Dreizehn Jahre hat es gedauert, bis chinesische Hacker herausgefunden haben, wozu man die Step7-Kommunikationsbausteine TCON, TSEND und TRECV gebrauchen kann: Um eine S7 in einen Proxy-Server umzufunktionieren, von dem aus sich Cyber-Angriffe in das Prozessnetz weitertragen lassen. 2005 nämlich wurden diese Bausteine neu eingeführt, mit denen frei projektierbare TCP/IP-Verbindungen in Step7 aufgebaut werden können. Wir hatten seinerzeit Kollegen von Siemens darauf angesprochen, dass durch diese Funktionalität ein erhebliches neues Sicherheitsrisiko entstehen würde. Die Antwort: Stimmt schon, aber ein Großkunde wollte die Funktionen haben.
Worin genau besteht dieses Sicherheitsrisiko? Es wird damit prinzipiell möglich, selbstreplizierende Schadsoftware für SPSen zu schreiben, oder ganz allgemein gesagt: Die SPS kann zum Proxy für weitergetragene Angriffe in das Prozessnetz genutzt werden. Proxy heißt hier soviel wie Einsprungpunkt, über den man hintergelagerte Ziele erreicht, die auf direktem Wege nicht erreichbar wären.
Und eben das haben besagte chinesischen Hacker nun auch entdeckt und dafür gleich ein Proof of Concept entwickelt. Eine kurze Beschreibung davon finden Sie hier. Den chinesischen Text können Sie von Google ins Deutsche übersetzen lassen.
Was bedeutet das nun für Sie? Konkret bedeutet es zweierlei:
- Wenn Sie meinen, ein Prozessnetz per Firewall “sicher” gemacht zu haben, die Firewall-Regeln aber den Zugriff von außen auf den TCP-Port 102 einer oder mehrerer S7 erlauben, unterliegen Sie einem Irrtum.
- Sogenannte “Koppel-SPSen”, die zur Netzwerktrennung zwischen Prozessnetz und Büronetz eingesetzt werden und Datenbausteine von Prozess-SPSen duplizieren, bieten nur scheinbar einen Schutz. Das zitierte Beispiel aus China zeigt, dass Angriffstools für Siemens-SPSen heute im Internet frei verfügbar sind.
Wir empfehlen Ihnen, Ihre Netzwerksegmentierung daraufhin gründlich zu überprüfen. Nichts ist ärgerlicher, als nach einem etwaigen Angriff hinterher feststellen zu müssen, dass die ausgenutzte Schwachstelle weithin bekannt war.
Eine weitere Erkenntnis, die man nicht oft genug wiederholen kann, lautet:
In der Industrieautomation sind die wichtigsten Sicherheitsschwachstellen keine “Bugs” (Programmierfehler), die vom Hersteller nach Bekanntwerden per Sicherheitspatch “gefixt” werden, sondern absichtlich eingeführte, legitime Produkteigenschaften.
Konkret folgt daraus: Fokussieren Sie sich bei Ihren Bemühungen zur Absicherung Ihrer Prozessnetze nicht allein auf das Aufspielen von Sicherheitspatches. Analysieren Sie, an welchen Stellen legitime Produktfeatures sehr viel größere Schwachstellen darstellen. Sie werden einiges finden.