Eine Schadsoftware, die das Institut MIT als die mörderischste Malware der Welt bezeichnet hat und die erstmals aufgetreten ist, als sie eine petrochemische Anlage im Nahen Osten zur Explosion gebracht hat, verbreitete sich anschließend auch im Rest der Welt. Auch heute, in einer Zeit, in der weltweit mehr als 2,5 Millionen Industrieroboter in Branchen wie Automobil, Elektrik/Elektronik, Metall/Maschinen, Kunststoffe/Chemikalien bis hin zu Lebensmitteln und Getränken im Einsatz sind, ist die Gefahr durch Angriffe mittels gefährlicher Schadsoftware nicht gesunken.
Der Grund: Industrielle Maschinen und die dort angeschlossenen Systeme sind üblicherweise mit der omnipräsenten USB-Schnittstelle ausgerüstet. Dieser Anschluss bietet beispielsweise Möglichkeiten für Wartung und Statistiken, erfordert jedoch auch Verfahren und Maßnahmen, um die Organisationen, die sie verwenden, zu schützen. Und über die bekannt gewordenen Angriffe hinaus steht viel auf dem Spiel, wie dieses Zitat von IT-Sicherheitsforschern im amerikanischen Wired Magazin bezüglich eines typischen USB-Angriffs zeigt: „Physische Sabotage: Das Manipulieren eines Industrieroboterarms kann Fehlproduktionen im Wert von mehreren Millionen Dollar zur Folge haben und möglicherweise der Maschine oder sogar ihrem menschlichen Bediener Schaden zufügen.“
OT-Netzwerke angewiesen auf USB-Hardware
Zusätzlich zu den Industriezweigen, in denen Roboter eingesetzt werden, gibt es viele Branchen, die sich auch auf OT- (Operational Technology) Netzwerke verlassen und in hohem Maße auf den USB-Anschluss angewiesen sind. Zu den technologie-intensiven Branchen gehören Öl und Gas, Strom und Versorgung, Herstellung von Chemikalien, Wasseraufbereitung, Abfallwirtschaft, Transport, Wissenschaft, kritische Fertigung, Gebäudemanagement und -automatisierung sowie die Steuerung und Automatisierung von Gebäudebeleuchtungen.
Diese OT-Netzwerke werden oft ganz oder teilweise aus dem IT-Netzwerk ausgelagert, um zu verhindern, dass Online-Bedrohungen in diese Bereiche eindringen können. Viele Sicherheitsstandards und Zertifizierungen wie ISO 27001 verlangen, dass die Trennung zwischen IT-Netzwerken und OT-Netzwerken kontrolliert gehandhabt wird. Die OT-Netzwerke enthalten ICS (Industrielle Steuerungssysteme), die häufig als SCADA- (Supervisory Control And Data Acquisition) System / Netzwerk oder als DCS (Distributed Control System) strukturiert sind. Diese enthalten dann Roboter, SPS-Geräte (Speicherprogrammierbare Steuerungen) und IIoT-Geräte (Industrial Internet of Things), die möglicherweise Daten über eine USB-Massenspeicherschnittstelle empfangen oder ausgeben müssen.
USB-Sicherheitsherausforderungen
Die Standard-USB-Massenspeicherschnittstelle an sich bietet nur sehr begrenzte Möglichkeiten die Sicherheit zu gewährleisten. Ein USB-Gerät, das sich gemäß dem USB-Standard zu erkennen gibt, erhält im Allgemeinen einen vollen Zugriff auf die Teile des Host-Systems, die von der Art des Geräts vorgegeben werden, sei es als Massenspeichergerät oder als Tastatur. So wird zum Beispiel auch der Angriff ermöglicht, der als BadUSB- oder USB-Killer bezeichnet wird.
Bösartige Hardware
Der Hauptakteur, der maßgeblich das Vertrauen in das USB-Protokoll verletzt hat, ist unter dem Namen BadUSB bekannt. Solche BadUSB-Geräte sind, kurz gesagt, „Betrüger“. Diese geben sich als vertrauenswürdige Laufwerke zu erkennen, führen jedoch tatsächlich eine böswillige Attacke aus, häufig in Form eines Keystroke-Injection-Angriffs. Das Aushängeschild für diese Art von Angriff ist der von Hak5 produzierte RubberDucky. Theoretisch könnte sogar ein Security-Token wie Yubikey so programmiert werden, dass dadurch ein bösartiger Inhalt übertragen werden kann.
Dies sind keineswegs die einzigen Übeltäter, da auch andere Allzweck-Computerplattformen wie Arduino oder Raspberry Pi verwendet werden können, um denselben Angriff zu starten. Das vom Angreifer benötigte Know-how und Budget sind sehr gering, da vorgefertigte Angriffe für wenig Geld zu bekommen sind.
Elektrische Angriffe
Der fehlende Überspannungsschutz führt zu weiterem Misstrauen gegenüber USB-Schnittstellen, da diese einfach alles, was angeschlossen wird, mit Strom versorgen. Dieses Verhalten hat den sogenannten USB-Killer erst möglich gemacht. Das Gerät verwendet die von der Schnittstelle bereitgestellte Energie zum Aufladen und entlässt dann die kumulierte elektrische Last über den USB-Port zurück in den Host. Dies verursacht eine Überspannung und häufig einen vollständigen elektrischen Ausfall des Host-Rechners.
Der USB-Killer ist vergleichbar mit einem Schraubenschlüssel, der in eine sich bewegende Maschine geworfen wird. Er verwendet jedoch den USB-Anschluss und hinterlässt dabei weniger Spuren. Das Endergebnis ist ein defekter Roboter ohne wirklich erkennbare Ursache.
USB Jumping Malware
Wie kann man ein Offline-Netzwerk böswillig beeinflussen? Für die noch unbekannten Entwickler der Malware Stuxnet war die Antwort einfach: Infiziere so viele USB-Laufwerke wie möglich und irgendwann findet die Malware ihr industrielles Zielsystem, ganz gleich, ob dafür zehn oder tausend Anläufe benötigt werden. Stuxnet wartete geduldig, bis eines Tages ein passendes Ziel erreicht wurde: Der Arbeitsplatz-PC eines Ingenieurs mit Zugriff auf die SPS-Geräte in der iranischen Uran-Anreicherungsanlage Natanz. Bei dem Angriff wurden schätzungsweise 1.000 Zentrifugen zerstört.
Der Stuxnet-Angriff und die dazu verwendete Technologie brachten weitere ICS-spezifische Bedrohungen hervor, zum Beispiel Trisis. Trisis, manchmal auch als Triton oder Hatman bezeichnet, ist in der Lage, eine Fehlfunktion im Triconex Safety Instrumented System (SIS), einer häufig eingesetzten Logiksteuerung von Schneider Electric, zu erzwingen. Diese Steuerungen werden in erster Linie zur Verwaltung der Anlagen in Kernkraft-, Öl- und Gasproduktionswerken sowie Papierfabriken eingesetzt.
Diese Angriffe können außergewöhnliche Folgen haben, wie 2019 im Technology Review des MIT berichtet wurde: „Die Schadsoftware kann Sicherheitssysteme, die entwickelt wurden, um katastrophale Industrieunfälle zu verhindern, außer Kraft setzen. Sie wurde im Nahen Osten entdeckt, doch die Hacker, die dafür verantwortlich sind, haben es jetzt auch auf Unternehmen in Nordamerika und anderen Teilen der Welt abgesehen.“ Dies veranlasste MIT Technology Review, sie als „die mörderischste Malware der Welt“ zu bezeichnen. Der Grund dafür ist ein aufsehenerregender Angriff, den TechCrunch als Versuch, „eine saudische petrochemische Fabrik in die Luft zu sprengen“, zusammenfasste.
Die allgemein gültige PLC (Programmable Logic Controller = Speicherprogrammierbare Steuerung) -Schwäche, die bei diesen Angriffen ausgenutzt wird, ist die fehlende Verifizierung auf der Basis von kryptografischen Signaturen, da die Geräte mehr oder weniger das verarbeiten, was ihnen angeliefert wird - vorausgesetzt, das Format ist korrekt. In diesem Zusammenhang sollte ebenfalls beachtet werden, dass alle normalen Desktop-Computer in OT-Netzwerken natürlich mit Standard-Malware-Angriffen infiziert werden können. Ein Beispiel ist die Anfang 2020 entdeckte Ransomware Spora, die sich über generische USB-Laufwerke ausbreiten kann.
USB-Sicherheitslösungen für industrielle Umgebungen
Der Umgang mit der Sicherheit in einer ICS-Umgebung erfordert im Allgemeinen einen mehrschichtigen Ansatz, wie er vom NIST (National Institute of Standards and Technology) im Guide to Industrial Control Systems (ICS) Security empfohlen wird. USB-Schutzmaßnahmen sind dabei nur ein Teil eines komplexen Schutzkonzeptes. Speziell für die Verwendung von USB-Laufwerken hat das ICS-CERT, das National Cybersecurity and Communications Integration Center, einen Leitfaden herausgegeben, der Benutzern empfiehlt, strenge Richtlinien für Unternehmens- und ICS-Netzwerke zu erstellen. Wie diese Richtlinien gestaltet werden, hängt von der jeweiligen Organisation ab.
Das physische Layout von Anlagen und OT-Netzwerken kann sich stark unterscheiden: Von der einzelnen Industrieanlage bis hin zum weitverzweigten Netzwerk eines Stromnetzbetreibers.
Nachstehend ist ein genereller Lösungsvorschlag zu finden, der die erforderlichen Kriterien erfüllt:
Standardisierung der Verwendung von vertrauenswürdigen, verwalteten und sicheren USB-Geräten für das OT-Netzwerk
Die Einrichtung eines strikten Grenzbereiches um das OT-Netzwerk, in welches Daten nach Möglichkeit ausschließlich über eine White Station (Kiosk) als eine Art Grenzschutz-Gerät übertragen werden können
Die Installation einer USB-Port-Verwaltungssoftware auf allen Client-PCs im OT-Netzwerk
Sicherstellung, dass die sicheren USB-Geräte zwischen den Nutzungszyklen oder nach einem festgelegten Zeitplan bereinigt werden können
Scannen aller Dateien auf Malware und Überprüfung des Hashwerts von Firmware-Dateien, die für Systeme bestimmt sind, welche die Echtheit der Firmware selbst nicht überprüfen können
Standardisierte USB-Geräte im OT-Netzwerk
Es sollten physische Sicherheitskontrollen vorhanden sein, um zu gewährleisten, dass nur ausgewählte, vertrauenswürdige, verwaltete und sichere USB-Geräte zur Verwendung im OT-Netzwerk zugelassen werden. Dadurch wird die Bedrohung durch bösartige Hardware-Angriffe und vor allem ein elektrischer Angriff ausgeschlossen. Einige OT-Netzwerke sind in Bezug darauf, welche Geräte physischen Zugang haben dürfen, schwieriger zu kontrollieren, sodass diese Vorgehensweise oft unterstützende Maßnahmen benötigt, um wirksam zu sein.
USB-Sticks mit alphanumerischem Tastaturfeld
Ein Beispiel, um OT-Netzwerke besser abzusichern, sind USB-Sticks mit alphanumerischem Tastaturfeld. Denn diese Tastaturgeräte können vollständig verwaltet und auch überwacht werden. Wenn diese Geräte an Client PCs angeschlossen werden, können diese jedoch auch als Wechselmedium mit kontrollierter, eigenständiger Authentifizierung eingesetzt werden.
Die Fähigkeit zum eigenständigen Entsperren ist entscheidend, damit SPS- und IoT-Geräte Daten lesen und schreiben können. Die Geräte bieten auch die Möglichkeit, die Medien mithilfe einer kryptografischen Löschung zu bereinigen. Dies wiederum ist entscheidend, um die Anforderungen unterschiedlicher Netzwerke zu erfüllen. Eine kryptografische Löschung kann auch Teil einer gesetzlichen Anforderung sein, um sicherzustellen, dass vertrauliche Daten nach Abschluss eines Projektes zerstört werden.
Einrichtung von Bereichs-Schutzgrenzen
Eine weitere Schutzmaßnahme sind Kiosksysteme beziehungsweise Wechseldatenträgerschleusen. Der Zweck dieser, auch White Stations genannten Systeme besteht darin, eine Zugangskontrolle zwischen dem IT- und dem OT-Netzwerk zu implementieren. Dadurch wird für alle Daten, die in das OT-Netzwerk eingebracht werden, ein bestimmtes Sicherheitsniveau erreicht. Die White Station soll so konzipiert sein, dass sie der Wächter und das einzige Gerät ist, welches den Bedrohungen von außen begegnet. Es gibt eine Vielzahl von Möglichkeiten, einen Desktop-Computer als White Station einzurichten.
Im Allgemeinen sollte das Gerät über eine aktuelle Anti-Malware-Engine und einen regelmäßigen Wartungsplan für Betriebssystem-Updates verfügen. Die Standardhardware kann beispielsweise auch durch einen ESD (Electrostatic Discharge) geschützten USB-Hub ergänzt werden, der eine Überspannung ausschließt. Es wird außerdem empfohlen, nur eine HID-Tastatur zuzulassen, um die meisten BadUSB-Gefahren umgehend zu eliminieren.
Optionale Dateitypbeschränkungsrichtlinien
Durch die Kombination unterschiedlicher Technologien ist es je nach Richtlinie möglich, eine oder mehrere White Stations einzurichten. Der USB-Stick kann so konfiguriert werden, dass ein integrierter Malware-Schutz sicherstellt, dass über USB eingebrachte Malware sofort gestoppt wird.
Bei der Verwaltung des Sticks ist es auch möglich, mithilfe einer Dateibeschränkungsrichtlinie vorzugeben, welche Dateitypen für das OT-Netzwerk zugelassen werden. Kombiniert man das Gerät bei der Installation mit einer USB-Port-Kontrollsoftware auf einem Desktop, kann ein weiterer Schutz erreicht werden. Die Software kann dann so konfiguriert werden, dass ausschließlich Lesevorgänge von Geräten an der White Station zugelassen werden.
Kontrolle der USB-Ports zu jeder Zeit
Nach Möglichkeit sollte zudem der Zugang zu USB-Anschlüssen an SPS- und Computergeräten durch abschließbare Schränke oder physische USB-Schlösser, wenn diese nicht mit einer USB-Port-Kontrollsoftware ausgestattet werden können, beschränkt werden. Für jedes Standardbetriebssystem sollte eine Port-Kontrollsoftware installiert werden.
Die Logik hinter diesem Schutz vor Bedrohungen ist ganz einfach: Durch die Beschränkung des Zugangs zum USB-Port wird die Bedrohung durch nicht zugelassene USB-Geräte ausgeschlossen. Die USB-Port-Kontrollsoftware sollte auf allen kompatiblen Computern im OT- und IT-Netzwerk installiert werden, um sicherzustellen, dass nur die autorisierten Geräte als USB-Massenspeicher verwendet werden können.
Datenbereinigung von Speichergeräten
Eine weitere sinnvolle Maßnahme um die Verbreitung von Schadsoftware zu verhindern, besteht darin, die verwendeten Speichermedien regelmäßig zu bereinigen. Dies gewährleistet saubere Kontrollpunkte im Betrieb und kann auch Teil der Einhaltung von Vorschriften sein, um nachzuweisen, dass sensible Daten niemals unbegrenzt auf Wechselmedien gespeichert werden können. Normale USB-Laufwerke können auch als Datenhortungsgeräte bezeichnet werden, da sie so konstruiert sind, dass sie eine maximale Lebensdauer des Geräts gewährleisten.
Das bedeutet, dass die Datensektoren nur dann überschrieben werden, wenn es absolut notwendig ist und unabhängig davon, ob die Dateizuordnungstabelle (FAT) ein „sauberes“ Gerät anzeigt. Bei einem regulären USB-Laufwerk wiegt sich der Anwender in Sicherheit, doch die Daten können von jedermann einfach wiederhergestellt werden.
Hardware-verschlüsselte Laufwerke lösen das komplizierte Bereinigungsproblem, indem sie eine Methode namens ‚Kryptografische Löschung‘ verwenden. Kurz gesagt handelt es sich dabei um die Zerstörung des bisherigen sowie die Generierung eines neuen AES-Schlüssels. Dieser Prozess stellt sicher, dass die Medien sauber sind und den NIST 800-88-Richtlinien für die Medienbereinigung (Media Sanitization) entsprechen. Die meisten Länder haben ähnliche Standards wie das NIST, da eine vollständige kryptografische Löschung die schnellste und effektivste Löschung darstellt.
Anti-Malware und Datenauthentizität
Die White Stations und alle kompatiblen Endpunkte im OT-Netz sollten mit mindestens einer Malware-Schutzschicht ausgestattet sein, um insbesondere die Malware zu bekämpfen, die sich über USB ausbreitet. Darüber hinaus sollten alle Daten, die für PLCs oder Maschinen bestimmt sind und die selbst nicht in der Lage sind, die Daten zu validieren, auf den White Stations vorverifiziert werden. Diese Vorverifizierung kann durch die Überprüfung der kryptografischen Signaturen oder der Hashwerte erfolgen, welche vom Softwarehersteller bereitgestellt werden. Dieser Schritt stellt sicher, dass die übertragenen Daten die exakte Kopie derjenigen Daten sind, die der Softwareentwickler ursprünglich angeliefert hatte.
Empfohlen wird daher ein USB-Stick mit sowohl integriertem Malware-Schutz als auch Dateitypbeschränkungen. So ist es einem Administrator möglich, den MD5-Hashwert aller auf dem Gerät gespeicherten Daten zu überprüfen, um sicherzustellen, dass nur die korrekten Daten auf die SPS übertragen werden.