Der Wurm auf der Maschine

Wenn man über Maschinen und Industrie redet, dann denkt man dabei nicht an Viren, Würmern oder überhaupt daran, das Hacker dort Probleme machen könnten.
Ein großer Fehler wie sich herausstellt. In Zeiten von Industrie 4.0, Big Data und der großen Vernetzung sollte IT-Sicherheit ein Thema sein, was nicht zu wenig Aufmerksamkeit bekommen sollte.

Wie jedes Jahr, fand Ende 2015 der 32. Chaos Communication Congress im Congress Center in Hamburg statt. Auf dieser Veranstaltung demonstrierten Ralf Spenneberg und Maik Brüggemann einen PLC-Wurm der selbständig im Netzwerk nach Siemens Simatic-1200 Geräten (Version 1-3) sucht und diese befällt.

Das beschränkt sich natürlich nicht auf Siemens Geräte. Die werden nur als Beispiel genannt, das kann natürlich alle Geräte betreffenen

Was ist PLC oder SPS eigentlich?
Eine SPS ist eine speicherprogrammierbare Steuerung. In Englisch auch PLC (Programmable Logic Controller) genannt. Die SPS ist (laut Wikipedia) ein Gerät, das zur Steuerung oder Regelung einer Maschine oder Anlage eingesetzt und auf digitaler Basis programmiert wird.
Dieses Gerät hat Ein und Ausgänge und ein Betriebssystem (Firmware), genau wie ein Computer.

Durch ein proprietäres Protokoll können die Siemens PLCs gestartet und gestoppt werden. Auch Diagnoseinformationen können gelesen werden sowie der Up und Download von Benutzerprogrammen durchgeführt werden. Dies ermöglicht die Programme auf den PLCs zu verändern oder sogar eigene zu installieren.

Der dort gezeigte Wurm wurde in der Programmiersprache SCL programmiert und benötigt keinerlei externe Unterstützung. Er verbreitet sich selbst, scannt nach andere PLCs im Netzwerk und befällt diese. Die befallenen PLCs übernehmen dann dieselben Aufgaben. Sie scannen und verbreiten sich automatisch weiter. Dies geht allerdings nur wenn der Schutzmechanismus der PLCs ausgeschalten ist, was leider vom Werk aus so voreingestellt ist.

Es wurde sogar ein Command & Control Server implementiert bei dem sich alle befallenen Maschinen melden und von dort aus steuern lassen.  Eine Proxy-Funktionalität erlaubt es uns über einen Tunnel auf weitere Systeme in dem Netzwerk zuzugreifen. Das Firmennetzwerk kann also von innen (über die Maschinen) angegriffen werden.

Wer nicht glaubt das so etwas realistisch passiert den möchte ich an Stuxnet aus dem Jahre 2010 erinnern. Stuxnet hat SCADA Systeme von Siemens angegriffen und damit war es möglich  Motoren von Industrieanlagen zu steuern.

 

Was heißt das jetzt genau?

Das bedeutet das alles angreifbar ist wo ein Computer drin steckt. Da kann man auch schon mal etwas Paranoid denken. Hacker finden Wege und Möglichkeiten an die man normal gar nicht denkt. Hacker können also die Kontrolle über die Maschinen übernehmen ohne das es jemand bemerkt.  Ein ganzes Botnet darüber betreiben oder die ganze Anlage einfach still legen. Im schlimmsten Fall kann ein ganzes Werk lahm gelegt werden. Das es funktioniert sieht man im Video. Gerade ältere Anlagen sind gefährdet.

 

Wie kann man vorbeugen?

100%ige Sicherheit gibt es nicht aber es gibt einiges was man tun kann um vorzubeugen.

1.Maschinen nicht ans Internet hängen.

Klar geht der Trend zur Vernetzung, viele neue Maschinen bekommen direkt einen Internetanschluss für eine Fernwartung. Das es dort schon zu Problemen führen kann, daran denken die meisten nicht. Deshalb ist es sinnvoll die Maschinen nicht direkt ans Netz zu hängen sondern erst die Verbindung herzustellen wenn diese für eine Fernwartung gebraucht wird.

2. Schutzmechanismus einschalten

Die PLCs verfügen über einen Schutzmechanismus der aber vom Werk aus abgeschaltet ist. Diesen sollte man immer einschalten, denn dafür ist er da.

 

3. Mitarbeiter Schulung

Gerade Mitarbeiter sollten geschult werden, die meisten ahnen nicht einmal was von diesen Möglichkeiten.

 

4. Trennung von Büro und Betriebsnetz

Auch darüber macht sich kaum einer Gedanken. Gerade bei kleinen Mittelständischen Unternehmen ist es so, das alle Computer und Maschinen in einem Netzwerk sind. Diese sollten auf jeden Fall getrennt werden. So ist ein Netzwerk nicht gefährdet wenn es im anderen Probleme gibt.

 

5. Keine privaten USB Sticks

Immer wieder ein Problem sind privat mitgebrachte USB Sticks. Was sich auf denen befindet kontrolliert niemand. Und so kann man sich schnell Viren und Würmer ins Netzwerk holen. Das gleiche gilt allerdings auch für Smartphones oder andere Geräte. Die haben in einem Firmennetz nichts zu suchen.

 

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

*

Translate »