungen hängen auch online oder zumindest im Firmennetz.
Ich weiß, das wenn ich eine Änderung im sicheren Bereich regulär durchführe, normalerweise eine Störabschaltung ausgeführt wird, oder?
Aber nachdem alles, was programmiert wird, auch umgangen werden kann, bin ich mir nicht sicher, ob das dann auch bei einem Hackerangriff so passiert.

Aber ich sehe nicht nur die steuerungstechnischen Schutzsysteme als problematisch, wie sieht es bei normalen SPS-Systemen aus. Ich erinnere mich da an Stuxnet
https://de.wikipedia.org/wiki/Stuxnet
der Wurm, Virus oder was auch immer hatte den iranischen Zentrifugen nicht ganz so gut getan. Durch eine manipulierte Steuerung können Gefährdungen entstehen, die man vorher nicht erraten kann, sogar die "Experten" der Keksfabrik sind nur von versalzenen Keksen ausgegangen...

Gruß
Jora
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich denke, eine Abgrenzung könnte zwischen der gezielten/absichtlichen Sabotage einer Anlage und der Gefahr der wahllosen Beeinträchtigung durch z.B. einen massenhaft auftretenden Virus erfolgen.

Gegen ersteres wird es nie einen Schutz geben, zweiteres sollte m.M. nach schon verhindert werden können.

Unabhängig von Normen und Risikobeurteilung nehm ichs immer auch noch mit dem gesunden Menschverstand. Ein ans Internet ohne Firewall und Virenscanner angebundener stationärer Engineering-PC auf welchem auch noch die Sicherheitssteuerungen projektiert werden erfüllt vermutlich nicht meine Vorstellungen von einem "sicheren" System...

Auf jeden Fall schwieriges Thema wenns um eine belastbare Einschätzung geht. Aber da es ja nur eine Frage der Statistik bzw. Wahrscheinlichkeit ist, sollte sich da ne praxistaugliche Regelung definieren lassen.

Gruß
 
Hallo,

eine sinnvolle Risikobeurteilung sollte auch die IT-Sicherheit in der Steuerungstechnik aufgreifen. Dein Beispiel mit der Keksfabrik oder auch ein Beispiel aus Deutschland (Link) machen klar, dass auf eine sichere IT-Infrastruktur auch in der SPS Welt nicht verzichtet werden kann.

Leider wird meiner Meinung nach auf die IT-Sicherheit auf SPS-Ebene zu wenig Wert gelegt. Denn ist es nicht immer gleich ein Hacker der sein Werk verrichtet. Zahlreiche Steuerungen sind frei über das Internet erreichbar und das für jeden. In einem Test zur IT-Sicherheit in unserem Unternehmen habe ich nach Steuerungen direkt am Internet gesucht. Die IP sowie die entsprechenden SPS Programmiersoftware (Bsp.: STEP 7) haben genügt und ich konnte alle Bausteine herunterladen. Ebenfalls hätte ich ohne Probleme Werte ändern oder Steuerungen in STOP schalten können. Darunter auch Steuerungen mit Failsafe Komponenten für kritische Anwendungen. Da ich in einem großem Unternehmen arbeite sind die IT-Sicherheitsstandars hoch. Die SPS gesteuerten Anlagen werden in einem eigenen Netz betrieben. Zugang erhalten nur PC's mit aktueller Virensoftware und weiteren definierten Merkmalen. Zudem ist der Zugang per VPN und RSA Token abgesichert.

Kleinere Unternehmen können keine gut aufgestellte IT-Abteilung betreiben, müssen aber genauso mit einem Angriff rechnen wie Großunternehmen. Daher muss auch hier das Augenmerk auf die IT-Sicherheit gelegt werden. In meinem Test waren es hauptsächlich kleine Unternehmen deren Steuerung direkt am Netz hing. Daher ist es unabdingbar, dass der SPS-Programmierer auch die IT-Sicherheit im Blick behält. In meinem Test konnte ich auch einen Betrieb namentlich identifizieren. Dort hat man mir zugehört aber glauben wollte es dort keiner. Laut deren deren Aussage war es aber keine kritische Produktion. Also habe ich in Absprache mit dem Unternehmen deren Steuerung ausgelesen und einen Baustein mit Kommentaren (Beispiel: //Ich war auf Ihrer SPS, etc.) auf deren Steuerung hinterlassen. Der Elektriker hat dann den FC geöffnet und war sprachlos...

Also muss IT-Sicherheit in die Risikobeurteilung einfließen. Gegen einen Hackerangriff wird man nie ganz gewappnet sein aber man muss nicht jedem Tor und Tür leichtfertig öffnen.

Gruß
Oliver
 
In einem Test zur IT-Sicherheit in unserem Unternehmen habe ich nach Steuerungen direkt am Internet gesucht. Die IP sowie die entsprechenden SPS Programmiersoftware (Bsp.: STEP 7) haben genügt und ich konnte alle Bausteine herunterladen. Ebenfalls hätte ich ohne Probleme Werte ändern oder Steuerungen in STOP schalten können. Darunter auch Steuerungen mit Failsafe Komponenten für kritische Anwendungen. Da ich in einem großem Unternehmen arbeite sind die IT-Sicherheitsstandars hoch. Die SPS gesteuerten Anlagen werden in einem eigenen Netz betrieben. Zugang erhalten nur PC's mit aktueller Virensoftware und weiteren definierten Merkmalen. Zudem ist der Zugang per VPN und RSA Token abgesichert.

Hast du da mehr Informationen wie, und wieso die Steuerung aus dem Internet erreichbar ist? Mit der heutzutage üblichen Hardware, Router mit NAT, VPN etc. ist es recht aufwändig einzurichten um eine SPS überhaupt aus dem Internet erreichbar zu machen. Wenn jemand weiß wie er eine Portweiterleitung einzurichten hat, dann kennt er sich üblicherweise auch mit VPN-Lösungen aus.
Vor allem zu welchem Zweck sollte jemand so etwas tun? Für eine Fernwartung ist das nicht gerade praktisch, mit dynamischen IP-Adressen usw. Und aus Versehen passiert sowas auch nicht.
Ich habe keine Erklärung dafür, wie die angeblichen zu tausenden im Internet verfügbaren S7-Steuerungen zustande kommen sollen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Also habe ich in Absprache mit dem Unternehmen deren Steuerung ausgelesen und einen Baustein mit Kommentaren (Beispiel: //Ich war auf Ihrer SPS, etc.) auf deren Steuerung hinterlassen. Der Elektriker hat dann den FC geöffnet und war sprachlos...

Hmm ... Seit wann werden bei einer S7 Kommentare auf der Steuerung abgelegt?


Gruß
Dieter
 
Zurück
Oben