Acht Monate lang hat der TÜV Süd im Rahmen eines Honeynet-Projekts die Infrastruktur eines Wasserwerks simuliert. Ein Honeynet ist ein kontrolliertes Netzwerk, das nur dem Zweck dient, unerlaubte Zugriffe zu beobachten und die dabei verfolgten Strategien und Aktionen analysieren zu können. So erhalten Experten Einblicke in die Vorgehensweisen, Werkzeuge und Methoden die bei solchen Zugriffen verwendet werden und können Schutzmaßnahmen verbessern. In dem Projekt wurde ein high interaction honeynet aufgebaut, das aus realen Hardware- und Software-Komponenten und simulierten Teilsystemen bestand. Auch industrielle Protokoll wie Modbus/TCP wurden eingesetzt. An der Planung waren Partner aus der Wasserwirtschaft beteiligt. So wurde sichergestellt, dass die virtuelle Infrastruktur einer realen Anlage möglichst nahe kommt, die 10 000 Einwohner hätte versorgen können. Teil der Simulation waren zwei miteinander verbundene Hochbehälter mit je 3000 m3 Fassungsvolumen sowie zwei Tief- und ein Notbrunnen.
Mehrere zehntausend Zugriffe
Insgesamt erfolgten aus 157 Ländern Zugriffe auf das Honeynet. Hier die Top 15: China/Hong Kong, USA, Südkorea, Japan, Russland, Brasilien, Deutschland, Italien, Indien, Taiwan, Großbritannien, Kanada, Mexiko, Frankreich und die Türkei. Allerdings kann hieraus keinesfalls geschlossen werden, dass die potenziellen Angreifer aus den aufgelisteten Ländern kommen. Vielmehr muss davon ausgegangen werden, dass sie Verschleierungstechniken anwenden und Systeme übernehmen, um von diesen aus Informations-Scans vorzunehmen oder auf andere Systeme zuzugreifen.
Die allermeisten Zugriffe erfolgten über Standardprotokolle wie http und https sowie SNMP und VCN. Auf das Honeynet erfolgten allerdings auch Zugriffe über die industriellen Protokolle Modbus/TCP, S7Comm und S7Comm+. Diese waren deutlich seltener als die Zugriffe über Standardprotokolle. Zugriffsversuche über industrielle Protokolle sind von besonderer Bedeutung, da sie aufzeigen, dass Steuerungs- und Automatisierungsanlagen reellen Bedrohungen ausgesetzt sind, die sich nicht nur auf klassische Systeme der Office-IT beziehen. Über das Industrieprotokoll S7Comm wurden 20 einzelne Verbindungen durchgeführt. S7Comm wird für die Programmierung von SPS’en und zum Austausch von Daten zwischen SPS‘en, sowie zum Zugriff auf SPS-Daten von Scada-Systemen verwendet. Ein Angreifer wurde identifiziert, der interne Informationen der Steuerung bis hin zu der Steuerungssoftware selbst abgefragt hat. Ob dies ein Zugriff war, um nur Informationen zu sammeln oder später eine Manipulation vorzunehmen, konnte nicht ermittelt werden, da im Rahmen des Betriebszeitraums des Honeynets kein weiterer ähnlicher Zugriff erkannt wurde.
Gezielte Manipulationsversuche
In anderen Fällen lagen hingegen tatsächlich Hinweise auf gezielte Manipulationsversuche vor, die hier als Angriffe bezeichnet werden. Die identifizierten Manipulationsversuche erfolgten über die Protokolle SNMP und S7Comm: Mittels SNMP wurde versucht, die Routing-Funktionalität der Netzwerkinfrastruktur des Honeynet abzuschalten. Der angegriffene Router hätte Netzwerkpakete nicht mehr weitergeleitet, somit wäre der Netzwerkverkehr erheblich gestört gewesen. Dies stellt einen klaren Versuch einer Manipulation der Netzwerkinfrastruktur des Honeynet dar. Bei dem hier erfolgten Angriffsversuch handelt es sich um einen erstmals Mitte September 2014 beobachteten weltweiten Denial-of-Service-Angriff. Das Honeynet wurde also nicht gezielt ausgewählt, war aber für diese weltweite Angriffswelle sichtbar und wurde somit einbezogen.
Ein weiterer Angriffsversuch erfolgte mit S7Comm. Da dieser über einen Zeitraum von etwa 20 Minuten erfolgte, kann davon ausgegangen werden, dass er nicht durch ein Tool automatisiert ausgeführt wurde. Angegriffen wurde eine SPS der Wasserinfrastruktur. Der Angreifer griff zunächst auf das Webinterface der SPS zu und sah sich die zugänglichen Seiten an. Danach versuchte er Variablen der Steuerungssoftware zu überschreiben.
Zentral: Security Monitoring
Das Honeynet nutzt für die Erkennung und Analyse einen sehr hohen Grad an Logging und Auswertung. Dies ist in dieser Form für Unternehmen alleine nicht umsetzbar. Sie brauchen dafür die Unterstützung externer Experten. Darüber hinaus muss Monitoring industrielle Protokolle beinhalten. Ein hoher Grad an automatischer Erkennung und Auswertung muss sukzessive implementiert werden. Traditionelle Sicherheitstechniken, wie sie vornehmlich im Office-Bereich eingesetzt werden, sind nur sehr bedingt tauglich, da sie mit industriellen Protokollen in der Regel nicht arbeiten können. Zudem ist eine regelmäßige Kontrolle der Aktivitäten durch einen IT-Sicherheitsexperten mit Erfahrung im industriellen Bereich von entscheidender Bedeutung. Nur so lässt sich ein angemessenes Maß an Schutz für industrielle Informations- und Kommunikationsnetze herstellen.