Gefördert vom Bundesministerium für Bildung und Forschung
Lösung — Überwachung

Sicherheitsanalysen und Penetrationstests

Viele Industrieanlagen verwenden Standardkomponenten, wie zum Beispiel Datenbanken oder Webserver, für die es bereits Best-Practices zur IT-Sicherheit gibt. Gezielte Tests dieser Richtlinien sowie für die Steuerung der Anlage individuell entwickelte Tests decken Schwachstellen früh in der Entwicklung auf.

Der heterogene Aufbau von Industrieanlagen macht diese besonders verwundbar, so dass eine umfassende Sicherheitsanalyse notwendig ist. Bei einer Sicherheitsanalyse wird Schritt für Schritt der Detailgrad erhöht. Es beginnt mit dem konzeptionellen Audit der Infrastruktur, und dem Identifizieren erster Schwachstellen. Im höchsten Detailgrad werden die identifizierten Problemstellen genau untersucht und entsprechende Gegenmaßnahmen entwickelt.

Unter einem Penetrationstest oder Pen Test versteht man die Planung und Ausführung eines autorisierten Angriffs auf ein System oder eine Komponente. Diese unterliegen dabei immer dem jeweiligen Auftraggeber und werden auch durch diesen beauftragt. Ziel eines Pen Tests ist die Aufdeckung bestehender Sicherheitslücken mit dem Ziel, diese vor der Markteinführung zu schließen. Damit wird den Auswirkungen unautorisierter Angriffe entgegengewirkt, die zu erheblichen Mehrkosten im Vergleich zur Durchführung eines Pen Tests führen können.

Zur Durchführung von Pen Tests gibt es eine Vielzahl unterschiedlicher Testmethoden. So kann die Menge an Information, die den Pen Testern zur Verfügung gestellt wird, durch den Auftraggeber bestimmt werden. Je mehr konkrete Informationen, z.B. in Form von interner Dokumentation, bereitgestellt wird, desto schneller und zielgerichteter können die Tests durchgeführt werden. Auch teilweise automatisiertes Tooling kann dadurch leichter eingesetzt werden. Wenn hingegen weniger Information bereitgestellt wird, bildet dies die Realität eines Angreifers in der Praxis besser ab.

Pen Tests für Komponenten der industrielleren Fertigung müssen eine Reihe von Besonderheiten, die in dieser Domäne auftreten, berücksichtigen. Typische Konfigurationen von industriellen Standardkomponenten, z.B. von SPSen, Werkzeugmaschinen, Aktuatoren, oder Sensoren, müssen hier auf vorhandene Schwachstellen untersucht werde. Hierbei kann nur zum Teil auf bestehende, öffentliche Kataloge wie die CVE (Common Vulnerabilities and Exposures) oder die diverser CERTs zurückgegriffen werden. Der explorative bzw. kreative Teil eines Pen Tests ist hier verstärkt gefragt. Die Erstellung individueller Testszenarien fordern das Geschick der Tester vermehrt.

Der Weg in ein System findet dabei über die nach außen exponierten Schnittstellen statt. Bei industriellen Anlagen finden sich zum einen Standardschnittstellen, wie sie auch andernorts zum Einsatz kommen, z.B. Ethernet, WLAN, oder USB. Weiterhin gibt es eine Reihe von Feldbussen, die in der Automatisierung eingesetzt werden. Dazu zählen neue Industrial Ethernet Bussysteme, wie Profinet, Ethernet/IP (inkl. Modbus TCP), Powerlink, und EtherCAT, sowie Legacy-Busse wie CAN.

Diese Besonderheiten sind bei der Untersuchung der Hardware, Software, und Kommunikationsprotokolle zu beachten. Die Auswahl der Testmethoden sowie die zugehörige Unterstützung durch Tools zur effektiven Abbildung einzelner Testszenarien ist im Einzelfall zu evaluieren. Teilweise kann auf einschlägig bekannte Tools zurückgegriffen werden, aber auch Eigenentwicklungen speziell für die Durchführung von Tests auf Industrieanlagen sind erforderlich.

Die Durchführung eines Pen Tests kann sehr umfangreich oder aber auch sehr fokussiert sein. Unabhängig davon stellen Pen Tests einen wichtigen Teil für ein ganzheitliches Sicherheitskonzept dar und sollten nicht vernachlässigt werden. Der explorative und kreative Teil eines Pen Tests ist immer der Hauptbestandteil im eigentlichen Test. Dies ist insbesondere in der Automatisierungstechnik mit ihren heterogenen Lösungen wichtig. Hierzu werden erfahrene, externe Experten benötigt, die nicht der örtlichen „Betriebsblindheit“ unterliegen.