„Georgia Institute of Technology“ warnt Automatisierungsgemeinschaft vor unterschätzten Risiken bei extern erreichbaren speicherprogrammierbaren Steuerungen
Bereits 2012 hat WAGO ein „Product Security Incident Response Team“ (PSIRT) gegründet, um mögliche Schwachstellen zu managen. Wir sind gemäß IEC 62443-4-1 zertifiziert und unterstützen unsere Kunden dabei, ihre WAGO Produkte sicher zu betreiben und bestehende Prozesse im Rahmen der industriellen Automation bestmöglich zu schützen. Denn Angreifer suchen immer gezielter nach möglichen Angriffspotentialen – auch über das Internet. Dazu haben sich Suchmaschinen wie shodan.io oder censys.io etabliert, über die ungeschützt mit dem Internet verbundene Steuerungen, wie der WAGO PFC, gefunden werden können. Deshalb ist es umso wichtiger, dass unsere Kunden ihre Steuerungen absichern und gemäß ihrer Umgebung sicher konfigurieren.
Eine Studie durch das „Georgia Institute of Technology“ verdeutlicht noch einmal die Relevanz dieses Themas. Die Forscher haben herausgefunden, dass wesentlich mehr speicherprogrammierbare Steuerungen (SPS) für Remote Angriffe anfällig sind als bisher angenommen. „Die Entdeckung von öffentlich zugänglichen SPS-Geräten ist ein entscheidender Schritt zur Sicherung kritischer Infrastrukturen", sagte Ryan Pickren, leitender Forscher der Studie. „Angreifer nutzen aktiv das öffentliche Internet, um anfällige SPS anzugreifen; daher müssen die Betreiber wissen, welche Geräte gefährdet sind", erklärte Pickren. Die Studie zeigt die Grenzen herkömmlicher ICS-Sicherheitsforschungsmethoden auf, die sich oft auf einfache Abfragen von Diensten wie Shodan und Censys stützen, um gefährdete SPS zu identifizieren. Die „Best Effort“-Abfragen, die in früheren Studien verwendet wurden, neigen dazu, nur nach einfachen statischen Schlüsselwörtern zu suchen, die von bestimmten Protokollen offengelegt werden, was oft nicht die dynamische Natur moderner Multiprotokoll-SPS-Geräte erfasst, einschließlich derer von WAGO.
Ryan Pickren
Leitender Forscher der Studie, Georgia Institute of Technology
Die Forscher der Georgia Tech stellen fest, dass Faktoren wie ICS-Firewalls, SPS-Firmwareversionen und Kundenkonfigurationen dazu führen, dass SPS unvollständige und flüchtige Netzwerkdaten preisgeben, die sich der Erkennung durch einfache Abfragen entziehen. „Moderne SPS sprechen viele verschiedene Netzwerkprotokolle an, von denen jedes einen einzigartigen Fingerabdruck preisgibt, der sich im Laufe der Zeit je nach Firmwareversion und anderen kundenspezifischen Einstellungen ändert. Simplistische IoT-Suchmaschinenabfragen erfassen nicht mehr die gesamte Population", so Pickren. Infolge dieser Komplexität wurden bei früheren Sicherheitsanalysen im Internet versehentlich große Teile der gefährdeten Geräte nicht berücksichtigt. Die Forscher behaupten, dass die tatsächliche Anzahl der gefährdeten Geräte bis zu 37 Mal höher sein könnte als bisher dokumentiert. Die Forscher haben bereits damit begonnen, die betroffenen Parteien zu kontaktieren, damit sie die Netzwerk-Fehlkonfigurationen beheben können, die zu dieser vermutlich versehentlichen Interneterreichbarkeit geführt haben.
„Diese hohe Dunkelziffer zeigt den stetig wachsenden Bedarf, OT-Anlagen sicherer zu betreiben, besonders wenn diese mit dem Internet verbunden sind. Aus diesem Grund startet WAGO neben anderen Maßnahmen wie Härtungsguidelines ein neues konsultatives Angebot, um unsere Kunden in Zukunft nachhaltiger in Cybersecurityfragen zu unterstützen“ sagt Kilian Fröhlich (Business Development Manager bei WAGO). „Als logische Ableitung der bereits gestarteten Maßnahmen zur Zertifizierung unserer Prozesse und Produkte gemäß IEC 62443-4-1 und 4-2 sowie dem frühen Aufbau des PSIRT-Teams geht WAGO nun den nächsten Schritt, indem wir ein „Cyber Security Consulting Team“ aufbauen. Somit können wir unsere Kunden weiterhin bestmöglich in Fragen zum Thema Cybersecurity unterstützen und auch neue Marktleistungen anbieten.“
Kilian Fröhlich
Business Development Manager, WAGO
Alle Einzelheiten zu der verbesserten Abfragetechnik und den Auswirkungen auf die ICS-Sicherheit werden in einer demnächst erscheinenden wissenschaftlichen Arbeit veröffentlicht. Das „Georgia Institute of Technology“ fordert die Automatisierungsgemeinschaft auf, ihre Sicherheitsbewertungsmethoden zu überdenken und umfassendere Ansätze zu verfolgen, um die Gefährdung kritischer Infrastrukturen durch potenzielle Cyberbedrohungen genau einschätzen zu können.
„Wir unterstützen die Forderung des „Georgia Institute of Technology“ und arbeiten kontinuierlich an der Verbesserung unserer Product Security. Zum sicheren Betrieb von Anlagen gehört es natürlich auch, Schwachstellen kontinuierlich zu beheben, die WAGO selbst erkennt oder von Researchern, wie dem „Georgia Institute of Technology“, gemeldet bekommt. Das WAGO PSIRT-Team unterstützt Kunden dabei aktiv, indem bekanntgewordene Schwachstellen und deren Behebung mit unserem Partner CERT@VDE veröffentlicht werden“, sagt Dr.-Ing. Christopher Tebbe (Technology Management Security bei WAGO). Diese Advisories, die identifizierte Schwachstellen und deren Behebung beschreiben, finden sich hier.
Dr.-Ing. Christopher Tebbe
Technology Management Security, WAGO