Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Hochschule Wismar
University of Applied Sciences
Technology, Business and Design
Fakultät für Ingenieurwissenschaften, Fachbereich Informatik
Fakultät für Wirtschaftswissenschaften
Bachelor-Thesis
Netzwerkforensische Untersuchung eines
Cyberangriffs in einem
SCADA-Netzwerk
Abschlussarbeit zur Erlangung des Grades eines
Bachelor of Engineering (B. Eng.)
Fachbereich Informatik der Hochschule Wismar
im Fernstudiengang IT-Forensik
Eingereicht am: 28.02.2019
Eingereicht von: Keller, Markus
Matrikelnummer: 128133
Erstgutachter: Prof. Dr. Ernst Jonas
Zweitgutachter: Prof. Dr. Antje Raab-Düsterhöft
Drittgutachter: Prof. Dr. Sebastian Schinzel
Wismar, den 02. April 2019
ii
Kurzfassung
Die vorliegende Bachelorarbeit beschäftigt sich mit IT-Security-basierten Fragestel-
lungen in Industrienetzwerken, sowie digitalforensischen Fragestellungen, primär
aus dem Bereich der Netzwerkforensik, die in Bezug auf SCADA- (bzw. Supervisory
Control And Data Acquisition)-Netzwerke und den darin befindlichen Steuerungs-
systemen von Relevanz sind. Der Fokus liegt auf der Erkennung von manipulierten
Netzwerkpaketen und der Logfile-Analyse.
Es werden Angriffsszenarien auf eine SIEMENS-S7 SCADA-Steuerung durchge-
führt und untersucht. Weiterhin werden Maßnahmen und Empfehlungen aufgezeigt,
um solche Angriffe erkennen und verhindern zu können. Verfügbare Tools werden
hinsichtlich ihrer Einsatzzwecke klassifiziert und bezüglich ihrer Vor- und Nachteile
analysiert und bewertet. Die zentrale Herausforderung besteht darin, heutige, oft-
mals unzureichend oder gar ungeschützte SCADA-Netzwerke zukünftig besser
absichern zu können.
In die Konzepte zur Absicherung der IT-Infrastruktur sollten auch Strategien zur Ab-
sicherung der Produktions-IT einfließen. Solche Absicherungskonzepte müssen
aufgrund ständig neu entdeckter Angriffsszenarien auf diese Netze fortwährend an-
gepasst und erweitert werden.
iii
Abstract
SCADA-Systeme, werden schon seit vielen Jahren vorwiegend etwa in Produkti-
onsanlagen, bei Verkehrsleitsystemen oder Energieversorgern eingesetzt. Da der
Trend der letzten Jahre immer weiter in die Richtung vernetzte Systeme voran-
schreitet, Stichwort Industrie 4.0, entstehen immer mehr SCADA-Systeme, welche
über IP gesteuert werden.
Dieser Sachverhalt führt dazu, dass immer mehr Kriminelle Cyberangriffe auf
SCADA-Systeme durchführen und damit großen Schaden anrichten. Die bei Cy-
berangriffen eingesetzten Techniken werden stets weiterentwickelt – als Betreiber
von Produktionsanlagen muss man sich auf diese Bedrohungen einstellen. In dieser
Arbeit wird anhand einer netzwerkforensischen Untersuchung aufgezeigt, wie ein-
fach solch ein Angriff bzw. eine Manipulation durchgeführt werden kann.
In einem Testlabor wird mittels einer Siemens S7-Steuerung, die einen Produkti-
onsablauf steuert, die mögliche Manipulation von Netzwerk-Paketen aufgezeigt. Die
Ergebnisse zeigen, dass solche Manipulationen in Produktionsumgebungen mög-
lich sind. Die Ergebnisse zeigen auch, dass Cyberkriminelle, wenn sie die
Perimetergrenzen überwunden haben, ein leichtes Spiel haben um SCADA-Sys-
teme manipulieren zu können.
Die Herausforderung besteht darin, in Zukunft ungeschützte SCADA-Netzwerke vor
Cyberangriffen abzusichern. Das Thema IT-Sicherheit in Industrieanlagen gewinnt,
zusammen mit der Vernetzung und Digitalisierung, immer mehr Bedeutung. Bereits
heute ist es möglich, eine Anlage von einem beliebigen Standort aus zu steuern und
diese direkt oder indirekt über das Internet anzusteuern. Im Fachgebiet der IT-Si-
cherheit besteht weitgehend Einigkeit darüber, dass die IT-Sicherheit der Feldbusse
und Industrial-Ethernets, deren Entwicklung teilweise viele Jahre zurückliegt, nicht
den heutigen Sicherheitserwartungen entspricht.
Es stellt sich die Frage nach vorhandenen Schwachstellen und wie diese behoben
werden können, sodass mögliche Angriffe in Zukunft verhindert oder wenigstens
erschwert werden können.
iv
KURZFASSUNG II
ABSTRACT III
1 EINLEITUNG 1
1.1 MOTIVATION 2
1.2 PROJEKTPARTNER 4
1.3 WICHTIGE GRUNDBEGRIFFE 5
2 ANALYSE DER AUFGABENSTELLUNG 10
2.1 AUSGANGSSITUATION 10
2.2 ZIELSETZUNG 10
2.3 ZIELGRUPPE 11
2.4 ABGRENZUNG 12
3 THEORETISCHE GRUNDLAGEN DER IT-SICHERHEIT 13
3.1 THEORETISCHE ANGRIFFSTECHNIKEN 14
3.1.1 DIE SNIFFING-ATTACKE 14
3.1.2 MAN-IN-THE-MIDDLE-ATTACKEN (MITM) 15
3.1.3 DISTRIBUTED DENIAL OF SERVICE (DDOS)-ATTACKE 18
4 DIGITALE FORENSIK 19
4.1 GERICHTSFESTE DOKUMENTATION UND AUSWERTUNG 19
4.2 DATENTRÄGERFORENSIK / COMPUTER-FORENSIK 21
4.3 NETZWERKFORENSIK & CLOUDFORENSIK 22
4.4 DAS TCP/IP-VERBINDUNGSPROTOKOLL 24
4.5 EINGESETZTE TOOLS 25
4.5.1 WIRESHARK 25
4.5.2 PLC-SCANNER 26
v
5 DIE LABORUMGEBUNG 28
5.1 AUFBAU EINER SCADA-NETZWERK LABORUMGEBUNG 29
5.2. BESCHREIBUNG DER EINGESETZTEN KOMPONENTEN 29
5.2.1 EIN- UND AUSGABEGERÄTE 30
5.2.2 INDUSTRIE-PC 31
5.2.3 SPEICHERPROGRAMMIERBARE STEUERUNG 31
5.2.4 AUFBAU DER EINZELNEN KOMPONENTEN 32
5.2.5 FUNKTIONSWEISE 34
5.2.6 INTELLIGENT ELECTRONIC DEVICES 34
5.2.7 DATENFERNÜBERTRAGUNGSEINHEIT 35
5.2.8 BENUTZERSCHNITTSTELLE 35
5.2.9 SERVICES UND SOFTWARE 35
5.2.10 SCADA 36
5.2.11 FERNWARTUNG 35
5.2.11 KOMMUNIKATION 39
5.2.12 FELDBUSSE 40
5.3 INSTALLATION DER LABORUMGEBUNG 41
5.4 INBETRIEBNAHME DES LABORNETZWERKES 43
5.4.1 AUFBAU EINES SPS-PROGRAMMES DER SIEMENS S7 300 44
5.4.2 AUFBAU EINER MINIMALEN, MODULAREN SPS: 44
5.5 ABLAUF EINES PRODUKTIONSPROZESSES 49
6 DER ANGRIFF 52
6.1 AUSWÄHLEN EINES GEEIGNETEN EXPLOITS 52
6.2 MÖGLICHE ANGRIFFSSZENARIEN 53
6.3 VORGEHENSWEISE DER HACKER 54
vi
7 ENTWICKLUNG EINES MONITORING-KONZEPTES 67
7.1 ERKENNUNG MITTELS IDS-SYSTEM 68
7.1.1 SIGNATURBASIERTE NETZWERKERKENNUNG 71
7.1.2 HEURISTISCHE NETZWERKERKENNUNG 68
7.2 EINRICHTUNG EINES IDS-SYSTEMS 69
8 ERGEBNISSE 82
9 ZUSAMMENFASSUNG UND AUSBLICK 80
10 LITERATURVERZEICHNIS 84
11 ABBILDUNGSVERZEICHNIS 88
12 ABKÜRZUNGSVERZEICHNIS 90
13 ANHANG 91
14 EHRENWÖRTLICHE ERKLÄRUNG 92
- 1 -
1 Einleitung
Die vorliegende Bachelorarbeit beschäftigt sich mit dem Themengebiet der IT-
Sicherheit, darunter insbesondere Cyberangriffe auf SCADA1-Netzwerke.
Ein Angriff auf eine bestehende IT-Infrastruktur lässt sich allgemein etwa so de-
finieren, dass ein mehr oder weniger zielgerichteter Vorgang durchgeführt wird,
der beim Angegriffenen einen Schaden hervorrufen bzw. dem Angreifer einen
entsprechenden Nutzen bringen soll. Mögliche Ziele eines solchen Cyberangriffs
werden im folgenden Grundlagenkapitel beschrieben. Im Gegenzug gilt ein IT-
System als „sicher“, wenn der Aufwand zur Durchführung eines erfolgsverspre-
chenden Angriffs den erwarteten Gewinn bei Weitem übertrifft und entsprechend
abschreckend wirkt.2
Im Anschluss an die vorliegende Einleitung, die bereits einige elementare Be-
griffe definiert, wird im zweiten Kapitel zunächst eine Analyse der
Aufgabenstellung vorgenommen. Um eine vollständige Analyse durchzuführen,
soll zunächst eine vorliegende Ausgangssituation beschrieben und im Anschluss
eine definierte Zielsetzung ausformuliert werden. Hieraus ergibt sich letztendlich
auch die das Bachelorarbeit zugrundeliegende Problem- bzw. Fragestellung, die
im weiteren Verlauf bearbeitet werden wird.
Das Grundlagenkapitel ist so strukturiert, dass zunächst einige Begriffe definiert
werden, die einem grundlegenden thematischen Verständnis dienen werden. Ins-
besondere wird hier auch eine Einführung in den Bereich der IT-Sicherheit
erfolgen, darunter auch eine kurze juristische bzw. strafrechtliche Betrachtung.
Es wird eine Kategorisierung verschiedener Schadensfälle vorgenommen, sowie
eine Erläuterung der prinzipiellen Ziele der IT-Sicherheit als auch ihrer natürli-
chen Grenzen.
Zwei Teilgebiete der IT-Sicherheit werden im Rahmen der vorliegenden Arbeit
besonders beleuchtet werden, die Digitale Forensik sowie die Netzwerkforensik
als Spezialgebiet. Auch diese Begriffe werden in den Grundlagen definiert,
1 SCADA: Supervisory Control and Data Acquisition 2 Vgl. (Eckert, 2014), S. 313
- 2 -
ebenso wie hier eingesetzte Tools wie Wireshark und PLC-Scanner, die in den
genannten Teilgebieten der IT-Sicherheit, insbesondere der Netzwerkforensik,
sozusagen als Standards etabliert und entsprechend weit verbreitet sind.
Im Anschluss daran folgt im Hauptteil die eigentliche netzwerkforensische Unter-
suchung bzw. Betrachtung eines konkreten Angriffs. Hierauf basierend wird ein
Monitoring- bzw. Überwachungskonzept implementiert. Dies geschieht bevor die
Ergebnisse der Arbeit in einem eigenen Kapitel zusammengefasst werden.
Die Arbeit schließt daraufhin mit einer Zusammenfassung und einem Ausblick.
1.1 Motivation
Es spielt keine Rolle, ob vollautomatisierte, robotergesteuerte Produktionslinie in
Fabriken oder Netzwerke in KRITIS-Umgebungen, wie z. B. in Kraftwerken, Kran-
kenhäusern oder Wasserwerken: Unsere moderne, vernetze Welt gerät immer
stärker ins Fadenkreuz von Cyberkriminellen. Malwaretypen wie WannaCry,
NotPetya, TRISIS, Stuxnet etc. sind hier als einige besonders herausragende
Fälle zu nennen. Diese verursachten teilweise beträchtliche Schäden, auch die
Medien beschäftigten sich beispielsweise mit Vorfällen in Krankenhäusern oder
bei der Deutschen Bahn.
Die Praxis zeigt, dass viele Industrienetze noch nicht ausreichend geschützt sind.
Daher sind Aufklärung, intensive Beratung und die Umsetzung von geeigneter
Security-Infrastruktur ein wichtiges Thema. Die Gefahr von Sabotage und Cy-
berangriffen gilt insbesondere für sogenannte kritische Infrastrukturen (KRITIS),
zum Beispiel Energie- oder Wasserversorgungsunternehmen. Hier könnte eine
mögliche Intention eines Cyberangriffs sein, diese Einrichtungen zu sabotieren,
um möglicherweise schwerwiegende Folgeschäden anzurichten. Die Bedeutung
der Arbeit liegt vor allem darin, den Unterschied zwischen der klassischen IT-
Umgebung und der OT-Umgebung aufzuzeigen.
IT-Security-Konzepte, welche mittlerweile sehr ausgereift in der klassischen IT-
Welt zur Verfügung stehen, können jedoch nicht 1:1 auf Industrie-Umgebungen
- 3 -
angewendet werden. SCADA-Netzwerke stehen unter einem hohen Risiko, fol-
gende Abbildung stellt ein SCADA-Netzwerk dar:
Bild 1: Cyberbit
SCADA-Systeme versorgen Prozessleitstellen mit Echtzeitdaten über den Pro-
duktionsbetrieb, verbessern die Sicherheit von Anlagen und Personal und
senken auf diese Weise die Betriebskosten.
Diese Vorteile liegen in der Verwendung von Standardhardware und -software in
SCADA-Systemen in Verbindung mit verbesserten Kommunikationsprotokollen
und verbesserter Konnektivität zu externen Netzwerken, einschließlich dem In-
ternet. Diese Vorteile werden jedoch mit dem Preis einer erhöhten Anfälligkeit,
insbesondere auch für Angriffe aus verschiedenen externen und internen Quel-
len, erkauft bzw. in Kauf genommen.
Die Anwendungsgebiete von SCADA-Netzwerken in der heutigen Welt sind sehr
vielfältig. SCADA-Systeme steuern und überwachen industrielle und kritische Inf-
rastrukturfunktionen wie Strom, Gas, Wasser, Abfall, Bahn, Verkehr und
Produktion. Die jüngsten Angriffe auf SCADA-Systeme unterstreichen die Not-
wendigkeit von SCADA-Sicherheitstests, mit dem reale SCADA-Systeme
modelliert und die Auswirkungen von Angriffen darauf untersucht werden kön-
nen. Insbesondere in der neuen Industrie 4.0 Umgebung besteht die
- 4 -
Notwendigkeit Maschinen und Anlagen verschiedener Hersteller einfach zu kop-
peln, um Bearbeitungsprozesse weiter zu beschleunigen und neue
Anwendungen zu ermöglichen.
1.2 Projektpartner
Der Projektpartner der Thesis ist die Phalanx-IT GmbH. Die Phalanx-IT GmbH
bietet als Security-, Netzwerk- und IT-Forensik-Spezialist sowie Systemintegrator
hochwertige IT-Sicherheits- und Netzwerklösungen an. Das Portfolio reicht dabei
von der Beratung, Planung, Installation und Wartung bis zum kompletten Betrieb
von Kundennetzwerken.
Phalanx-IT berät über die gesamte Bandbreite verschiedener Sicherheitsinfra-
strukturen am Internet-Perimeter, darunter Penetrationstests, der
Implementierung mehrstufiger Firewall-Infrastrukturen, Content-Security, LAN-
Security oder auch im Bereich Authentifizierung und Data Loss-Protection.
Um die Top-Down-Sicherheitsphilosophie zu berücksichtigen werden mittlerweile
mehrstufige Firewall-Lösungen eingesetzt und zentral verwaltet. Gemeinsam mit
dem Kunden entwickelt die Phalanx-IT maßgeschneiderte Lösungen um Sicher-
heitskonzepte im Industrie-Bereich optimal einzusetzen. Im Rahmen von
Sicherheitsüberprüfungen und Penetrationstests wird immer wieder festgestellt,
dass Industrienetzwerke nur ungenügend abgesichert sind. Phalanx-IT stellte im
Rahmen dieser Arbeit die komplette Soft- und Hardware der SCADA-Umgebung
in einem Labor zur Verfügung.
Darüber hinaus wird ein breitgefächertes Feld der IT-Forensik bzw. Digitalen Fo-
rensik abgedeckt. Der Begriff der Digitalen Forensik wird in einem eigenen,
späteren Artikel noch definiert und erläutert. Hier werden State-of-the-Art Soft-
warelösungen eingesetzt, wie beispielsweise die UFED-Softwarelösung von
Cellebrite im Bereich der Mobilfunkforensik oder das Access Data Forensik Tool-
kit (FTK), einer der Standardlösungen im Bereich der klassischen
Datenträgerforensik. Doch auch neben diesen professionellen, kommerziellen
- 5 -
Lösungen ist es oft sinnvoll zusätzlich über quelloffene, open-Source-basierte Al-
ternativen zu verfügen, wie beispielsweise die linuxbasierte Software „The Sleuth
Kit“.
Die Phalanx-IT GmbH begleitet in diesem Zusammenhang beispielsweise bei be-
hördlichen Durchsuchungsmaßnahmen und begleitet auch in der Folge den
Auswerteprozess digitaler Beweismittel. Die den Maßnahmen zugrundeliegen-
den Deliktbereiche sind vielfältig, u.a. unterstützt Phalanx-IT bei
Kapitalverbrechen, im Bereich der Wirtschaftskriminalität oder auch bei Cyber-
crime. Ziel ist es zum einen Beschuldigte bzw. Tatverdächtige zu ermitteln und
zum anderen auch mögliche Schwachstellen zu identifizieren, um deren Auftre-
ten in Zukunft verhindern zu können. Neben Strafverfolgungs-, Finanz- und
Justizvollzugsbehörden zählen hier auch Versicherungen, Sicherheitsabteilun-
gen und interne Ermittlungsabteilungen zu den potenziellen Kunden.
1.3 Wichtige Grundbegriffe
Dieses Kapitel beschäftigt sich mit der Entwicklung von SCADA-Systemen, ihren
Eigenschaften, Funktionen, typischen Anwendungsszenarien und allgemeinen
Sicherheitsfragen. Beschäftigt man sich mit Steuerungsnetzwerken muss man
sich mit der Nomenklatur in diesem Bereich auskennen. In klassischen IT- oder
Office-Umgebungen spricht man von der Information Technology, im Steue-
rungs- und Produktionsbereich spricht man allgemeinhin von der Operation
Technology.
Unter Supervisory Control and Data Acquisition (SCADA) versteht man das Über-
wachen und Steuern technischer Prozesse mittels eines Computersystems.
SCADA-Systeme sind wichtige Bestandteile in kritischen Infrastrukturen. Man
steuert damit Anlagen bei Energieversorgern, Pipelines, Raffinerien, chemische
Anlagen und natürlich viele Fertigungsprozesse in Produktionsanlagen. Aus die-
sen Gründen haben diese Netzwerke eine sehr hohe Anforderung an IT-
Sicherheitsstandards - und diese müssen auch regelmäßig angepasst werden.
- 6 -
SCADA-Systemarchitektur - Eine spezifische Terminologie ist mit den Kompo-
nenten von SCADA-Systemen verbunden. Diese SCADA-Elemente sind wie folgt
definiert:
Operator: Humanoperator, der das SCADA-System überwacht und Über-
wachungsfunktionen für den Remote-Anlagenbetrieb übernimmt.
Human Machine Interface (HMI): Zeigt dem Bediener Daten an und stellt
Steuereingaben in einer Vielzahl von Formaten zur Verfügung, ein-
schließlich Grafiken, Schemata, Fenstern.
Master Terminal Unit (MTU): Entspricht einer Master-Einheit innerhalb ei-
ner Master-/Slave-Architektur. Die MTU stellt dem Bediener Daten über
die HMI zur Verfügung, sammelt Daten von der entfernten Stelle und
überträgt Steuersignale an die entfernte Stelle. Die Übertragungsrate von
Daten zwischen der MTU und dem Remote-Standort ist mit wenigen
Bytes pro Sekunde niedrig und das Steuerverfahren ist wegen möglicher
Zeitverzögerungen oder Datenflussunterbrechungen offen.
Kommunikation bedeutet: Kommunikationsmethode zwischen MTU und
Fernbedienungen. Die Kommunikation kann über das Internet, drahtlose
oder kabelgebundene Netzwerke oder das geschaltete öffentliche Tele-
fonnetz erfolgen.
Remote Terminal Unit (RTU): Fungiert als Slave in der Master / Slave-
Architektur. Sendet Steuersignale an das gesteuerte Gerät, erfasst Da-
ten von diesen Geräten und überträgt die Daten an die MTU. Eine RTU
kann eine Speicher Programmierbare Steuerung (SPS) sein.3
3 Vgl. (Knapp & Langill, 2015), S. 63ff
- 7 -
Die Sicherheitsprobleme von SCADA-Netzwerken sind primär auf die folgenden
drei Gründe zurückzuführen:
1. Insecure „by Design“ ICS-Anlagen sind auf Hochverfügbarkeit ausgelegt
und nicht auf Sicherheit, aus diesem Grund findet man häufig eine flache
Netzwerkstruktur vor. Designbedingt wurden die Systeme und die Proto-
kolle chronologisch vor dem Internetzeitalter entwickelt, was bedeutete,
dass in ihrem Design keinerlei besonderen Sicherheitsaspekte berück-
sichtigt wurden. Die SCADA-Protokolle verwenden keine Authentifizierung
um schlank und effizient zu bleiben und sind daher für Angreifer, die sich
erst einmal Zutritt verschafft haben, sehr einfach zu manipulieren. Viele
Steuerungsanlagen werden selten aktualisiert, ein Patch-Management
wie z. B. im Bereich der Office-IT existieren nicht oder nur sehr einge-
schränkt.
2. Breite Vernetzung: Moderne ICS-Anlagen werden immer komplexer und
müssen oftmals zwangsweise auch vernetzt werden. Fernzugriffe der An-
lagenhersteller sind ein immer häufiger anzutreffendes Wartungselement.
Dadurch findet eine Verschmelzung von IT und OT (Operation Technolo-
gie) statt.
Immer häufiger sind Systeme anzutreffen, darunter auch IoT- und Indust-
rie 4.0-Devices und deren Applikationen, die sämtliche Zustände des
Produktionsprozesses und der Anlage protokollieren und überwachen.
Dadurch wird auch ein externer Zugriff immer wichtiger.
3. In Industrieanlagen fehlt darüber hinaus häufig auch noch eine zusam-
menhängende Assets-, Befehls- und Kommunikationsstruktur.
Dies kommt zum einen durch Multi-Hersteller-Umgebungen. Die einzelnen
Schichten der Netzwerke wurden über Jahre aufgebaut und einfach weiter
„vernetzt“. Und aus diesem Grund gibt es keine einheitliche Überwachung
- 8 -
der OT. Industrielle Netzwerke öffnen sich der Welt, verbinden sich mit
Unternehmensnetzwerken und sogar mit dem World Wide Web.
Diese Trends, das Internet der Dinge (Internet of Things), Fernzugriff und
-Wartung und vieles mehr, setzen diese Netzwerke einem hohen Risiko
aus. Es gibt eine riesige Sichtbarkeitslücke - Nicht-IP-Geräte, Rouge-Ge-
räte und unbekannte Industriecomputer können als Einstiegsund
Angriffspunkte für Hacker verwendet werden.
Die meisten Industrieprotokolle wurden nicht auf Sicherheit ausgelegt und
sind von Natur aus unsicher. Das Verständnis dieser Sicherheitsmängel
und deren Ausnutzung ist für Eindringungstests und Bedrohungsmodellie-
rung von ICS-Umgebungen von entscheidender Bedeutung.
Im Rahmen der Spezifizierung der Industrieprotokolle wurde der Fokus nicht auf
Sicherheit ausgelegt – diese sind demnach von Natur aus als unsicher anzuse-
hen. Das Verständnis dieser Sicherheitsmängel und deren potenzielle
Nutzbarkeit sind für Penetrationstests und Bedrohungsmodellierung von ICS-
Umgebungen von entscheidender Bedeutung.
Bild 2: Laboraufbau der SIMATIC S7-Steuerung
- 10 -
2 Analyse der Aufgabenstellung
Im Rahmen des vorliegenden Kapitels wird zunächst kurz die gegenwärtige Situ-
ation beleuchtet und darauf basierend eine Zielsetzung definiert werden.
2.1 Ausgangssituation
Die Anwendungsgebiete von Industrie-Steuerungs-Systemen in der heutigen
Welt sind sehr vielfältig. Sie werden unter anderem in den Bereichen KRITIS,
chemischer Industrie, Produktionsanlagen, bei Industrie 4.0 Anlagen eingesetzt.
Insbesondere kommen diese Systeme auch bei einer Vielzahl von „Industry of
Things” - Anwendungen zum Einsatz. Das macht SCADA-Systeme zu einem at-
traktiven Ziel für Hacker und stellt Betreiber von solchen Systemen vor ganz neue
Security-Herausforderungen.
2.2 Zielsetzung
Das Ziel der Bachelorarbeit ist, einen verifizierbaren Katalog von Sicherheits-An-
forderungen zu erstellen, an denen die hier vorgestellte Lösung bewertet wird.
Unter anderem zeigt die Bachelorarbeit auf wie einfach es ist, in heutige Indust-
rie-Netzwerke einzudringen und Produktionsanlagen mit entsprechenden
Steuerungen erfolgreich anzugreifen. Es wird gezeigt wie diese dann manipuliert
werden können. Und die Bachelorarbeit soll einen Ausblick geben wie man sich
vor solchen Angriffen mit geeigneten Sicherheitsmaßnahmen und Sicherheits-
konzepten schützen kann. Die Absicherung dieser überaus kritischen Netzwerke
ist ein wichtiges Thema welches in Zukunft immer mehr betrachtet werden muss.
Da die Verschmelzung von IT und OT (Operation Technologie) immer mehr statt-
finden wird.
- 11 -
Bild 4: Kuka Roboter
2.3 Zielgruppe
Die Zielgruppe der Arbeit sind alle Betreiber von SCADA-Netzwerken. Welche
sich insbesondere mit der Absicherung der Steuerungsnetze beschäftigen. Wenn
man Informationen aus seiner Produktion besser aufbereitet und intelligenter
nutzt, dann kann man effizienter und wirtschaftlicher steuern. Die Absicherung
und die Sichtbarkeit der Netze wird aufgezeigt, dadurch können für die Betreiber
Entscheidungen beschleunigt werden, die einzelnen Maschinen werden besser
ausgelastet, ungeplante Stillstandzeiten können vermieden sowie die Produkt-
und Prozessqualität gezielt gesteigert werden.
- 12 -
2.4 Abgrenzung
Bei der großen Vielfalt von Cybergefahren und täglich neu aufkommenden Zero
Day und APT-Angriffen ist es nicht möglich alle bestehenden Gefahren in dieser
Arbeit zu besprechen. Durch die starke Zunahme von Sabotage und Spionage
durch Cyberangriffe, also gezielte aktive Hacking-Angriffe gegen Industrienetz-
werke und Infrastrukturen können auch nicht alle Varianten in dieser Arbeit
aufgezeigt werden.
- 13 -
3 Theoretische Grundlagen der IT-Sicherheit
„IT-Sicherheit hat die Aufgabe, Unternehmen und deren Werte (Know-How,
Kundendaten, Personaldaten) zu schützen und wirtschaftliche Schäden, die
durch Vertraulichkeitsverletzungen, Manipulationen oder auch Störungen der
Verfügbarkeit von Diensten des Unternehmens entstehen können, zu verhin-
dern.“4
Die folgenden Grundlagenabschnitte sollen eine Einführung in die Grundlagen
der IT-Sicherheit geben. Hier werden die Grundlagen für das Verständnis des
Hauptteils relevanten Themen angesprochen.
Zum Schutz einer IT-Infrastruktur gilt es zunächst allgemeinhin, die schützens-
werten Daten zu identifizieren und geeignete Mechanismen einzusetzen, um
einem potenziellen Angreifer das Leben zu erschweren. Sind kritische Daten o-
der Systeme identifiziert, sollten verantwortliche IT-Sicherheitsexperte sich
gemeinsam mit den Verantwortlichen des Unternehmens beispielsweise die
Frage stellen, welche Ziele ein Angreifer bei einem Angriff auf die bestehende IT-
Infrastruktur verfolgen mag.
Die von Eckert angeführte Definition der IT-Sicherheit in Unternehmen gilt wohl
als eine der komplettesten, die in der deutschen Fachliteratur anzutreffen ist.
Letztlich liegt der Fokus der IT-Sicherheit in Unternehmen darin, sowohl jeglichen
wirtschaftlichen Schaden aber auch mögliche Reputationsschäden vom jeweili-
gen Unternehmen fernzuhalten.
Bei den in der Vergangenheit bekanntgewordenen, erfolgreichen Hacks, wie bei-
spielsweise der Sony- 20145 der Yahoo-Hack 20146 haben die betroffenen
Unternehmen, neben konkreten wirtschaftlichen Schäden, stets auch damit ein-
hergehende Imageschäden zu verzeichnen.
4 Siehe (Eckert, 2014), S. 1 5 Vgl. (Kittichaisaree, 2014), S. 33 6 Vgl. (Gilchrist, 2017), S. 181
- 14 -
In Zuge der Diskussion um IT-Sicherheit gilt es jedoch zunächst sich mit dem
Gedanken auseinanderzusetzen, dass 100%ige Sicherheit eben nicht existiert.7
Diese Grundregel trifft vollumfänglich auch auf den Bereich der IT-Sicherheit zu:
Aus diesem Grund befasst sich die IT-Sicherheit mit Möglichkeiten und Ansätzen
einer Risikominimierung. Es gilt, Schwachstellen bzw. potenzielle Angriffsziele
möglichst vor deren missbräuchlichen Verwendung zu identifizieren und auszu-
schalten bzw. zu minimieren.
3.1 Theoretische Angriffstechniken
Im vorliegenden Kapitel sollen einige der bekanntesten und weitverbreitetsten
Angriffstechniken zunächst einmal theoretisch vorgestellt werden, bevor im wei-
teren Verlauf einige der hier angeführten Techniken praktisch aufgegriffen und
innerhalb eines konkreten Szenarios eines SCADA-Netzwerkes beleuchtet wer-
den.
3.1.1 Die Sniffing-Attacke
Eine der naheliegenden und einfachsten Attacken beim Datenaustausch über die
ist die sogenannte Sniffing-Attacke. Sniffing stammt aus dem Englischen von „to
sniff“ bzw. „schnüffeln“ und bezeichnet das Mitlesen des Datenverkehrs. Dies ist
zum einen möglich, um Anomalien innerhalb eines Netzwerks aufzuspüren oder
aber auch missbräuchlich möglich, um Informationen auszuspähen.
Es existieren verschiedene Sniffing-Tools, wie beispielsweise Wireshark bzw.
dessen Vorgänger Ethereal, die zum Aufzeichnen und der Analyse von über ein
Netzwerk ausgetauschten Daten dienen. Neben beispielsweise Wireshark exis-
tieren auch nicht-grafische Anwendungen, wie tcpdump, die zur Aufzeichnung
verschiedener Datentransfers verwendet werden können. Die anschließende
7 Vgl. (Klipper, 2010), S. 2
- 15 -
Auswertung kann dann mittels grafischer Tools wie Wireshark durchgeführt wer-
den. Wireshark selbst wird als eines der wichtigsten Tools in diesem
Zusammenhang in einem späteren Abschnitt nochmals vorgestellt.
3.1.2 Man-in-the-Middle-Attacken (MITM)
Auch bei Man-in-the-Middle-Attacken handelt es sich um einen Angriff, der in ver-
teilten Netzwerken Anwendung findet. Früher verstand man darunter, wie der
Name es bereits andeutet, einen Angreifer, der sich physisch zwischen zwei
Kommunikationspartner einklinkte. Im Anschluss aktivierte er die Weiterleitung
des Datentransfers, so dass keine (lange) Unterbrechung eintritt und die Kom-
munikationspartner keinen Verdacht schöpften.
Im Anschluss können die weitergeleiteten bzw. vermittelten Nachrichten natürlich
auch aufgezeichnet werden, um sie später analysieren zu können. Auf diese
Weise war es bis vor einigen Jahren sehr leicht möglich Zugangsdaten, also bei-
spielsweise Passwörter auszulesen können, da diese früher häufig
unverschlüsselt übertragen wurden.
Auch heute noch gelten Spoofing-Angriffe, wie ARP aber auch MITM-Angriffe, zu
beliebten Angriffsszenarien. Auch die heute eingesetzte Basisversion
von ARP implementiert keinerlei Schutz, wie etwa eine Verschlüsselung oder Au-
thentifizierung. Mithilfe von geeigneten Tools ist es einem Angreifer möglich, sich
gegenüber dem Netz mit einer anderen MAC-Adresse zu „maskieren“. Mit Ver-
wendung dieser kopierten MAC-Adresse, dem so genannten MAC-Spoofing,
erscheint er wie „verkleidet“ im Netz, im Prinzip als jemand anderes, respektive
als eine andere Hardware.
Unter ARP-Spoofing wird verstanden, dass ein Rechner vorgibt im Netz über eine
“neue” MAC-Adresse erreichbar zu sein. Wenn der Angreifer die MAC Adresse
des Default Gateway in einem Netzwerk übernommen hat, kann er den komplet-
ten Netzwerkverkehr der anderen Teilnehmer mitlesen.
- 16 -
IP-Spoofing: Wie beim MAC-Spoofing wird beim IP-Spoofing die Adresse durch
eine andere ersetzt. Dies kann eine beliebige existierende IP-Adresse eines Sys-
tems sein oder eine, die nicht verwendet wird. Eine bidirektionale Kommunikation
ist mit IP Spoofing nicht möglich, da die Antwort immer an die Source IP gesendet
wird. Sie kann aber dazu genutzt werden, ein System mit Anfragen zu überfluten
und so eine DoS-Situation zu schaffen.
DNS Spoofing: Generell ist das Ziel vom DNS-Spoofing, dass der Benutzer beim
Zugang auf eine Webseite, gefälschte Daten auf seinen Rechner lädt. Zu diesem
Zweck werden manipulierte Dokumente in den Nameservern hinterlegt. Am Ende
wollen die Hacker und Kriminellen dafür sorgen, dass man entweder einen Zu-
griff auf die Daten der Benutzer erhalten oder zumindest gefälschte Inhalte
präsentieren können.
Bild 5: Man-in-the-Middle-Attacke8
Damit wurde bereits deutlich, wie ein Man-in-the-Middle-Angriff theoretisch funk-
tioniert. Grundsätzlich laufen sicherheitsrelevante Verbindungen heute
verschlüsselt ab. Würde man die beispielsweise eine Verbindung zu einem
Mailserver aufzeichnen, hätte man beim Auslesen keinen so einfachen Erfolg
mehr, da heute derartige Verbindungen stets verschlüsselt werden.9 Früher hin-
gegen wurden auch Zugangsdaten oftmals unverschlüsselt übertragen.
8 (Tails, 2017), 2017 9 Vgl. (Dhanjani, et al., 2009), S. 77
- 18 -
3.1.3 Distributed Denial of Service (DDoS)-Attacke
Der potenzielle Schaden, der durch eine klassische DDoS-Attacke entstehen
kann, ist zunächst mal „lediglich“ das Blockieren der gewünschten Services. Das
bedeutet, eine DDoS-Attacke richtet sich in der Regel gegen ein vordefiniertes
Ziel oder ein Unternehmen. Wird beispielsweise die Homepage des Unterneh-
mens auf einem eigenen Webserver ausgeführt, ist dieser natürlich vom Internet
aus zu erreichen. Wird eine Verbindung aus dem Internet zu diesem Webserver
aufgebaut, so wird die entsprechende Firmenhomepage übertragen und der po-
tenzielle Kunde kann sich über die Leistungen oder Produktpalette des
Unternehmens informieren. Dies stellt einen ganz typischen Vorgang und somit
auch kein Problem dar.10
Würde die Anfrage auf die Homepage des Unternehmens jedoch nicht von einem
System, sondern von vielen, tausenden Systemen zeitgleich durchgeführt, würde
folgendes Problem auftreten: Die Vielzahl der anfragenden Systeme würden den
Webserver des Unternehmens überlasten. Die Folge ist, dass der Webserver die
eingehenden Anfragen nicht mehr bearbeiten und letztlich keiner der Anfrage-
steller die Firmenhomepage darstellen kann. Sollten sich unter den Besuchern
bzw. den Anfragen auch reguläre Anfragen möglicher Kunden befinden, so könn-
ten diese ebenfalls die Firmenhomepage nicht mehr darstellen – die Homepage
ist schlimmstenfalls solange nicht verfügbar, solange der Angriff andauert,11 wo-
bei auch hier natürlich mittlerweile Techniken existieren, die das Risiko eines
erfolgreichen Angriffs verringern können.
10 Vgl. (Steinschaden, 2012), S. 15 11 Vgl. (Steinschaden, 2012), S. 15
- 19 -
4 Digitale Forensik
Ein wichtiger Teilbereich der neuen privatwirtschaftlichen-, polizeilichen- und
nachrichtendienstlichen Tätigkeiten existiert in Form der Digitalen Forensik. Die
Digitale Forensik beschäftigt sich mit der gerichtsfesten, also dokumentierten und
nachvollziehbaren Auswertung, digitaler Datenträger.12 Dazu gehören auf der ei-
nen Seite die konventionellen Datenträger wie beispielsweise Desktop-PCs,
Notebooks, USB-Speichermedien, Speicherkarten usw. und auf der anderen
Seite mobile Datenträger, wie Smartphones oder auch Tablets, die ebenfalls im-
mer größere Datenmengen speichern können. Sie befasst sich demnach mit der
„Sicherung und Analyse von Daten aus IT-Systemen mit wissenschaftlichen Me-
thoden, um damit vor Gericht Sachverhalte […] beweisen zu [können].“13 Darüber
hinaus existieren noch einige weitere Spezialgebiete in der digitalen Forensik,
wie beispielsweise die Netzwerk- oder die Speicherforensik. Insbesondere auf
die Netzwerkforensik wird im Rahmen der vorliegenden Arbeit zu einem späteren
Zeitpunkt noch eingegangen.
4.1 Gerichtsfeste Dokumentation und Auswertung
Eine der wichtigsten Säule der klassischen Digitalen Forensik liegt in der Unver-
änderlichkeit der auszuwertenden Daten. Im Rahmen der noch vergleichsweise
jungen Mobilfunkforensik sind jedoch Tendenzen zu erkennen, dass zur Auswer-
tung der Mobilfunkgeräte eine dokumentierte Veränderung der Geräte notwendig
wird. Auch im Falle der Live- bzw. der Netzwerkforensik ist in einigen Fällen eine
(dokumentierte) Datenveränderung zur Informationsgewinnung erforderlich.
Um nachweisen zu können, dass Daten während einer Auswertung unverändert
sind, bedienen sich die Gutachter einiger Verfahren, die dies dokumentieren.
12 Vgl. (Rouse, 2013) 13 Vgl. (Heinson, 2015), S. 17
- 20 -
Hierzu zählen insbesondere der Einsatz von Hash-Algorithmen, wie beispiels-
weise MD514, SHA115 oder SHA-256.16 Einem Hash-Algorithmus kann ein
beliebiger Eingabewert übergeben werden – dies kann ein einziger Buchstabe
oder eine Ziffer sein, ein Worddokument oder auch der gesamte Datenbestand
einer Festplatte oder SSD. Heute sollten verstärkt Hashfunktionen wie SHA-256
eingesetzt werden, um die Kollisionswahrscheinlichkeit möglichst gering zu hal-
ten.
Solange sich der Dateninhalt nicht ändert, wird durch den Hash-Algorithmus stets
der identische Hashwert berechnet. Würde jedoch nur ein einziges Zeichen –
lediglich ein einziges Bit des zugrundeliegenden Datenbestandes verändert wer-
den, so würde sich der Hashwert völlig verändern.17 Hier spricht man vom
sogenannten Lawineneffekt.
Auf diese Weise wird es möglich, einen Untersuchungsgegenstand, also bei-
spielsweise eine Festplatte, zu untersuchen und im Anschluss nachzuweisen,
dass der gesamte Datenbestand unverändert geblieben ist.18 Es ist lediglich zu
beachten, dass der Zugriff auf den Datenbestand schreibgeschützt durchgeführt
wird. Üblicherweise wird hierzu eine bitweise Kopie durchgeführt und die Aus-
wertung der erstellten Kopie durchgeführt.
An dieser Stelle soll eine kurze Erläuterung der prinzipiellen Vorgehensweise ei-
ner solchen Auswertung zusammengefasst werden: Es wird zunächst
(schreibgeschützt) eine Sicherung bzw. ein Image der gesamten Festplatte er-
stellt.19 Hierbei wird sichergestellt, dass auch vermeintlich ungenutzte Sektoren
(also Speicherbereiche) gesichert werden, um später ggfs. gelöschte Daten wie-
derherstellen zu können. Nach Abschluss des Sicherungsvorgangs wird ein
Hashwert über den Echtdatenbestand sowie ein Hashwert über die durchge-
führte Sicherung gebildet – die beiden Hashwerte werden dann miteinander
14 MD5: Message-Digest Algorithm 5 15 SHA: Secure Hash Algorithm 16 Vgl. (Barnaby, et al., 2006), S. 153f 17 Vgl. (Barnaby, et al., 2006) 18 Vgl. (Heinson, 2015), S. 150 19 Vgl. (Heinson, 2015), S. 32
- 21 -
verglichen. Ist die Überprüfung erfolgreich, wurde gewährleistet, dass der Origi-
naldatenbestand und der Datenbestand der Sicherung identisch sind. Die
Datenintegrität ist somit gewährleistet.
Aufgrund der Fokussierung der vorliegenden Arbeit auf den Bereich der Netz-
werkforensik wird auf einen tieferen Einstieg in diese Materie jedoch an dieser
Stelle verzichtet. Es sollte lediglich verdeutlicht werden, um welch komplexe The-
matik es sich bei der Auswertung digitaler Datenträger es sich handelt.
Wie aus dem vorangegangenen Abschnitt bereits ersichtlich wird, ist die Unver-
änderlichkeit elementar wichtig, doch auch die Dokumentation ist im
Zusammenhang mit der Untersuchung digitaler Datenträger von entscheidender
Bedeutung.
Die anschließenden Unterpunkte sollen einen kleinen Einstieg in die Datenträger-
, Mobilfunk-, bzw. Netzwerkforensik ermöglichen, da diese Teilbereiche sowohl
in den Aufgabenbereich der Phalanx-IT GmbH fallen und ebenso wichtig für das
technische Verständnis der vorliegenden Arbeit sind.
Abschließend soll an dieser Stelle nochmals Eckert zitiert werden, der zur Digi-
talen Forensik schreibt, dass diese „angesichts der Zunahme von Straftatdelikten
und Industrie- bzw. Spionagefällen im Bereich der IT zunehmend an Bedeutung
gewinnt“.20 Ein Ende dieser Entwicklung ist derzeit nicht abzusehen, lediglich
eine marginale Verschiebung einzelner Forensik-Sparten, beispielsweise hin zur
Mobilfunkforensik.
4.2 Datenträgerforensik / Computer-Forensik
Die Datenträgerforensik befasst sich neben der Auswertung klassischer Desktop-
Systeme, Notebooks, Serversystemen und weiteren Speichermeiden wie USB-
Sticks oder Speicherkarten, beispielsweise aus Smartphones oder Digitalkame-
ras. Sie „bezeichnet die gerichtsverwertbare, systematische Analyse von IT-
20 (Eckert, 2014), S. 34
- 22 -
Geräten. Sie deckt die Spurensuche, Beweismittelsicherung und die Rekonstruk-
tion von Abläufen an IT-Geräten ab, die in mögliche, kriminelle Handlungen
einbezogen waren.“21
Wie Eingangs bereits erläutert, ist es bei der Datenträgerauswertung elementar
wichtig, dass nachgewiesen werden kann, dass das untersuchte Gut im Verlauf
der Auswertung unverändert geblieben ist.22
4.3 Netzwerkforensik & Cloudforensik
Einen anderen Zweig der Digitalen Forensik bildet die Netzwerkforensik – oder
gelegentlich auch als Live-Forensik bezeichnet. Der Begriff der Live-Forensik ist
jedoch etwas Zweideutig, da mit einer Live-Forensik auch die Auswertung am
eingeschalteten „Live“-System gemeint sein kann. Aus diesem Grund wird allge-
meinhin in diesem Zusammenhang eher von der Netzwerkforensik gesprochen.
Dewald und Freiling beispielsweise definieren die Netzwerkforensik allgemein mit
der „Sicherung und Analyse von flüchtigen Spuren […] im Netz.“23
Die Netzwerkforensik bezeichnet somit den Vorgang einen Netzwerkmittschnitt
im bzw. an einem laufenden System oder Netzwerkgerät durchzuführen. Dies
kann beispielsweise der Netzwerkverkehr einer ganzen Organisation, einer Ab-
teilung oder eines einzelnen Arbeitsplatzes sein. Der Mittschnitt dient
beispielsweise dazu, herauszufinden, ob ein Beschuldigter eine bestimmte Web-
seite oder einen bestimmten Webdienst aufgerufen hat.24 Auf diese Weise
können wertvolle Ermittlungsansätze auch dann gewonnen werden, wenn bei-
spielsweise zu vermuten ist, dass der Verdächtige sich mittels technischer
Sicherheitsmaßnahmen – wie beispielsweise einer Vollverschlüsselung seiner
Festplatte – dem den Zugriff von Strafverfolgungsbehörden entziehen möchte.25
Die Netzwerkforensik spielt für die vorliegende Arbeit im weiteren Verlauf noch
eine wichtige Rolle.
21 Vgl. (Willer & Hoppen, 2007), S. 610 22 Vgl. (Heinson, 2015), S. 134 23 (Dewald & Freiling, 2015), S. 57 24 Vgl. (Hermann, 2016), S. 141 25 Vgl. (Hermann, 2016), S. 141
- 24 -
4.4 Das TCP/IP-Verbindungsprotokoll
Vom technologischen Standpunkt aus betrachtet verhalten sich SCADA-Netz-
werke, die auf gerouteten Protokollen wie IP basieren, genau wie andere
Netzwerke. Sie besitzen verschieden Nodes und kommunizieren mittels ver-
schiedener Protokolle. Allerdings gibt es zwei gravierende Unterschiede: Zum
einen werden in SCADA-Netzwerken häufig alte, nicht aktualisierte Geräte und
Infrastrukturen genutzt. Zum anderen nutzen SCADA-Netzwerke Protokolle wie
DNP3 und Modbus, die ebenso wie HTTP oder DNS, bestimmte Anforderungen
an die Client-Server-Kommunikation, das Timing, die Encodierung der Daten und
die Datenformatierung haben.
Diese Vernetzung mittels IP ermöglicht es darüber hinaus, dass sämtliche Geräte
im Zuge der zunehmenden Verbreitung von IPv6 mittels einer eigenen, öffentli-
chen IP-Adresse erstmals von jedem Gerät aus dem öffentlichen Internet heraus
zu kontaktieren sind. Und das unabhängig davon, wie klein und vermeintlich leis-
tungsschwach diese Komponenten möglicherweise sind – beispielsweise
Sensoren, die Informationen über ihre Umwelt sammeln.26
Um hier an dieser Stelle eine Überleitung zu den möglicherweise sicherheitsre-
levanten Fragenstellungen erhalten zu können, müssen im Rahmen dieses
Abschnittes zunächst ein paar Grundlagen für die Konnektivität mittels TCP/IP
geschaffen werden. Bei TCP/IP handelt es sich um das Standardprotokoll zum
Datenaustausch im Internet.27 TCP/IP wird in jedem modernen Netzwerk einge-
setzt, sei es zuhause im Heimnetzwerk, im Firmennetzwerk oder auch bei der
Datenübertragung eines Smartphones.
Um sicherstellen zu können, dass jede Nachricht den richtigen Empfänger er-
reicht, musste eine entsprechende, eindeutige Adressierung geschaffen werden:
Die IP-Adresse. Die IP-Adresse bzw. das IP-Protokoll adressiert jedes Gerät
weltweit im Internet eindeutig.28
26 Vgl. (Heinze & Schleupner, 2017), S. 185 27 Vgl. (Traeger & Volk, 2013), S. 207 28 Vgl. (Meinel & Sack, 2011), S. 521
- 25 -
4.5 Eingesetzte Tools
Das vorliegende Kapitel soll zwei der wichtigsten Tools vorstellen, die insbeson-
dere im Bereich der Netzwerkforensik und beim Einsatz von Siemens-S7-
Geräten Anwendung finden.
4.5.1 Wireshark
Mit Wireshark lässt sich Datenverkehr auf unterschiedlichen Kommunikations-
schnittstellen mitlesen, aufzeichnen und analysieren. Das Werkzeug Wireshark
stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer
Netzwerk-Schnittstelle die Daten in Form einzelner Pakete dar.
Bei Wireshark handelt es sich um eine frei erhältliche, quelloffene Software unter
GNU General Public License. Die Software ist für unterschiedliche Betriebssys-
teme wie Windows, Linux, MacOS X oder Solaris verfügbar und kann für die
Protokoll-Analyse von Datenverbindungen eingesetzt werden.
Wireshark ist in der Lage, Datenverkehr auf unterschiedlichen Schnittstellen wie
Ethernet-, USB- oder WLAN-Schnittstellen mitzulesen, die Daten aufzuzeichnen
und sie zu analysieren. Einsatzbereiche sind das Netzwerk-Monitoring, die Feh-
lersuche und Fehleranalyse, die Protokoll-Analyse, die IT-
Sicherheitsüberwachung und die Netzwerkforensische Analyse. Hierzu wird der
sogenannte Promiscuous-Mode eingesetzt, ein spezieller Empfangsmodus für
Netzwerkgeräte, die in einen Aufzeichnungsmodus versetzt werden, um dann
den gesamten Netzwerkverkehr aufzeichnen zu können.
Entstanden ist die Software aus dem Vorläufer Ethereal. Sie wurde von einem
Team um Gerald Combs entwickelt. Die erste Version von Wireshark war Version
0.99.1 und erschien im Jahr 2006. Version 1.0 folgte im Jahr 2008. Wireshark 2.0
wurde im Jahr 2015 veröffentlicht und mit einer neuen Bedienoberfläche ausge-
stattet.
Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle,
auch Netzwerkprotokolle welche in Industrienetzwerken eingesetzt werden und
- 26 -
stellt die wichtigsten Informationen der Protokollheader übersichtlich und leicht
lesbar dar. Die technischen Möglichkeiten der Software sind sehr vielfältig. Die
mitgelesenen Daten lassen sich während der Aufzeichnung oder danach in Form
von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen.
Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsäch-
liche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Netzwerk-
Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für
Netzwerkprotokolle der TCP/IP-Familie eingesetzt.
Ohne die Verwendung von Filtern zeichnet Wireshark den kompletten Datenver-
kehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das
zu analysierende Netzwerkprotokoll zu beschränken, bietet das Tool die Möglich-
keit, Capture-Filter zu nutzen.
Capture-Filter lassen sich beispielsweise für bestimmte IP-Adressen, Protokolle,
Protokollnachrichten und viele weitere Parameter konfigurieren. Ein Filter mit vor-
gegebener IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete
von und zu einzelnen Netzwerkkomponenten.
Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners
mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so ge-
nannten Mirror-Funktion eines Switches. Sie sorgt dafür, dass der
Netzwerkverkehr eines definierten Switchports auf einen anderen Port gespiegelt
wird. Dort kann dann ein Rechner mit installiertem Netzwerk-Sniffer angeschlos-
sen werden. Dieser ist in der Lage, den Datenverkehr des gespiegelten Ports
aufzuzeichnen und auszuwerten
4.5.2 PLC-Scanner
Eine Gruppe mit dem Namen SCADA-Strangelove hat ein Tool namens
plcscan.py veröffentlicht, dass sowohl Modbus- als auch Siemens-S7-Geräte
scannt. Mit dem Tool kann man Informationen von Siemens S7-Geräten abrufen
und die Antworten zu parsen. Zu den Informationen, die erfasst werden können,
- 27 -
gehören die Modulversion, der Name der SPS, der Modultyp, die Anlagenidenti-
fikation und die Seriennummer. Mithilfe eines in Conpot integrierten Siemens S7-
Emulators29 können diese Skripts ohne Auswirkungen auf die tatsächlichen SPS
getestet werden.
29 S7-Emulator: https://github.com/mushorg/conpot
- 28 -
5 Die Laborumgebung
Nachdem im vergangenen Kapitel einige wichtige Grundlagen definiert wurden,
wird im vorliegenden Kapitel zum eigentlichen Hauptteil der Arbeit übergeleitet.
Hierzu wird zunächst der Aufbau inklusive der eingesetzten Komponenten einer
entsprechenden SCADA-basierten Laborumgebung vorgestellt, bevor der Autor
auch die Inbetriebnahme und Installation eines entsprechenden Systems be-
schreibt.
Im Anschluss wird der eigentliche Angriff durchgeführt und eine darauf aufbau-
ende Analyse durchgeführt.
Bild 6: Laboraufbau einer SCADA-Umgebung
- 29 -
5.1 Aufbau einer SCADA-Netzwerk Laborumgebung
Die netzwerkforensische Untersuchung wurde innerhalb eines Labornetzwerks,
welches durch die Firma Phalanx-IT zur Verfügung gestellt wurde, durchgeführt.
Dazu wurde ein SCADA-Produktionsnetzwerk aufgebaut. In diesem Netzwerk
befindet sich eine Siemens S7 300-Steuerung, welche unter anderem auch in der
chemischen Industrie, KRITIS-Versorgern und der Produktion eingesetzt wird.
Die Laborumgebung zeigt exemplarisch eine Kompressorsteuerung, die Behälter
mit Luft füllen kann. Über Analogbaugruppen wurden die analogen Aktoren und
Sensoren ohne zusätzliche Verstärker an die SIMATIC S7-300 angeschlossen.
Die Sensoren und Aktoren, welche den Kompressor steuern, werden direkt von
der S7 Steuerung angesprochen.
5.2. Beschreibung der eingesetzten Komponenten
Zum Einsatz im Labornetzwerk kam eine Siemens S7 300-Steuerung, analoge
Sensoren und Aktoren sowie ein Kompressor. Weiterhin wird ein Windows 7-PC
als Steuerungsrechner eingesetzt. Auf diesem ist die MHJ-Software WinSPS-S7
installiert.
Die SIMATIC S7 300 wird vor allem bei innovativen Systemlösungen in der Fer-
tigungstechnik eingesetzt, insbesondere in der Automobilindustrie, im
allgemeinen Maschinenbau, im Sonder- und Serienmaschinenbau (OEM), in der
Kunststoffverarbeitung, in der Verpackungsindustrie oder auch der Genussmit-
telindustrie. Die potenzielle Anwendungsbandbreite ist demnach sehr hoch.
Als universelles Automatisierungssystem stellt das S7 300 eine optimale Lösung
für Anwendungen dar, die ein flexibles Konzept für einen zentralen als auch einen
dezentralen Aufbau voraussetzen. Für Anwendungen, bei denen besonders
hohe Robustheit bezüglich Umweltbedingungen gefordert ist, gibt es die SIPLUS
extreme-Geräte. Bevorzugt wird die S7 300 bei Automatisierungsaufgaben, die
ein flexibles Konzept erfordern, eingesetzt. Im Labornetzwerk wurde die Siemens
Steuerung innerhalb eines Ethernet-Netzwerks betrieben.
- 30 -
Analogeingabebaugruppen ermöglichen die Anbindung der Steuerung an ana-
loge Signale des Prozesses. Sie eignen sich zum Anschluss von analogen
Sensoren, wie beispielsweise Spannungs- und Stromgebern, Thermoelementen,
Widerständen und Widerstandsthermometern sowie analoger Aktoren. Die Ana-
logeingabebaugruppen weisen folgende mechanischen Merkmale auf:
Das robuste Kunststoffgehäuse enthält eine rote LED für Sammelfehler und eine
Steckmöglichkeit für den Frontstecker, der geschützt hinter der Fronttür platziert
wird. Mit der Steuerung wird ein Kompressor gesteuert. An dem Kompressor
wurde über ein Ventil ein Ballon aufgeblasen und über einen Infrarot-Sicherheits-
sensor wurde der Kompressor bei Erreichen eines Soll-Wertes abgeschaltet.
In SCADA-Umgebungen gibt es Komponenten, die immer wieder angetroffen
werden. Je nach Branche existieren zusätzliche Komponenten wie z. B. Phasor
Measurement Units (PMU) und Phasor Data Concentrators (PDC) bei den Ener-
gieversorgern.
Eine Vorstellung sämtlicher typischer Komponenten aller Branchen, welche in
SCADA-Umgebungen eingesetzt werden, würde den Umfang der vorliegenden
Arbeit deutlich sprengen. Die Betrachtung der Komponenten erfolgt in den fol-
genden Abschnitten unterteilt in die beiden Bereiche Hard- und Software.
Unter einer Hardwarekomponente werden all die Komponenten verstanden, die
sich primär durch Ihre Existenz als eigenständige Baugruppe darstellen lassen
und herstellerunabhängig in einer artverwandten Bauform angeboten werden.
Eventuell betriebsnotwendige Software sehen wir als Bestandteil der Kompo-
nente an.
5.2.1 Ein- und Ausgabegeräte
Ein- und Ausgabegeräte (engl. Input/Output-Devices bzw. I/O-Devices) ermögli-
chen eine bidirektionale Kommunikation mit der Außenwelt. Bekannte
Eingabegeräte sind Tastatur und Maus und bekannte Ausgabegeräte Drucker
und Monitor. Im Kontext der Automatisierungstechnik kennt man Aktoren und
Sensoren: Aktoren sind elektromechanische Bauelemente, die Eingangsgrößen
- 31 -
in Ausgangsgrößen umwandeln (z. B. Pumpen, Motoren, usw.). Ein Sensor ist
ein Messwertaufzeichnungsgerät, welches beispielsweise Werte wie Tempera-
tur, Druck, Feuchtigkeit o.ä. in elektrische Signale umwandelt.
5.2.2 Industrie-PC
Bei einem Industrie-PC (IPC) handelt es sich um einen herkömmlichen IBM-kom-
patiblen PC wie man ihn auch als typischen Office-PC vorfindet. Um den
Ansprüchen des industriellen Umfeldes zu genügen, werden bestimmte Erweite-
rungen wie beispielsweise eine Staub- und Wasserabdichtung am Gehäuse
vorgenommen. Für weitere Informationen sei auf die entsprechende DIN-Norm
verwiesen.30 Auf solchen Geräten wird überwiegend Software für übergeordnete
und datenverarbeitende Funktionen eingesetzt.31
5.2.3 Speicherprogrammierbare Steuerung
Eine Speicherprogrammierbare Steuerung (SPS), oft auch mittels des englischen
Begriffs Programmable Logic Controller (PLC) bezeichnet oder auch mit dem
Sammelbegriff Automatisierungsgerät (AG)32, ist ein speziell für Steuerungsauf-
gaben in der Industrie entwickelter Rechner.
Das charakteristische Merkmal einer SPS ist, dass die Steuerungslogik, im Ge-
gensatz zu fest verdrahteten Verbindungsprogrammierten Steuerungen (VPS),
mit Hilfe von Software abgebildet wird. Die Umsetzung erfolgt in unterschiedli-
chen Bauformen als modulare SPS, Kompakt-SPS, Slot-SPS oder Soft-SPS.
Modulare Speicher Programmierbare Steuerungen stellen die flexibelste Vari-
ante dar.
Die SPS ist dabei aus verschiedenen Baugruppen zusammengesetzt, die ent-
sprechend der spezifischen Anforderungen ausgewählt werden. Kompakt-SPS
30 (DIN Deutsches Institut für Normung, 2019) 31 Vgl. (Wellenreuther & Zastrow, 2009) 32 Vgl. (Habermann & Weiß, 2009)
- 32 -
sind dagegen nur geringfügig anpassbar. Sie bestehen lediglich aus einer Bau-
gruppe, befinden sich meist am unteren Spektrum der Leistungsfähigkeit
angesiedelt und sind daher relativ kostengünstig. Sowohl Slot- als auch Soft-SPS
werden in der Kombination mit einem IPC verwendet. Während bei der Slot-SPS
noch eigene Hardware in Form einer Slot-Karte eingesetzt wird, vertraut man bei
einer Soft-SPS vollkommen auf die Software. Lediglich Kopplungen zu Feldbus-
sen über z. B. Slot-Karten kommen bei dieser Bauform noch zum Einsatz.
5.2.4 Aufbau der einzelnen Komponenten
Wie bereits erwähnt, gibt es verschiedene Bauarten von SPS. Der typische Auf-
bau wird im Folgenden am Beispiel der modularen SPS vorgestellt. Andere
Bauformen bestehen aus den gleichen Komponenten, setzen diese aber z. B. in
stärker integrierten Bauformen anders um.
Eine modulare SPS besteht aus verschiedenen Baugruppen, welche von einem
Bau- gruppenträger aufgenommen und über einen Bus verbunden werden. Das
Herzstück stellt dabei die Zentraleinheit dar, die auch als Steuerungseinheit oder
engl. als Central Processing Unit (CPU) bezeichnet wird.
Der Begriff der CPU ist dabei weiter gefasst, als man ihn aus der i386-Intel-Welt
kennt. Neben dem eigentlichen Mikroprozessor enthält die CPU, je nach Herstel-
ler, ein Flash-ROM, auf dem das Betriebssystem gespeichert ist, außerdem einen
Arbeitsspeicher in Form von Random-Access Memory (RAM), Bussysteme und
eine Programmierschnittstelle. Die Auswahl der CPU bestimmt somit die Leis-
tungsfähigkeit der SPS.
Zur Kommunikation mit der Außenwelt werden Eingangs- und Ausgangsbau-
gruppen verwendet. Beide können sowohl für analoge als auch für digitale
Signale ausgelegt sein. Der Aufbau einer minimalen SPS wird durch eine Bau-
gruppe zur Stromversorgung (engl. Power Supply (PS)) abgeschlossen. Durch
weitere Baugruppen, wie Kommunikationsbausteine, zusätzliche CPUs, redun-
dante PS und Spezialbaugruppen, die z. B. Webserver bereitstellen, kann die
- 33 -
SPS an komplexe Anwendungsszenarios angepasst werden. Der typische Auf-
bau nach Norm ist in folgender Abbildung dargestellt.
Bild 7: SPS-Modell33
Programmierung:
Für die Erstellung von Anwendungsprogrammen existieren fünf standardisierte
Programmiersprachen, deren Normierungen mit der DIN EN 61131-3 vorliegen.
Man differenziert zwischen den zwei textuellen Sprachen Anweisungsliste (AWL)
und Strukturierter Text (ST), den beiden grafischen Sprachen Funktionsbaustein-
Sprache (FBS) und Kontaktplan-Sprache (KOP) sowie der textuelle und grafi-
sche Elemente vereinenden Sprache Ablaufsprache (AS) (vgl. folgende
Abbildung).
33 (DIN Deutsches Institut für Normung e. V., 2001)
- 34 -
Bild 8: SPS-Programmiersprachen34
5.2.5 Funktionsweise
SPS basieren auf einer zyklischen Programmbearbeitung: Das Anwendungspro-
gramm wird entweder aus dem lokalen ROM der SPS oder von einer anderen
Quelle, wie z. B. einer Speicherkarte, in den Arbeitsspeicher geladen. Zu Beginn
eines jeden Zyklus werden die aktuellen Signalzustände der Eingänge abgefragt
und in das Prozessabbild geschrieben. Das Anwendungsprogramm wird sequen-
ziell abgearbeitet und die Ausgangswerte auf das Prozessabbild geschrieben.
Abschließend werden die Werte des Prozessabbilds auf die Ausgänge der SPS
übertragen und der Zyklus beginnt von neuem. Die Durchlaufzeit eines Zyklus
bezeichnet man als Zykluszeit.
5.2.6 Intelligent Electronic Devices
Der Terminus des Intelligent Electronic Device (IED) ist nicht exakt definiert und
variiert je nach Domain, in der er eingesetzt wird. Grundsätzlich handelt es sich
um ein intelligentes Gerät. Im Bereich der Energieautomatisierungsindustrie ver-
steht man darunter ein Gerät mit elektrischer Schutzfunktion, erweiterter lokaler
Kontrollintelligenz, erweiterter Überwachungsfähigkeit und der Fähigkeit, direkt
mit SCADA-Systemen zu kommunizieren. Ein typisches Beispiel hierfür sind
Sensoren oder Aktoren, die über die Intelligenz einer SPS verfügen und per Feld-
bus kommunizieren können.
34 (Wellenreuther & Zastrow, 2009)
- 35 -
5.2.7 Datenfernübertragungseinheit
Eine Datenfernübertragungseinheit, engl. auch als Remote Terminal Unit (RTU)
bezeichnet, ist ein Sammelbegriff für elektronische Systeme, die Telemetriedaten
und Steuerbefehle übermitteln. Es handelt sich um mikroprozessorgesteuerte
Einheiten, wie z. B. eine SPS oder ein IED. Es existieren jedoch auch dedizierte
Geräte.
Diese Geräteklasse kommt in räumlich abgegrenzten Bereichen eines Prozesses
zum Einsatz und vermittelt zwischen der Feld- und der Leitebene. Die Kommuni-
kation mit lokalen Feldgeräten erfolgt per Feldbus. Zusätzlich kann ein RTU über
analoge und digitale Ein- und Ausgänge verfügen, um Feldgeräte ohne Busan-
schluss ansteuern zu können. Die Verbindung zur Leitebene wird per Funk,
Modem, DSL oder mittels anderer Medien realisiert.
5.2.8 Benutzerschnittstelle
Die Benutzerschnittstelle, auch als Mensch-Maschine-Schnittstelle (MMS) oder
engl. Human-Machine Interface (HMI) bezeichnet, ist die Interaktionsebene zwi-
schen Bediener und System. In älteren Anlagen finden sich dazu häufig analoge
Zeigermessgeräte und Kontrolllämpchen zur Prozessdatenvisualisierung sowie
Schalter und Regler zur Steuerung. Der Trend geht jedoch hin zur Verwendung
von Standardkomponenten wie PCs, Touchdisplays und der Konzentration auf
softwareseitige, auf PCs installierte Lösungen.
5.2.9 Services und Software
Service- und Software-Komponenten sind Bestandteile, die je nach Hersteller
und Prozess technisch unterschiedlich realisiert und entsprechend nur durch Ihre
- 36 -
Funktionalität repräsentiert werden können. Beispielsweise kann ein Archivie-
rungssystem zur Prozessdatenerfassung als eigenständige Anwendung auf
mehreren Systemen ausgeführt werden, aber auch ein integrierter Teil einer an-
deren Komponente sein.
5.2.10 SCADA
Das SCADA-System, auch SCADA-Center, Master Station oder Master Terminal
Unit (MTU) genannt, ist die Hauptkomponente einer SCADA-Umgebung. In die-
sem System werden die verschiedenen Daten periodisch von den Feldgeräten
gesammelt und ein Prozessabbild erstellt. Um dem hohen Datendurchsatz und
der Echtzeitanforderung gerecht werden zu können, kommen hierfür meist
proprietäre Echtzeitdatenbanken zum Einsatz. Diese arbeiten mit einer Verarbei-
tungszeit von wenigen Sekunden.35 Für Systeme im Umfeld weicher
Echtzeitanforderungen werden alternativ auch rationale Datenbanksysteme ein-
gesetzt.
Das System überwacht das Prozessabbild auf bestimmte Zustände und Ereig-
nisse und löst bei deren Eintreten Alarme, Benachrichtigungen und weitere
Ereignisse bis hin zu Steuerungsanweisungen aus. Des Weiteren bietet das Sys-
tem den HMI-Clients Zugriff auf das Prozessabbild, setzt die High-Level-
Steuerungsanweisungen der Bediener in Steuerungs- befehle für die Feldgeräte
um und führt komplexe Prozessauswertungen durch. Für die Abbildung der Pro-
zesslogik und zur Dynamisierung der Prozessabbildung bieten viele Systeme
integrierte Skript Engines z. B. auf Basis von Visual Basic oder C36 an.
Je nach Hersteller oder durch die jeweilige Projektierung sind der Aufbau und die
Verteilung der Komponenten stark unterschiedlich. Die Architekturen reichen von
Einzelplatzlösungen, bei denen SCADA-System und HMI integriert sind, bis hin
zur Verteilung auf mehrere Server mit passiven Redundanzen.
35 Vgl. (VIKING Project, 2011), S. 26 36 Vgl. (SIEMENS AG, 2008), S. 18
- 38 -
5.2.11 Fernwartung
Eine durchgehende Kommunikationsinfrastruktur bietet die Möglichkeit, Teile der
SPS-Wartungsvorgänge, wie z. B. Programmierungen, Einspielen von Patches
usw. von jedem Punkt der Anlage aus durchführen zu können. Durch die Bereit-
stellung von Remotezugängen zum Netzwerk können für Wartungsarbeiten
zuständige Fremdfirmen und Dienstleister tätig werden. Die Vorteile solcher Lö-
sungen liegen beispielsweise in der Bereitstellung von Service on Demand und
einer verbesserten Reaktionsfähigkeit auf komplexe Wartungsfälle.
Aufgrund dieser Vorteile finden sich heute in fast jeder modernen Anlage derar-
tige Fernwartungszugänge. Diese Zugänge müssen mit aktuellen
Authentifizierungs- und Verschlüsselungsmechanismen ausgestattet werden.
Das Spektrum der Sicherheit solcher Zugänge reicht von passwortgeschützten
Remote Desktops auf unverschlüsselten Leitungen über Lösungen auf der Basis
von SSL-VPN bis hin zu stark angepassten VPN-Varianten mit Voranmeldung,
Einmalpasswörtern und Zertifikaten. In vielen Fällen sind diese Zugänge auch
über das Internet erreichbar.
- 39 -
5.2.11 Kommunikation
Ein automatisierter Prozess wird durch mehrere – und eventuell auch räumlich
verteilte Komponenten – realisiert. Dies macht die Kommunikation zu einem un-
verzichtbaren Bestandteil in der Automatisierungstechnik. Die dabei eingesetzten
Technologien lassen sich in mehrere Arten unterteilen. Grundlegend existiert
eine Klassifikation der Kommunikationsnetzwerke, die auf ihrer räumlichen Aus-
dehnung beruht (vgl. folgende Abbildung).
Bild 9: Räumliche Ausdehnung verschiedener Kommunikationsnetzwerke37
Darüber hinaus wird die Kommunikation durch ihren Einsatz auch basierend auf
den Ebenen der Automatisierungstechnik kategorisiert. Auf der Feld- und Steue-
rungsebene kommen primär Feldbusse zum Einsatz. Der Übergang zur
Leitebene wird ebenfalls durch Feldbusse und bei Fernwirkkomponenten durch
Fernwirkprotokolle realisiert. Auf der Betriebsleitungs- und in der Unternehmens-
ebene wird hauptsächlich auf Ethernet gesetzt. Wie in der gesamten
Automatisierungstechnik zeichnet sich auch hier der Trend zur Verwendung von
bewährten Standardkomponenten ab, wie beispielsweise Industrie Ethernet Swit-
ches. Typische Anpassungen an solchen Switchen sind z. B. die Montierbarkeit
auf 35mm-Din-Hutschienen, Gleichspannungsversorgung, Schutz gegen Staub
und Spritzwasser und eine erhöhte elektromagnetische Störsicherheit.
37 (Metter & Bucher, 2007)
- 40 -
5.2.12 Feldbusse
Aktoren und Sensoren werden auf zwei Arten mit Steuerungsgeräten wie SPS
und RTUs verbunden. Die erste Möglichkeit ist eine dedizierte Zweipunkt-Verbin-
dung zwischen den Kommunikationspartnern. In diesem Fall wird für jede
Verbindung eine eigene Leitung verwendet. Die zweite Variante ist die Verwen-
dung einer Bus- oder Linienstruktur, die als Feldbus bezeichnet wird. Diese
benötigt nur eine einzige Leitung für alle Teilnehmer und realisiert das Anspre-
chen des richtigen Teilnehmers, keine doppelte Belegung der Leitung etc. durch
Protokolle.
Feldbussysteme sind heute fester Bestandteil jeder komplexen Maschine oder
Anlage. Es gibt eine Vielzahl weiterer Systeme, die sich aufgrund ihrer techni-
schen Eigenschaften für andere Bereiche der Automatisierung, wie zum Beispiel
für die Prozess- oder Gebäudeautomatisierung, eignen und dort ihren Hauptein-
satzbereich gefunden haben.
In der Praxis ist zu beobachten, dass die Auswahl eines Feldbussystems in den
seltensten Fällen nach technischen Kriterien erfolgt. Vielmehr bestimmt in der
Regel der Typ der eingesetzten speicherprogrammierbaren Steuerung (SPS),
welcher Feldbus zum Einsatz kommt. Der Hauptgrund ist darin zu suchen, dass
jeder der führenden SPS-Hersteller eine bestimmte Feldbustechnologie favori-
siert. Diese favorisierte Technologie ist optimal in das Programmier- und
Konfigurationstool eingebunden und der SPS-Hersteller macht es den Anwen-
dern besonders einfach, mit diesem Feldbus zu arbeiten.
- 41 -
Bild 10: Feldbusse38
5.3 Installation der Laborumgebung
Die Laborumgebung, ersichtlich in der folgenden Abbildung, befindet sich in ei-
nem physikalisch vom Internet getrennten Netzwerk. Es kommen ein Windows
7-PC für die MHJ-Steuerungssoftware WinSPS-S7, eine Siemens SIMATIC S7-
300, ein Kompressor und mehrere Sensoren zum Einsatz.
Das IP-Netzwerk indem sich die Komponenten befinden ist 192.168.0.0/24. Die
SIMATIC hat die IP-Adresse 192.168.0.1, der Steuerungs-PC die IP-Adresse
192.168.0.103. Das Ethernet Netzwerk wird an einem Cisco Catalyst 2960
Layer2 Switch im VLAN 1 betrieben. Mit diesem Switch besteht auch die Mög-
lichkeit einen Mirror Port zu konfigurieren.
38 (HMS Industrial Networks AB, 2019)
- 43 -
5.4 Inbetriebnahme des Labornetzwerkes
Das Programmiermodell von SPS Steuerungen unterscheidet sich von der klas-
sischen Windows- oder Linux-typischen Programmierung.
Es existieren mehrere Programmiersprachen für die Erstellung von SPS-Pro-
grammen. Je nach Programmierumgebung lassen sich die verschiedenen
Sprachen ineinander transformieren und mischen. Für einen vollständigen Ein-
blick in die Programmierung empfiehlt sich die Assembler ähnliche Sprache
Anweisungsliste (AWL).
Mittels der S7-Steuerungssoftware WinSPS-S7 Version 5.0.44 wird ein SPS Pro-
gramm für die Labor Umgebung erzeugt. WinSPS-S7 erstellt dabei die
Ausgabeprogramme im AWL-Format.
- 44 -
5.4.1 Aufbau eines SPS-Programmes der Siemens S7 300
Ein SPS-Programm muss in verschiedenartige Bausteine unterteilt werden, die
unter verschiedenen Bedingungen, aber in der Praxis meistens seriell-zyklisch
bearbeitet werden. Die hier vorgenommene Beschreibung hat sowohl die Sie-
mens-Eigenheiten als auch die IEC 61131 im Blick:
Organisationsbausteine – Obs, wie z.B. OB1, für den Hauptprogrammzyklus.
Organisationsbausteine werden nicht vom Anwender, sondern nur vom Betriebs-
system aufgerufen. Der OB1 wird immer dann aufgerufen, wenn er einmal
durchgelaufen ist und PAA ausgegeben und PAE neu eingelesen wurde.
Funktionsbausteine - FBs für Programmteile, die eigene statische Daten (sog.
Instanzdaten) haben können und praktisch immer mit Ein- und Ausgangspara-
metern verwendet werden. Die Instanzdaten werden in einem dazugehörigen so
genannten Instanz-DB (Datenbaustein) gespeichert.
Funktionen - FCs Funktionen haben laut IEC 61131 mindestens einen Ein-
gangs- und genau einen Ausgangsparameter und keine eigenen statische Daten
(sog. Instanzdaten), bei Siemens-SPS werden sie aber universell vor allem auch
als einfache Programmteile eingesetzt. Das liegt vor allem daran, dass sie Zugriff
auf globale Variablen haben. Außerdem können sie mehr als einen Ausgangspa-
rameter haben.
5.4.2 Aufbau einer minimalen, modularen SPS:
Im Folgenden wird der prinzipielle Aufbau einer modularen SPS zusammenge-
tragen:
Netzteil 24 V=, Funktionskleinspannung
CPU = Central Processing Unit
Die CPU ist die Zentraleinheit, in diesem Sinne also ein vollständiger Com-
puter mit
- 45 -
ROM (heute: Flash-ROM) für das Betriebssystem
RAM (Arbeitsspeicher für Programm und Variable)
Bussystem der SPS
(teilweise doppelt!) batteriegepuffertes RAM oder Flash-ROM-Karte für
das Anwenderprogramm und für Programmdaten
Programmierschnittstelle (MPI, seriell, USB)
externes Bus- oder Netzwerksystem (Profibus DP, Interbus oder Profinet
IO)
Anzeige-LEDs
Bedienschalter
externes Bussystem oder Netzwerkschnittstelle
Eingangsbaugruppe digital
0V/24VDC
0V/48V UC
0V/120V AC/UC
0V/230V-AC
Ausgangsbaugruppe-digital
0V/24V DC
0V/48V UC
0V/120V AC/UC
0V/230V-AC
Eingangsbaugruppe-analog
0V-10V
2V-10V (drahtbruchsicher)
-10V-10V (bipolar)
0mA-20 mA
4mA-20mA (drahtbruchsicher)
-20 mA - 20 mA (bipolar)
Ausgangsbaugruppe-analog
0V-10V
2V-10V (drahtbruchsicher)
-10V-10V (bipolar)
0mA-20mA
- 46 -
4mA-20mA (drahtbruchsicher)
-20 mA - 20 mA (bipolar)39
Mithilfe des erstellten Steuerungsprogrammes ist es möglich, den Kompressor
ein- und auszuschalten. Weiterhin wird in das Programm eine Not-Aus-Schaltung
integriert. Ein Diffuse Reflection Sensor wird zum Abschalten des Kompressors
bei Erreichen eines Soll-Werts eingesetzt.
Bild 12: WinSPS-S7-Laborumgebung
Das fertige Programm wird gespeichert und als binäres Programm exportiert.
Jetzt kann es auf die S7 CPU übertragen werden.
39 Vgl. (SPS-Grundlagen I, 2013)
- 47 -
Bild 13: Erzeugung einer Binärdatei
In diesem Laboraufbau wird für das Backup und Restore der Siemens CPU das
Programm BUDdy for S7 von der Firma MHJ eingesetzt:
Bild 14: BUDdy for S7
- 48 -
Das kompilierte Programm kann jetzt auf die S7 übertragen werden. Dazu wird
ein Script benutzt „operations_code.cmd“:
//*********Buddy Script Verbindungseinstellung
[Settings]
//ConnectCable=0; (RS232)
//ConnectCable=1; (Netlink-Lite, IBH-Link, MHJ-Link, MHJ-Link++)
//ConnectCable=2; (Netlink-Pro, Netlink-Pro-Compact)
ConnectCable=3; (Ethernet direkt)
//ConnectCable=4; (Simatic Net)
IP-ADR=192.168.0.1;
SLOT_NR=2; //Bei S7-300 immer "2"
MPI_PLC=2; //Bei Ethernet direkt nicht notwendig
//COM=3; //Nur bei serieller Verbindung
[/Settings]
//**************Buddy Script Begin
[Script]
Wld, C:\plc_scada_cases\plc_files\operation_code.wld;
Connect; //Mit der CPU verbinden
SwitchToStop; //CPU in STOP schalten (notwendig, wenn in der WLD-Datei Systemdatenbau-
steine enthalten sind)
DeleteAllBlocks; //Alle Bausteine (außer SDBs) löschen, damit nach dem Compress der
Speicher der SPS leer ist
Compress; //Damit der Speicher der SPS aufgeräumt wird
WriteAllBlocks; //Alle Bausteine (auch SDBs) aus der WLD-Datei in die CPU schreiben
SwitchToRun; //CPU in Run schalten
DisConnect; //Verbindung trennen
ExitPrg;
[/Script]
Die aufgeführte Datei „operation_code“ beinhaltet den Steuerungscode der vor-
her von der WinSPS-S7 Software erstellt und exportiert worden ist.
- 49 -
Nach erfolgreichem Übertragen des Programms kann die S7 ihre Arbeit aufneh-
men.
5.5 Ablauf eines Produktionsprozesses
Das Programm wird auf der SIMATIC nach dem Einschalten der Steuerung auf
der CPU sofort aktiv. Betätigt man den ON - Schalter bekommt der Kompressor
Spannung und presst Luft ein einen angeschlossenen Behälter.
Bild 15: Kontrollleuchten und Bedienschalter im Laboraufbau
Nun strömt Luft, hier im Laboraufbau, in einen Luftballon. Erreicht der Ballon eine
bestimmte Größe, diese Größe wird als SOLL Standard definiert, dann wird der
Produktionsprozess mittels des Reflection Sensors unterbrochen. Der Kompres-
sor wird hierzu abgeschaltet.
- 50 -
Bild 16: Laboraufbau
Ein weiterer Sicherheitsmechanismus wurde in den Produktionsprozess einge-
baut, man kann die Arbeit des Kompressors unterbrechen auch bevor der SOLL
Wert erreicht wird, indem man den NOT-Aus Schalter betätigt.
Bild 17: NOT-Ausschalter
Über den Off- Schalter wird ein Ablassventil betätigt, damit strömt die Luft wieder
aus dem Behälter.
- 51 -
Bild 18: Ablassventil
Dieser Labor Aufbau stellt exemplarisch einen einfachen Produktionsprozess
dar.
- 52 -
6 Der Angriff
Nachdem das Labor in Betrieb genommen worden ist, kann nun aufgezeigt wer-
den, wie Hacker vorgehen können um den aufgezeigten Produktionsablauf zu
stören. Wie am Anfang schon erwähnt zeigt diese Arbeit einen Cyberangriff in
einem SCADA-Netzwerk. Weitere Angriffe auf die Firewall oder andere Tunneling
Angriffe auf dieses SCADA-Netzwerk werden nicht weiter betrachtet.
6.1 Auswählen eines geeigneten Exploits
Hat ein Angreifer sich erstmal Zugriff auf ein solches SCADA-Netzwerk, wie in
der Labor Umgebung aufgezeigt, verschafft, wird er versuchen die Komponenten
des Netzwerkes herauszufinden. Das Vorgehen ist dann üblicherweise Auskund-
schaften des Netzwerkes, dies führt der Angreifer z.B. mit dem Programm
Nmap40 durch.
Viele der derzeit verwendeten SCADA-Protokolle wie Modbus, IEC-104 oder
DNP3 implementieren keinerlei Sicherheitsmechanismen. Die beiden bekanntes-
ten SCADA-Protokolle – Modbus und DNP3 – weisen grundlegende Mängel auf
bezüglich der Möglichkeiten der Authentisierung. Viele SCADA-Protokolle unter-
stützen keine Authentisierung oder führen sie nicht durch. Nicht nur bezüglich der
Authentisierung weisen SCADA-Protokolle Mängel auf, sondern sie ermöglichen
auch keine Form der Verschlüsselung, um die Daten zu schützen.
Vor allem Modbus und DNP3 unterstützen von Haus aus keine Art der Verschlüs-
selung und öffnen somit „Man-in-the-Middle-Angriffen und dem Ausspionieren
des Verkehrs Tür und Tor. Diese Methoden ermöglichen es Angreifern nicht nur
die Daten unterwegs zu sehen, sondern auch den Verkehr mit allen gewünschten
Änderungen an jedes Device umzuleiten.
40 Nmap („Network Mapper“): https://nmap.org/
- 53 -
6.2 Mögliche Angriffsszenarien
Es gibt eine Vielzahl möglicher Angriffsszenarien. Die hier angeführten stammen
aus einer Studie des United States General Accounting Office aus dem Jahr
2018, die im Auftrag des Kongresses der Vereinigten Staaten angefertigt wurden.
- Beeinträchtigung des SCADA-Betriebes durch das Blockieren oder Ver-
zögern des Datenflusses durch das Prozess- oder Office-Netz.
- Nicht autorisierte Programmänderungen in SPS, PLS und SCADA-Syste-
men, Manipulation von Grenzwerten, nicht autorisierte Befehlsgabe mit
dem Risiko von Beschädigung oder Ausfall der Produktionsanlage oder
Produkten, Schäden an der Umwelt, Beeinträchtigung oder Ausfall von
kritischer Infrastruktur.
- Senden von falschen Prozessinformationen, um nicht autorisierte Ände-
rungen zu verschleiern oder unangebrachte Bedienhandlungen des
Operators zu provozieren. Ändern der PLS-Software oder -Einstellungen
um unvorhergesehene Ergebnisse zu produzieren.
- Einschleusen von Malware, um den Betrieb zu stören oder zum Erliegen
zu bringen. Ändern von Rezepten oder Arbeitsabläufen um Produkte, An-
lagen oder Personen zu schädigen.41
Weiterhin sind Systeme mit großer geografischer Ausdehnung und unbesetzten
Substationen der Gefahr eines unbemerkten Einbruches ausgesetzt. Der Angrei-
fer könnte an einer entfernten Anlage unbemerkt in das Netzwerk eindringen und
eine bedrohliche Verbindung in die Leitwarte aufbauen.
41 Vgl. (United States General Accounting Office, 2004)
- 54 -
6.3 Vorgehensweise der Hacker
Nachdem das Labor in Betrieb genommen worden ist, kann nun aufgezeigt wer-
den, wie Hacker vorgehen können, um den aufgezeigten Produktionsablauf zu
stören. Wie am Anfang schon erwähnt zeigt diese Arbeit einen Cyber-Angriff in
einem SCADA-Netzwerk.
Bild 19: Schematischer Ablauf des SCADA-Angriffes
Hat ein Angreifer sich erstmalig Zugriff auf ein solches Netzwerk, wie in der Labor
Umgebung aufgezeigt, verschafft, wird er versuchen die Komponenten des Netz-
werkes zu identifizieren. Das Vorgehen ist dann üblicherweise Auskundschaften
des Netzwerkes, dies führt der Angreife z.B. mit dem bereits erwähnten Pro-
gramm Nmap durch. Die Nmap Scripting Engine (NSE) ist eines der mächtigsten
und flexibelsten Merkmale von Nmap. Mit ihr können Benutzer einfache Scripts
schreiben und weitergeben, um eine breite Palette von Netzwerkaufgaben zu au-
tomatisieren.42
42 Nmap NSE („NMAP Scripting Engine“): https://nmap.org/man/de/man-nse.html
- 55 -
Wird Nmap wie im folgenden Beispiel aufgerufen, erhält der Angreifer schnell
wertvolle Informationen:
Nmap --script s7-info.nse -p 102 192.168.0.1
Starting Nmap 7.40 ( https://Nmap.org ) at 2019-03-26 14:57 CET
Nmap scan report for 192.168.0.1
Host is up (0.00056s latency).
PORT STATE SERVICE
102/tcp open iso-tsap
| s7-info:
| Module: 6ES7 151-8FB01-0AB0
| Basic Hardware: 6ES7 151-8FB01-0AB0
| Version: 3.2.10
| Module Type: IM151-8F PN/DP CPU
| Serial Number: S C-EDVD67552014
|_ Copyright: Original Siemens Equipment
Service Info: Device: specialized
Nmap done: 1 IP address (1 host up) scanned in 0.33 seconds
Eine Gruppe mit dem Namen SCADA Strangelove4 hat ein Tool namens
plcscan.py5 veröffentlicht, dass sowohl Modbus- als auch Siemens-S7-Geräte
scannen kann. Mit dem Tool können Informationen von Siemens S7-Geräten ab-
gerufen und die Antworten geparst werden. Zu den Informationen, die von dem
Script erfasst werden können, gehören die Modulversion, der Name der SPS, der
Modultyp, die Anlagenidentifikation und die Seriennummer. Mithilfe eines in Con-
pot43 integrierten Siemens S7-Emulators können diese Skripts ohne
Auswirkungen auf die tatsächlichen SPS getestet werden.
Folgendes Python-Skript gibt Aufschluss über die verwendete PLC Hard- und
Software:
43 Conpot: https://github.com/mushorg/conpot
- 56 -
Bild 20: Python-Tool plcscan.py
Nachdem ein Angreifer im SCADA-Netzwerk potentielle PLC-Steuerungen aus-
findig gemacht hat und darüber hinaus auch erste Informationen mittels eines
Scanners bezüglich IP-Adresse, Betriebssystem, Hersteller usw. in Erfahrung ge-
bracht hat, kann er nun versuchen die Steuerungen anzugreifen und zu stören.
Eine Methode wäre, wie bereits erwähnt, das Einschleusen von ICS-Malware auf
die PLC-Steuerungen, um den Ablauf zu beeinträchtigen. Eine weitere Methode
ist den auf dem SIMATIC laufenden Programmcode zu sichern bzw. zu exportie-
ren, dann zu disassemblieren, den Code anzupassen und dann erneut in die PLC
zu laden.
Auch hier gibt es mehrere Möglichkeiten der Vorgehensweise: Eine Möglichkeit
bietet das Open Source Framework Metasploit, es beinhaltet eine Sammlung an
Exploits, mit der sich die Sicherheit von Computersystemen testen lässt. Mit Hilfe
der von Metasploit zur Verfügung gestellten Tools, wobei es sich um eine Open
Source-basierte Zusammenstellung verschiedener Frameworks handelt, können
Computersysteme und Netzwerke auf Sicherheitslücken getestet werden. Es
können mit den verschiedenen Exploits unterschiedliche Sicherheits- und Penet-
rationstests durchgeführt werden. Auch eine Entwicklung eigener Exploits ist
möglich.
Das Framework beinhaltet einen SCADA-Scanner, mit dem die Konfiguration ei-
ner SIMATIC gelesen werden kann. Veränderte Werte können anschließend
wieder in die Register der SIMATIC-Steuerung zurückgeschrieben werden.
- 57 -
Bild 21: Optionen des modbusclient-Modus
Bild 22: Auslesen der Register einer SPS-Steuerung
Bild 23: Veränderung von Werten und Zurückschreiben der Werte
Der Angriff in dieser Arbeit wird von dem Windows 7 Steuerungs-PC aus gestar-
tet. Der Angreifer hat im Netzwerk den Windows 7-PC gefunden. Durch eine
Schwachstelle im Betriebssystem konnte er an Benutzernamen und Passwort
des PCs gelangen, damit startet der Angreifer eine RDP Session auf den
Windows PC und hat Zugriff auf die Steuerungssoftware. Als erstes wird die Kon-
figuration der PLC Steuerung ausgelesen. Der Angreifer startet hierzu 2 Skripte:
Script 1
@echo off
echo started copying process...
REM cd C:\Program Files (x86)\MHJ-Software\Buddy for S7\
- 58 -
start "" /D "C:\Progra~2\MHJ-Software\Buddy for S7" /MIN /WAIT Bud-
dyS7.exe C:\plc_scada_cases\scripts\readall.bfs7 /SCRIPTSTART
echo done
Script 2
//*********Buddy Script Verbindungseinstellung
[Settings]
//ConnectCable=0; (RS232)
//ConnectCable=1; (Netlink-Lite, IBH-Link, MHJ-Link, MHJ-Link++)
//ConnectCable=2; (Netlink-Pro, Netlink-Pro-Compact)
ConnectCable=3; (Ethernet direkt)
//ConnectCable=4; (Simatic Net)
IP-ADR=192.168.0.1;
//COM=3; //Nur bei serieller Verbindung
[/Settings]
//**************Buddy Script Begin
[Script]
//Print, Read all blocks
Wld,C:\plc_scada_cases\plc_backup\operation_copy.wld; //Fest-
legung der WLD-Datei
//AddDateAndTimeToFileName; //Datum und Uhrzeit der WLD Datei
hinzufügen
Connect; //Verbinden
ReadAllBlocks;
DisConnect; //Verbindung Trennen
ExitPrg;
[/Script]
Jetzt hat der Angreifer eine Datei operation_copy.wld erhalten, dies ist der Ma-
schinencode der SPS-Steuerung.
Bild 24: Import einer Binärdatei
- 59 -
Bei dem Import können die Bausteine der SPS angegeben werden, welche im-
portiert werden sollen. Im Beispiel werden sämtliche Bausteine importiert.
Bild 25: Import der Bausteine
Bild 26: Erfolgreicher Datenimport
- 60 -
Bei der Step7-Programmiersprache Anweisungsliste AWL handelt es sich um
eine textbasierte, maschinencodeähnliche Programmiersprache. Hier werden
einzelne Anweisungen entsprechend der Reihenfolge angeordnet, wie die CPU
diese ausführen soll. 44 Sie wird mit der Software SIMATIC Step7 ausgeliefert und
ermöglicht die Bearbeitung von S7- Bausteinen.
In vielen SPS-Programmen müssen Zahlen in ein anderes Format umgewandelt
werden. Beispielsweise ist es nicht möglich, mit Zahlen, die unterschiedlichen
Formate haben, zu rechnen. In solchen Fällen muss man mittels Umwandlungs-
funktionen eine Zahl in ein anderes Format umwandeln. Hierfür gibt es in der
Anweisungsliste (AWL) viele Befehle.
Der aufgezeigte Produktionsablauf in der Laborumgebung beinhaltet zwei Si-
cherheitskomponenten, die auch in realen SPS-Programmen anzutreffen sind.
Zum einem hat der Produktionsablauf einen Not-Ausschalter, der das Programm
sofort stoppt, wenn er betätigt wird. Darüber hinaus wird der Kompressor von der
Spannung getrennt und somit abgeschaltet.
Die zweite Sicherheitskomponente ist der sogenannte Reflection-Sensor, ein
Sensor, der auch in der Optoelektronik anzutreffen ist. Dieser erkennt die Unter-
brechung eines Lichtstrahls und stellt diese als elektrisches Signal dar.
Auf diese Weise können automatische Vorrichtungen bewegliche Objekte berüh-
rungslos detektieren. Ultraschall-Näherungsschalter sind die einfachste Art der
Ultraschall-Objektdetektion: Sender und Empfänger sind in einem Gehäuse inte-
griert, der Ultraschall wird direkt vom zu erfassenden Objekt zum Empfänger
reflektiert. Dieser Sensor schaltet ein Signal, wenn ein Objekt in seinen Licht-
strahl erscheint.
Hat das Gefäß, in der Laborumgebung ein Luftballon, eine gewisse Größe er-
reicht, unterbricht der Ballon den Lichtstrahl des Sensors und der Kompressor
wird abgeschaltet.
44 Vgl. (Ay, 2018)
- 61 -
Diese beiden Anweisungen in der AWL werden als Programmsteuerungsopera-
tionen bezeichnet: BEB bedeutet hier „BEB bausteinendebedingt“, BE bedeutet
„BE Bausteinende“. Der Angreifer verändert in der Anweisungsliste die beiden
folgenden Einstellungen von BEB AUF BE.
Bild 27: AWL mit BEB-Operation
Nach der Änderung der beiden Parameter speichert der Angreifer die AWL und
exportiert diese wieder in Binärcode:
Bild 28: Vom Angreifer modifizierte AWL
- 62 -
Bild 29: Export der AWL
Bild 30: Erstellung und Speicherung der Datei
Die Datei wird als malicious_code.wld abgespeichert. Als nächstes kopiert der
Angreifer die Datei mit folgenden beiden Scripten wieder auf die PLC.
- 63 -
Script 3:
@echo off
echo malicious code injection...
REM cd C:\Program Files (x86)\MHJ-Software\Buddy for S7\
start "" /D "C:\Progra~2\MHJ-Software\Buddy for S7" /MIN /WAIT Bud-
dyS7.exe C:\plc_scada_cases\scripts\malicious_code.bfs7 /SCRIPTSTART
echo done
Script 4:
//*********Buddy Script Verbindungseinstellung
[Settings]
//ConnectCable=0; (RS232)
//ConnectCable=1; (Netlink-Lite, IBH-Link, MHJ-Link, MHJ-Link++)
//ConnectCable=2; (Netlink-Pro, Netlink-Pro-Compact)
ConnectCable=3; (Ethernet direkt)
//ConnectCable=4; (Simatic Net)
IP-ADR=192.168.0.1;
SLOT_NR=2; //Bei S7-300 immer "2"
MPI_PLC=2; //Bei Ethernet direkt nicht notwendig
//COM=3; //Nur bei serieller Verbindung
[/Settings]
//**************Buddy Script Begin
[Script]
Wld, C:\plc_scada_cases\plc_files\malicious_code.wld;
Connect; //Mit der CPU verbinden
SwitchToStop; //CPU in STOP schalten (notwendig, wenn in der WLD-Datei
Systemdatenbausteine enthalten sind)
DeleteAllBlocks; //Alle Bausteine (außer SDBs) löschen, damit nach dem
Compress der Speicher der SPS leer ist
Compress; //Damit der Speicher der SPS aufgeräumt wird
WriteAllBlocks; //Alle Bausteine (auch SDBs) aus der WLD-Datei in die
CPU schreiben
SwitchToRun; //CPU in Run schalten
DisConnect; //Verbindung trennen
ExitPrg;
[/Script]
- 64 -
Im Anschluss an das Importieren der angepassten Konfiguration auf die SPS wird
die CPU gestoppt und wieder gestartet:
Script 5:
@echo off
echo stop plc cpu...
REM cd C:\Program Files (x86)\MHJ-Software\Buddy for S7\
start "" /D "C:\Progra~2\MHJ-Software\Buddy for S7" /MIN /WAIT Bud-
dyS7.exe C:\plc_scada_cases\scripts\stop.bfs7 /SCRIPTSTART
echo done
Script 6:
//*********Buddy Script Verbindungseinstellung
[Settings]
//ConnectCable=0; (RS232)
//ConnectCable=1; (Netlink-Lite, IBH-Link, MHJ-Link, MHJ-Link++)
//ConnectCable=2; (Netlink-Pro, Netlink-Pro-Compact)
ConnectCable=3; (Ethernet direkt)
//ConnectCable=4; (Simatic Net)
IP-ADR=192.168.0.1;
SLOT_NR=2; //Bei S7-300 immer "2"
MPI_PLC=2; //Bei Ethernet direkt nicht notwendig
//COM=3; //Nur bei serieller Verbindung
[/Settings]
//**************Buddy Script Begin
[Script]
//Print, Read all blocks
//Wld,C:\Users\LiveHackingBox\Desktop\plc_scada_cases\plc_backup\op-
eration_copy.wld; //Festlegung der WLD-Datei
//AddDateAndTimeToFileName; //Datum und Uhrzeit der WLD Datei
hinzufügen
Connect; //Verbinden
SwitchToStop; //Stop SPS
DisConnect; //Verbindung Trennen
ExitPrg;
[/Script]
- 65 -
An dieser Stelle wird die CPU wieder gestartet.
Script 7:
@echo off
echo run plc cpu...
REM cd C:\Program Files (x86)\MHJ-Software\Buddy for S7\
start "" /D "C:\Progra~2\MHJ-Software\Buddy for S7" /MIN /WAIT Bud-
dyS7.exe C:\plc_scada_cases\scripts\run.bfs7 /SCRIPTSTART
echo done
Script 8:
//*********Buddy Script Verbindungseinstellung
[Settings]
//ConnectCable=0; (RS232)
//ConnectCable=1; (Netlink-Lite, IBH-Link, MHJ-Link, MHJ-Link++)
//ConnectCable=2; (Netlink-Pro, Netlink-Pro-Compact)
ConnectCable=3; (Ethernet direkt)
//ConnectCable=4; (Simatic Net)
IP-ADR=192.168.0.1;
SLOT_NR=2; //Bei S7-300 immer "2"
MPI_PLC=2; //Bei Ethernet direkt nicht notwendig
//COM=3; //Nur bei serieller Verbindung
[/Settings]
//**************Buddy Script Begin
[Script]
//Print, Read all blocks
//Wld,C:\Users\LiveHackingBox\Desktop\plc_scada_cases\plc_backup\op-
eration_copy.wld; //Festlegung der WLD-Datei
//AddDateAndTimeToFileName; //Datum und Uhrzeit der WLD Datei
hinzufügen
Connect; //Verbinden
SwitchToRun; //Run SPS
DisConnect; //Verbindung Trennen
ExitPrg;
[/Script]
- 66 -
Nach dem erneuten Start der CPU werden alle Sicherheitskomponenten deakti-
viert. Der Angreifer hat es geschafft die SPS so zu manipulieren, dass diese bei
einem betätigen des Not-Ausschalters nicht mehr stoppt. Außerdem schaltet der
Reflection Sensor den Kompressor nicht mehr ab, auch wenn ein Gefäß die Licht-
schranke unterbricht.
Der Produktionsprozess ist nun massiv gestört und es könnte in einer Produk-
tivumgebung zu massiven Störungen kommen.
Ausfälle oder Störungen, die durch so einen Angriff eintreten, können Leben be-
drohen, die Umwelt schädigen und große finanzielle Schäden für KRITIS-
Unternehmen oder Organisationen bedeuten. Aus diesem Grund ist die Aufrecht-
erhaltung der Kontrolle über den Produktionsprozess von immenser Bedeutung.
Der ordnungsgemäße Betrieb muss auch beim Auftreten eines Sicherheitsvor-
falls gewährleistet bleiben.
Wie bereits angesprochen, ließe sich die Programmcodemanipulation auch mit
weiteren Methoden durchführen, wie beispielsweise ein Backup des Programm-
codes mittels Metasploit oder Python erstellen, Änderungen vornehmen durch
einen Hex-Editor und Restore der Konfiguration auf die SPS. Diese Möglichkei-
ten werden in dieser Arbeit aber nicht weiter betrachtet.
Der Angriff auf eine SIMATIC S7-SPS konnte somit erfolgreich durchgeführt wer-
den.
- 67 -
7 Entwicklung eines Monitoring-Konzeptes
Das hier vorliegende Kapitel beschäftigt sich mit verschiedenen Problemlösungs-
strategien der im vorherigen Kapitel skizzierten Angriffstechniken. Basierend auf
den vorgestellten Angriffstechniken wird an dieser Stelle dokumentiert, wie IDS-
Systeme arbeiten beziehungswiese bzw. wie Angriffe, Schwachstellen und Ano-
malien innerhalb eines Netzwerkes erkannt werden können.
Eine Netzwerk-Anomalie beschreibt hierbei jede Veränderung der erlaubten und
bekannten Standardkommunikation in Netzen. Eine Anomalie kann damit sowohl
eine Malware oder Cyberattacke umfassen, als auch fehlerhafte Datenpakete so-
wie durch Netzwerkprobleme, Kapazitätsengpässe oder Anlagenfehler
verursachte Kommunikationsveränderungen.
Eine Netzwerkanomalie-Erkennung liest die gesamte Netzwerkkommunikation
eines beliebig großen Netzwerksegmentes mit, analysiert diese in Echtzeit und
meldet solche umgehend an den Netzwerkbetreiber.
Abweichungen bzw. Anomalien können beispielsweise sein:
Netzwerkprobleme (z. B. aufgrund von fehlerhaften Datenpaketen);
neue Netzwerkteilnehmer;
neue Netzwerkverbindungen;
veränderte Befehlsstrukturen;
unbekannte (neue oder veränderte) Datenpakete;
neue Protokolltypen
Cyberangriffe;
Malware-Kommunikation;
manuelle Sabotage;
Auch der im vorigen Kapitel gezeigte Angriff und die damit verbundene Manipu-
lation von Datenpaketen, welche zur SPS Steuerung übertragen wurden, lässt
sich mittels Netzwerkforensischer Methoden erkennen.
- 68 -
7.1 Erkennung mittels IDS-System
Die dargestellten Angriffsszenarien auf ein Industrienetzwerk zeigen auf, wie ein-
fach ein Cyberangriff auf ungeschützte Industrienetzwerke prinzipiell
durchgeführt werden kann. Um solche Angriffe in einem SCADA-Netzwerk zu
erkennen und bei Bedarf eingreifen zu können, wird ein Überwachungs- und Mo-
nitoring-System benötigt. Hierfür kann ein IDS / IPS45-System eingesetzt werden.
Host-basierte Intrusion Detection-Systeme zielen darauf ab, Informationen über
die Aktivität eines bestimmten Systems oder Hosts zu sammeln. Diese hostba-
sierten Agenten, die manchmal als Sensoren bezeichnet werden, werden
normalerweise auf einer Maschine installiert, die für mögliche Angriffe empfäng-
lich ist. Der Begriff „Host“ bezieht sich auf einen einzelnen Computer, daher wäre
für jede Maschine ein separater Sensor erforderlich. Sensoren erfassen Daten
über Ereignisse, die auf dem überwachten System stattfinden. Diese Daten wer-
den von Betriebssystemmechanismen erfasst, die als Audit-Trails bezeichnet
werden.
Netzwerkbasierte Intrusion Detection-Systeme (NIDS) hingegen verwendeten ei-
nen anderen Ansatz: Diese Systeme sammeln Informationen aus dem Netzwerk
selbst und nicht von jedem einzelnen Host. Sie arbeiten im Wesentlichen auf der
Grundlage eines "Abhörkonzepts". Informationen werden aus dem Netzwerkver-
kehrsstrom gesammelt, während Daten im Netzwerksegment übertragen
werden. Das NIDS prüft das Netzwerk auf Angriffe oder unregelmäßiges Verhal-
ten, indem der Inhalt und die Header-Informationen aller Pakete überprüft
werden, die sich im Netzwerk bewegen. Die Netzwerksensoren sind mit „Angriffs-
signaturen“ ausgestattet, die Regeln für einen Angriff darstellen. Die
verwendeten Sensoren vergleichen die Signaturen dann mit dem Verkehr, den
sie erfassen. Diese Methode wird auch als Packet Sniffing bezeichnet und er-
möglicht dem Sensor die Erkennung von feindlichem Verkehr.
In dieser Arbeit wird ein NIDS eingesetzt, da das SCADA Netzwerk abgesichert
werden soll. Man will Angriffe auf die SPS erkennen. Auf die SPS selber kann
45 IPS: Intrusion Prevention System
- 69 -
kein HIDS installiert werden, da das eingesetzte Betriebssystem auf der SPS dies
nicht unterstützt.
Grundsätzlich sollte der Netzwerk-Datenverkehr in der Office-IT und im OT-Netz-
werk überwacht werden. In diesen Netzwerken wird durch ein IPS/IDS-System
laufend der Zustand des Netzwerkes erkannt. Bei bekannten Schwachstellen o-
der bekannt werden neuer Schwachstellen, kann mit Anpassungen am IDS/IPS
Regelwerk darauf reagiert werden. Weiterhin können durch die Überwachung
des Netzwerkverkehrs auch unbekannte Angriffsmethoden oder operative Ano-
malien und daraus evtl. entstehende Fehlfunktionen der Anlage erkannt werden.
Während der übliche Zweck eines IDS im Allgemeinen darin besteht, Alarme zu
erstellen, damit die Mitarbeiter sie nachverfolgen können, besteht kein Grund, die
Erkennungsfunktionen nicht dazu zu nutzen, nur Protokollnachrichten zu erstel-
len. Ein IDS kann ein nützliches Werkzeug sein, wenn es um forensische
Netzwerkuntersuchungen geht.
Ein IDS kann neben der Erkennung von Eindringlingen und den auftretenden
Netzwerkverkehr auch Daten generieren, die im Verlauf einer digitalforensischen
Untersuchung verwendet werden könnten. Daher kann es für einen Ermittler von
Vorteil sein, zu verstehen, wie ein IDS funktioniert und wie die Ausgabe zu inter-
pretieren ist. Dies umfasst verschiedene Erkennungsstile, die verwendet werden
können, die Architekturen, die möglicherweise vorhanden sind, und insbeson-
dere die Protokolle und Warnungen, die von den verschiedenen Systemen
generiert werden.
Es existieren viele verschiedene Intrusion-Detection-Systeme, sowohl kommer-
zielle als auch Open Source-basierte. Ein bekanntes Open Source-IDS ist die
Software Snort. Bei Snort handelt es sich um ein freies Network Intrusion Detec-
tion System (NIDS) und ein Network Intrusion Prevention System (NIPS). Neben
der Protokollierung des Netzwerkverkehrs kann es auch zur Analyse des Daten-
verkehrs eingesetzt werden – auch in Echtzeit. Primär wird Snort jedoch
verwendet, um Angriffe automatisiert erkennen und unterbinden zu können.
Die verschiedenen Regeln, die Snort zur Angriffserkennung nutzt, können auch
durch andere Softwaresysteme eingesetzt werden, insbesondere Open Source-
- 70 -
Systeme wie Bro. Bei Bro handelt es sich um einen weitverbreiteten Netzwerksi-
cherheitsmonitor, der jedoch kürzlich in Zeek umbenannt wurde. Prinzipiell
handelt es sich bei Snort bzw. Bro um ein regelbasiertes IDS, welches Protokoll-
daten erstellen kann, die für eine spätere netzwerkforensische Auswertung
hilfreich sein können.
Die Erkennung von Netzwerkangriffen ist komplex. Es stellt eine große Heraus-
forderung dar, den vermeintlich bösartigen Netzwerkverkehr vom normalen
Netzwerkverkehr zu unterscheiden. Hierzu gibt es verschiedene Techniken, um
diese Entscheidungen treffen zu können. In diesem Zusammenhang haben IDS-
Systeme ähnliche Herausforderungen wie beispielsweise Anti-Viren-Lösungen
zu meistern: Oft weiß man nicht, wie etwa bösartiger Netzwerkverkehr aussieht,
bis tatsächlich ein Einbruch in das Netzwerk passiert ist. Der Ansatz, fehlerhafte
Ereignisse zu erkennen und zu bestimmen, wie sie aussehen, wird als signatur-
basierte Erkennung bezeichnet. Ein anderer Ansatz, den Intrusion Detection-
Systeme annehmen können, ist das Aussortieren der normalen Aktivität von
anormalem Auftreten. Dies wird als heuristische Erkennung bezeichnet.
- 71 -
7.1.1 Signaturbasierte Netzwerkerkennung
Signaturbasierte Intrusion Detection-Systeme verlassen sich auf Muster, welche
zuvor erstellt werden müssen. Diese Muster sind die Signatur. Da diese Identifi-
zierung davon abhängt, dass etwas Schlimmes passiert ist, besteht eine sehr
gute Chance, dass mehrere Systeme verletzt oder angegriffen werden, bevor
man herausfindet, wie die Signatur aussehen sollte.
Die signaturbasierte Identifikation ist ein gängiger Ansatz für die Erkennung von
Netzwerkeindringlingen sowie ein gemeinsamer Ansatz für Antivirus-Pro-
gramme. Bei der Erkennung von Eindringlingen auf Netzwerkebene kann die
Signatur eine beliebige Anzahl einzelner Daten oder eine Anzahl von ihnen zu-
sammen sein.
Eine Netzwerksignatur kann beispielsweise die Quell-IP-Adresse sein. Der von
einer bestimmten IP-Adresse ankommende Verkehr muss möglicherweise als
fehlerhaft befunden werden, um einen Alarm zu generieren. Es kann sich um
bestimmte Ports handeln, die gerade verwendet werden. Signaturen sind nicht
nur auf die Header-Informationen beschränkt, egal ob es sich um IP-Header oder
Transport-Layer-Header wie TCP oder UDP handelt.
Ein IDS kann die Paketdaten einsehen und Signaturen können daraus basierend
generiert werden. Dies erfordert möglicherweise das Dekodieren von Daten im
Anwendungsprotokoll, und das IDS kann auf unterschiedliche Weise behandelt
werden, oder die Signatur kann speziell dafür ausgelegt sein, auch binäre Proto-
kolle anzusprechen.
Wenn ein IDS korrekt in der Netzwerkarchitektur platziert ist, kann es möglicher-
weise den Verkehr erkennen und darauf aufmerksam machen, dass ein
blockieren von Netzwerk-Verkehr durchgeführt wird. Um komplexe IDS-Regeln
zu erstellen, die für eine forensische Netzwerkuntersuchung benötigt werden, be-
nötigt man viel Übung und Wissen über Protokolle und auch entsprechendes
Know-How.
Jedes Muster muss mit jedem Paket verglichen werden, das das IDS durchläuft.
Je mehr Muster es gibt, desto mehr Vergleiche können durchgeführt werden.
- 72 -
Wenn es nur um ein Matching auf den Headern geht, ist die Position für jedes
Header-Feld bekannt, wodurch das Matching vereinfacht wird. Das IDS kann di-
rekt an die Stelle im Header springen und feststellen, ob das Muster vorhanden
ist oder nicht.
7.1.2 Heuristische Netzwerkerkennung
Ein heuristisches Erkennungssystem wird manchmal als anomaliebasierte Er-
kennung bezeichnet. Es basiert auf der Idee, dass bekannt ist, wie der normale
Netzwerkverkehr üblicherweise aussieht. Im Gegenzug ist bekannt, wobei es
sich etwa um eine Anomalie handeln könnte. Wenn ungewöhnlicher bzw. poten-
ziell schädlicher Verkehr vom IDS identifiziert wird, werden Warnmeldungen
generiert.
Das Problem bei solchen Ansätzen ist das Potenzial für Warnungen, bei denen
es sich nicht wirklich um Eingriffe handelt. Man spricht dann auch von einer
„False-Positive“ Erkennung.
Die Konfiguration der Schwellwerte bei einem heuristischen System ist eine kom-
plexe und zeitaufwändige Aufgabe. Kleinste Änderungen oder Anpassungen in
Protokollen können als Angriff gewertet werden – und damit Fehlalarme ausge-
löst werden.
Jedes heuristische oder anomaliebasierte IDS erfordert eine Baseline. Dies be-
deutet, dass das System eine Art Lernphase durchlaufen muss. Wie die Baseline
implementiert wird, hängt vollständig von dem Hersteller ab, der die Software
entwickelt hat.
Nachdem die Baseline erstellt wurde, muss diese immer wieder überprüft wer-
den. Ein signaturbasiertes IDS kann mehrere Regeln enthalten und die Anzahl
der Regeln kann mit der Zeit zunehmen. Dies kann den Verarbeitungsbedarf ei-
nes signaturbasierten IDS erhöhen. Dadurch unterscheidet sich die Signatur von
der Heuristik, da die Signaturen ständig aktualisiert werden. Eine Baseline bleibt
- 73 -
jedoch eine Baseline, bis sich etwas Signifikantes ändert, sodass die Baseline
geändert werden muss.46
7.2 Einrichtung eines IDS-Systems
Um einen Sniffer wie Wireshark oder ein IDS wie die Open Source Software Bro
an einem Switch zu betreiben, benötigt der Administrator an diesem Switch einen
sogenannten Spiegelport. An diesen Port kann sämtlicher Traffic eines anderen
Ports gespiegelt werden. Dieses Feature wird auch SPAN-Port, Monitor Port und
Mirror Port genannt.
Für die Konfiguration eines SPAN-Ports gibt es bei Cisco, je nach Typ des Swit-
ches, unterschiedliche Kommandos. Eine eingerichtete Portspiegelung wird bei
Cisco als SPAN-Session bezeichnet. Jede SPAN-Session benötigt hierzu min-
destens einen Source-Port und einen Destination-Port. Der Source-Port ist die
Quelle der interessierenden Daten. Er wird auch "monitored port" genannt.
Mit einer SPAN-Session können mehrere Source-Ports gespiegelt werden. Eine
Kopie aller Frames der Source Ports wird an den Destination Port geleitet. Er
wird auch als "monitoring port" bezeichnet. Jede SPAN-Session hat genau einen
Destination Port. Die Bandbreite des Destination Ports muss berücksichtigt wer-
den, der Switch kann nicht den kompletten Traffic von zwei oder mehr
FastEthernet-Ports auf einen FastEthernet-Port spiegeln. Damit im Labornetz-
werk ein IDS-System eingesetzt werden kann, wird ein Port am Cisco Switch
2960 als Monitor Port und einer als Mirror Port konfiguriert. Folgende Schritte
sind dazu notwendig:
Switch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface FastEthernet0/5
Switch(config)# monitor session 1 destination interface FastEthernet0/1
Switch(config)# end
46 Vgl. (Messier, 2017)
- 74 -
Das „no monitor session 1“ löscht ein eventuell bereits bestehendes Port Mirro-
ring. Die beiden folgenden Zeilen legen den Source und Destination Port fest. Im
gezeigten Beispiel werden alle Frames von FastEthernet0/5 auf FastEthernet0/1
gespiegelt. An FastEthernet0/1 könnte ein PC mit Wireshark angeschlossen wer-
den. Zur Kontrolle der SPAN-Session dient das Kommando „show monitor
session detail “:
Switch#sh monitor session 1 detail
Session 1
---------
Type : Local Session
Description : -
Source Ports :
RX Only : None
TX Only : None
Both : Fa0/5
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : Fa0/1
Encapsulation : Native
Ingress : Disabled
Filter VLANs : None
Dest RSPAN VLAN : None
Switch#
Das an FastEthernet0/1 angeschlossene Wireshark-System kann mit dieser Kon-
figuration nun den Netzwerkverkehr aufzeichnen. Als erstes wurde ein Paket
aufgezeichnet, bei dem das Maschinenprogramm auf die SPS übertragen wor-
den ist. Der aufgezeichnete Netzwerkverkehr kann nun forensisch mit Wireshark
analysiert werden. Dazu speichert man die aufgezeichneten Pakete in einer Pcap
Datei ab.
- 75 -
Bild 31: Detailansicht eines aufzeichneten Paketes
Bei dem folgenden Paket wurde vom Angreifer ein PLC-Scan durchgeführt, dies
ist folgender Abbildung zu entnehmen:
Bild 32: PLC-Scan in Wireshark
Im nächsten Schritt überträgt der Angreifer ein manipuliertes SPS-Maschinen-
programm auf die Steuerung.
- 76 -
Bild 33: Übertragung eines manipulierten SPS-Programmes
Aus den Detailinformationen von Wireshark geht hervor, dass die einzelnen Re-
gister der SPS neu beschrieben werden:
Bild 34: Beschreiben der SPS-Register
- 77 -
Genau diese Veränderungen im Netzwerkverkehr soll ein IDS/IPS System erken-
nen und bei Erkennung einen entsprechenden Alarm auslösen.
Im Labor Netzwerk wird das Open Source IDS Projekt SecurityOnion47 verwen-
det. Security Onion ist eine auf Ubuntu basierende Linux-Distribution für
Netzwerk-Monitoring und Intrusion Detection. Das ISO File wird als LiveCD zur
Verfügung gestellt, kann nach dem Bootvorgang auch installiert werden.
In diesem Beispiel wurde Security Onion auf einer virtuellen Maschine mit Virtu-
alBox realisiert. Der VM wurden 2 CPU-Kerne und 8 GB Ram zugewiesen, die
Größe der virtuellen Festplatte beträgt 30 GB. Wichtig bei der VM V-Switch Kon-
figuration ist die Aktivierung des „Promiscuous Mode“, durch welchen der
eingehende Traffic an alle verbundenen VMs weitergeleitet wird.
Nach der Installation weist man der Maschine noch ein Management Interface
und einen Monitoring-Port zu. Der Monitoring-Port ist auf dem Switch mit Fa01/1
verbunden. Im Labornetzwerk wird die IDS-Maschine als „Logsammler“ und als
Sensor verwendet. In Produktivumgebungen sollte man diese Dienste trennen.
Bild 35: Setup von SecurityOnion
47 SecurityOnion: https://securityonion.net/
- 78 -
Bild 36: Setup von SecurityOnion Deployment Mode
Nach der Fertigstellung des Setup Scripts und einem Reboot der Maschine steht
das IDS-System zur Verfügung.
Bild 37: Design von Bro
Das Sniffing Interface zeichnet nun alle Pakete auf, welche dann in Kibana dar-
gestellt werden. Bei Kibana handelt es sich um ein Open-Source-Analysesystem,
welches auf der Suchmaschine Elasticsearch basiert. Es ermöglicht die Suche
und Visualisierung der in Elasticsearch enthaltenen Daten.
- 79 -
Bild 38: Kibana mit Darstellung der aufgezeichneten Verbindungen
Mit dem IDS-System Bro stehen jetzt alle Möglichkeiten einer einfachen Erken-
nung von Netzwerkdiensten zur Verfügung. Die Erweiterung der
Netzwerkdienstidentifizierung von Bro erfordert drei grundlegende Dateien: Eine
Signaturdatei, eine Skriptdatei und eine Ladedatei.
Der erste Schritt ist das Erstellen einer Signaturdatei, anschließend folgt das Er-
stellen einer Bro-Datei, die das Ereignis anhand der Signatur referenziert. Jetzt
werden nur noch die zwei Dateien mit einer Standarddatei __load__ geladen.
Alle drei Dateien sollten sich im selben Verzeichnis befinden. Die Dateien aus
diesem Verzeichnis können dann über die Bro-Systemdatei "local.bro" geladen
werden.
Wenn alle Dateien vorhanden sind und ein Paket mit dem Regex-Muster /.*ser-
vice-signature/ beginnt, wird der Dienstname "Service" an den Verbindungssatz
angehängt, der diesem Paket zugeordnet ist.
Damit ist es möglich auf Anomalien im Netzwerkverkehr zu reagieren und einen
entsprechenden Alarm auszulösen. Auch in Kibana ist es möglich Netzwerk-Filter
zu generieren und einen Alarm auszugeben, wenn eine bestimmte Kommunika-
tion auftritt. Hier ein Beispiel Ausgabe in Kibana mit dem gesetzten Filter auf TCP
Port 102.
- 80 -
Bild 39: Kibana mit Filtereinstellung
Tritt jetzt eine Kommunikation auf, welche die SPS-Steuerung auf TCP Port 102
anspricht, kann ein entsprechendes Ereignis generiert werden. Um dies zu testen
wird ein manipuliertes File von dem HMI Rechner auf die SPS übertragen. Das
Script „C:\plc_scada_cases\plc_files\malicious_code.wld“ überträgt den binären
Maschinencode mit abgeschalteter Sicherheitsfunktion auf die SPS. Dies erzeugt
folgenden Alarm und Log Eintrag auf dem IDS System in folgender Datei:
root@onion:/nsm/bro/logs/current/conn.log
{"ts":"2019-03-
31T00:41:46.379120Z","uid":"C0gjTa4868pQc5fhDh","id.o-
rig_h":"192.168.0.103","id.orig_p":49167,"id.resp_h":"192.168.0.1","
id.resp_p":102,
"proto":"tcp","dura-
tion":0.041301,"orig_bytes":498,"resp_bytes":178,"conn_state":"SF","
local_orig":true,"local_resp":true,"missed_bytes":0,
"his-
tory":"ShADdFafr","orig_pkts":38,"orig_ip_bytes":2540,"resp_pkts":12
,"resp_ip_bytes":662,"sensorname":"onion-enp0s8"}
- 81 -
Zusätzlich kann eine Mail generiert und dem Betreiber zugesendet werden. Hier
sollte man aber beachten, dass aus einem Produktionsnetzwerk heraus in aller
Regel keine SMTP-Verbindungen zulässig sind. Die Alarme können alternativ
aber auch an die Leitstelle des Betreibers weitergeleitet werden.
Bild 40: IDS-E-Mail über einen Incident
- 82 -
8 Ergebnisse
Die dargestellten Angriffsszenarien auf ein Industrienetzwerk zeigen wie einfach
ein Cyberangriff auf ungeschützte Industrienetzwerke durchzuführen ist. Jeder
Betreiber eines SCADA-Netzwerkes sollte die IT-Sicherheitspolicies in seinen In-
dustrienetzwerken überdenken und anpassen, um zu verhindern, dass Angreifer,
die versuchen ein SCADA-Steuerungsnetzwerk angreifen, eben nicht zum Ziel
gelangen.
Die Laborumgebung hat gezeigt, dass Manipulationen von Binärcode für eine S7
SIMATIC-Steuerung möglich sind und bei erlaubtem Netzwerkzugriff auf eine sol-
che Steuerung manipulierter Maschinencode auf die SPS übertragen werden
kann.
Hieraus resultiert, dass ein Produktionsablauf gestört oder sogar unterbrochen
werden kann. Dies kann die öffentliche Sicherheit erheblich stören insbesondere
bei Unternehmen aus dem KRITIS-Bereich. Aber genauso können beachtliche
wirtschaftliche Schäden bei Industrieunternehmen eintreten.
Für den Nachweis der Funktionalität wurde ein SPS-Projekt aus einer SPS her-
untergeladen. Das Programm wurde analysiert und es wurden Veränderungen
an mehreren Blöcken durchgeführt. Anschließend wurde das Programm mit den
Projektänderungen an einem OB wieder auf die SPS übertragen. Die Verände-
rung bewirkte einen schwerwiegenden Zustand, der komplette
Sicherheitsmechanismus wurde außer Betrieb gesetzt.
Die vorliegende Arbeit beschäftigte sich mit der Analyse von Zugriffen auf SPS-
Steuerungssysteme, welche zur Überwachung und zum Steuern von Prozessen
ausgerichtet sind. Zielsetzung war es, einen Überblick über SCADA-Netzwerke
zu schaffen, mögliche Angriffsvektoren zu ermitteln, einen Anforderungskatalog
für die Sicherheits-Analyse zu erarbeiten.
- 83 -
9 Zusammenfassung und Ausblick
Das Kapitel beschreibt die in der Ausgangssituation beschriebenen Forschungs-
anfragen, die im Labor erhaltenen Ergebnisse der forensischen Untersuchung
werden besprochen. Aufgetretene Probleme und entsprechende Erkenntnisse
werden beschrieben. Darüber hinaus wird auf zukünftige IT-Sicherheitskonzepte
eingegangen, denn zukünftige Industrie 4.0-Anforderungen und der voranschrei-
tenden Digitalisierung in den Unternehmen zwingt alle Akteure, Hersteller,
Berater und Nutzer sich auf diese neuen Angriffsformen einzustellen.
Aus der Untersuchung ist weiterhin hervorgegangen, dass für die Betreiber von
SCADA-Netzwerken erhöhte IT-Sicherheitsanforderungen vorliegen. In dieser
Arbeit wurde exemplarisch nur eine Steuerung von der Firma Siemens verwen-
det, Penetrationstests zeigen aber, dass weitere Hersteller von
Steuerungstechnik genauso betroffen sind.
Die Konzepte „Defence in Depth” für Industrienetzwerke müssen verfeinert und
fortlaufend auf neue Anforderungen hin angepasst werden. Neue Anforderungen
durch Industrie 4.0 Anwendungen wie „Predictive Maintenance” zwingen KRITIS-
Betreiber genauso wie Maschinenbauer ihre Produktionsanlagen so zu vernet-
zen, damit Verbrauchsdaten zum Hersteller oder zu Cloud-Anwendungen
gespeichert werden können. Bei Predictive Maintenance handelt es sich um in
Industrie 4.0-Konzept zur Maschinen- und Gerätewartung, um mögliche Ausfall-
zeiten zu minimieren.
Diese immer komplexeren, vernetzten Umgebungen gehen mit hohen Sicher-
heitsrisiken einher und daher müssen zwingend erweiterte
Absicherungskonzepte für solche Netzwerke entwickelt werden.
Die gewonnenen Ergebnisse dieser Arbeit spiegeln auch den derzeitigen verbrei-
teten Sicherheitszustand der Industrienetzwerke wider und diese Ergebnisse
können für weitere Forschungsarbeiten verwendet werden. Wie können z. B. In-
dustrienetzwerke weiter gesichert werden, welche Netzwerk Intrusion Detection
Systeme (NIDS) können für die Industrieprotokolle noch besser eingesetzt wer-
den. Lösungen mit Hilfe künstlicher Intelligenz zur Erkennung und Abwehr von
Bedrohungen werden hier verstärkt Einzug halten.
- 84 -
Das BSI weist nicht umsonst schon länger darauf hin, dass sich Organisationen
von der Vorstellung verabschieden sollten, jeden Angriff im Vorfeld blockieren zu
können. Bei neuen Sicherheitskonzepten muss über die Erkennung und Eingren-
zung erfolgreicher Angriffe nachgedacht werden. In den Konzepten werden
klassische Host Intrusion Detection Systeme (HIDS) und Network Intrusion De-
tection System (NIDS) vertreten sein.
Beide Systeme können entweder nach von außen eingespielten Angriffsmustern
fahnden oder nach Anomalien gegenüber einem zuvor ermittelten Normalbetrieb
des überwachten Hosts oder Steuerungsnetzwerk suchen. Moderne IDS-Pro-
dukte arbeiten hier nach beiden Prinzipien, aber bisher mit vergleichsweise
geringer Tiefe analytischer Intelligenz. Erst in jüngster Zeit findet maschinelles
Lernen und Threat Intelligence als Ergänzung Einzug in neue IDS-Produkte.
Beide Ansätze werden in zukünftigen Netzen anzutreffen sein, IDS-/IPS-Systeme
werden für standardisierte Netzwerkangriffe von außen eingesetzt werden und
für die interne Bedrohungsabwehr, für Angriffe der intelligenteren Art, werden die
neuen KI-Systeme eingesetzt werden.
Immer wichtiger wird demnach eine umfassende Bewertung der operationellen
und betrieblichen Risiken, um den neuen Sicherheitsherausforderungen zu be-
gegnen. Weitere gängige Ansätze zur Risikominimierung bestehen darin,
etablierte Standards zu implementieren, die Geräteverwaltung zu zentralisieren
und im Notfall staatliche Stellen wie das BSI Emergency Response Team zu kon-
sultieren.
Ebenso wichtig ist es, Branchen- und Sicherheitsstandards einzuhalten. Da An-
griffe auf SCADA/ICS-Systeme die physische Sicherheit von Mitarbeitern und
Kunden gefährden können, sollte ihre Absicherung oberste Priorität haben.
Um Risiken zu minimieren ist ein mehrschichtiger Ansatz gefragt, der Security
auf Geräte- und Netzwerkebene kombiniert. Dafür benötigen Unternehmen eine
umfassende Sicherheitsarchitektur mit integrierten Security-Lösungen. Unab-
hängig davon sollten SCADA/ICS-Betreiber die folgenden Schritte unternehmen,
um ihre Assets zu schützen:
- 85 -
Zunächst sollte ein Überblick über alle IoT-Geräte, die mit dem Netzwerk verbun-
den sind, erstellt werden. Es sollten Netzwerkzugangskontrollen, um diese
authentifizieren und klassifizieren zu können, eingerichtet werden. Dies erlaubt
es, Risikoprofile zu erstellen und die IoT-Geräte automatisiert entsprechenden
Gruppen zuzuweisen. Auf die Gruppen lassen sich zuvor definierte Policies an-
wenden.
IoT-Netzwerke sollten von Produktionsnetzwerken segmentiert und mit den ver-
schiedenen Gerätegruppen sollten geschützte Netzwerkzonen gebildet werden.
Außerdem kann auf diese Weise verhindert werden, dass Mitarbeiter auf Teile
des Netzwerks zugreifen, auf welche sie keinen Zugriff benötigen. Abschließend
sollte die gesamte Netzwerkinfrastruktur, einschließlich Switches, Routern, draht-
losen Netzwerken und IoT/IIoT-Geräten, regelmäßig gesichert werden. Ebenso
sollten Identitäts- und Zugangs-Management Policies angewendet werden, um
Zugang von Dritten zu kontrollieren und IoT/IIoT-Geräte im Netzwerk zu mana-
gen.
Die Härtung der Geräte (Switche, Router, usw.) erfolgt indem nicht verwendete
Ports und/oder Funktionen deaktiviert werden, um ggfs. existierende, weitere
Schwachstellen bereits im Vorfeld abschalten zu können. Auch ein Endpunkt-
schutz für IoT- und andere Geräte ist erforderlich, um Bedrohungen sichtbar
machen zu können.
Mithilfe von Inventory Management Tools können die Geräte verfolgt bzw. lokali-
siert (tracken) und mittels Behavioral Analytics ihr Verhalten überwacht werden.
Außerdem sollten Internal Segmentational Firewalls (ISFW) eingesetzt werden.
Diese ermöglichen es nicht nur, Netzwerksegmente schnell und dynamisch ein-
zurichten und zu kontrollieren, sondern auch den Datenverkehr beim
Überschreiten der Segmentgrenzen zu prüfen.
Es sollte ein integriertes und automatisiertes Sicherheitsframework aufgesetzt
werden. Security-Lösungen sollten in der Lage sein, Informationen zu korrelieren
- sogar zwischen Geräten, die in verschiedenen Netzwerkökosystemen einge-
setzt werden. Solche integrierten Tools können dann automatisch erweiterte
Sicherheitsfunktionen auf alle IoT-Geräte oder auf verdächtigen Netzwerkverkehr
anwenden - überall im gesamten Netzwerk einschließlich an Zugriffspunkten,
- 86 -
segmentübergreifenden Netzwerkverkehrsknoten und in Multi-Cloud-Umgebun-
gen.
Angriffe und Störungen des IT-Betriebs erfolgen sehr häufig durch bösartige oder
fehlerhaft konfigurierte Systeme, die Zugang zum internen Produktionsnetzwerk
haben. Aus diesem Grunde ist für die Umsetzung eines tragfähigen IT-Sicher-
heitskonzepts der Einsatz eines internen Netzwerkzugangsschutz Lösung
(Network Access Control bzw. NAC) unerlässlich. Dadurch wird sichergestellt,
dass an der internen Netzwerkinfrastruktur nur eigene Switches, Router, draht-
lose Netzwerke und IoT / IIoT -Geräte betrieben werden.
- 87 -
10 Literaturverzeichnis
Ay, C., 2018. SPS Programmiersprache Anweisungsliste: Mit AWL
programmieren. [Online]
Abrufbar auf: https://www.sps-lehrgang.de/anweisungsliste-awl/
[Zugegriffen am: 28 03 2019].
Balapure, A., 2013. Learning Metasploit Exploitation and Development. 1. ed.
Birmingham: Packt Publishing.
Barnaby, T., Selly, D. & Troelsen, A., 2006. New York: Apress.
Bernstein, H., 2015. Informations- und Kommunikationstechnik. 1. ed.
München: Walter de Gruyter GmbH & Co KG.
Dahm, H. et al., 2013. Datenreisende: Die Kultur der Computernetze. 1. ed.
Opladen: Springer.
Dewald, A. & Freiling, F., 2015. Forensische Informatik. 1. ed. Erlangen: Books
on Demand.
Dhanjani, N., Rios, B. & Hardin, B., 2009. Hacking: The Next Generation: The
Next Generation. 1. ed. Sebastopol, CA: O'Reilly Media, Inc..
DIN Deutsches Institut für Normung e. V., 2001. Speicherprogrammierbare
Steuerungen Teil 5: Kommunikation. 1. ed. s.l.:DIN.
DIN Deutsches Institut für Normung, 2019. DIN EN 60529 Schutzarten durch
Gehäuse. s.l.:DIN EN.
Eckert, C., 2014. IT-Sicherheit: Konzepte - Verfahren - Protokolle. 9. ed.
München: Walter de Gruyter GmbH & Co KG.
Gilchrist, A., 2017. IoT Security Issues. 1. ed. Nonthaburi, Thailand: Walter de
Gruyter GmbH & Co KG.
Habermann, M. & Weiß, T., 2009. STEP7-Crashkurs extended: Umfassende
Beschreibung der Programiersprache STEP7 und weitere Themen zur
Automatisierungstechnik mit S7-CPU-Übersicht. 7. ed. Berlin: VDE-Verlag.
- 88 -
Heid, 2012. IT-Sicherheit in Organisationen: Analysebegriffe und
Konzeptionsmethoden. 1. ed. Hamburg: Diplomica Verlag.
Heinson, D., 2015. IT-Forensik: Zur Erhebung und Verwertung von Beweisen
aus informationstechnischen Systemen. 1. ed. Kassel: Mohr Siebeck.
Heinze, R. & Schleupner, L., 2017. Industrie 4.0 im internernationen Kontext. 2.
ed. Berlin: Beuth.
Hermann, D., 2016. Beobachtungsmöglichkeiten im Domain Name System:
Angriffe auf die Privatsphäre und Techniken zum Selbstdatenschutz. 1. ed.
Hamburg: Springer.
HMS Industrial Networks AB, 2019. Vergleich der Feldbussysteme. [Online]
Abrufbar auf: https://www.feldbusse.de/Vergleich/vergleich_feldbusse.shtml
[Zugegriffen am: 21 03 2019].
Kittichaisaree, K., 2014. Public International Law of Cyberspace. 1. ed. Cham,
Switzerland: Springer.
Klipper, S., 2010. Konfliktmanagement für Sicherheitsprofis: Auswege aus der
"Buhmann-Falle" für IT-Sicherheitsbeauftragte, Datenschützer und Co. 1. ed.
Wiesbaden: Vieweg Teubner.
Knapp, Eric & Langill Joel, 2014: Industrial Network Security - Securing Critical
Infrastructure Networks for Smart Grid, SCADA and Other Industrial Control Sys-
tems 2. ed., Waltham, USA, Elsevier Inc.
Lippold, H., 2013. Sicherheit in Informationssystemen: Proceedings des
gemeinsamen Kongresses SECUNET’91 — Sicherheit in netzgestützten
Informationssystemen (des BIFOA) und 2. Deutsche Konferenz über
Computersicherheit (des BSI). 1. ed. Wiesbaden: Springer.
Mandl, P., Bakomenko, A. & Weiss, J., 2010. Grundkurs Datenkommunikations:
TCP/IP-basierte Kommunikation: Grundlagen, Konzepte und Standards. 2. ed.
Wiesbaden: Vieweg.
Meinel, C. & Sack, H., 2011. Internetworking: Technische Grundlagen und
Anwendungen. 1. ed. Potsdam: Springer.
- 89 -
Messier, R., 2017. Network Forensics. 1. ed. Indianapolis, USA: John Wiley &
Sons, Inc..
Metter, M. & Bucher, R., 2007. . Industrial Ethernet in der
Automatisierungstechnik: Planung und Einsatz von Ethernet-LAN-Techniken im
Umfeld von SIMATIC-Produkten. 2. ed. Erlangen: Siemens.
Pradeep, G., 2017. Why does Jio use IPv6 instead of IPv4?. [Online]
Abrufbar auf: https://www.quora.com/Why-does-Jio-use-IPv6-instead-of-IPv4
[Zugegriffen am: 16 03 2019].
Prof. (FH) Mag. Dr. Helmut Siller, M., 2017. Definition "Malware" | Gabler
Wirtschaftslexikon. [Online]
Abrufbar auf: http://wirtschaftslexikon.gabler.de/Definition/malware.html
[Zugegriffen am: 16 03 2019].
Rouse, M., 2013. Was ist Computer-Forensik (IT-Forensik)?. [Online]
Abrufbar auf: http://www.searchsecurity.de/definition/Computer-Forensik-IT-
Forensik
[Zugegriffen am: 13 03 2019].
SIEMENS AG, 2008. Siemens AG. SIMATIC HMI - WinCC V7.0 SP1:
Systemhandbuch. s.l.:s.n.
SPS-Grundlagen I, 2013. Die SPS-Grundlagen. [Online]
Abrufbar auf: https://www.brix.de/elektrik/sps/sps-
grundlagen.html#programmaufbau
[Zugegriffen am: 26 03 2019].
Steinschaden, J., 2012. Digitaler Frühlinng: wer das Netz hat, hat die Macht?.
2012 ed. Bielefeld: Ueberreuter Verlag GmbH.
Tails, 2017. Tails - Warnhineise. [Online]
Abrufbar auf: https://tails.boum.org/doc/about/warning/index.de.html
[Zugegriffen am: 16 03 2019].
Thampi, S., Pérez, G. & Westphall, C., 2017. Security in Computing and
Communications: 5th International Symposium, SSCC 2017, Manipal, India,
September 13–16, 2017, Proceedings. 1. ed. Singapur: Springer.
- 90 -
Traeger, D. & Volk, A., 2013. LAN Praxis lokaler Netze. 2. ed. Sindelfingen:
Springer.
United States General Accounting Office, 2004. CRITICAL
INFRARSTRUCTURE PROTECTION - Challenges and Efforts to Secure
Control Systems. [Online]
Abrufbar auf: https://www.gao.gov/new.items/d04354.pdf
[Zugegriffen am: 28 03 2019].
VIKING Project, 2011. VIKING Project: SCADA System Architectures. [Online]
Abrufbar auf: http://www.vikingproject.eu
[Zugegriffen am: 21 03 2019].
Wellenreuther, G. & Zastrow, D., 2009. Automatisieren mit SPS: Theorie und
Praxis. 4., überarbeitete und erweiterte Auflage ed. Wiesbaden: Vieweg.
Willer & Hoppen, 2007. Computerforensik - Technische Möglichkeiten und
Grenzen. 1. ed. Berlin: CR.
Yu, 2013. Distributed Denial of Service Attack and Defense. 1. ed. Melbourne:
Springer.
- 91 -
11 Abbildungsverzeichnis
Bild 1: Cyberbit ................................................................................................... 3
Bild 2: Laboraufbau der SIMATIC S7-Steuerung ................................................ 8
Bild 3: SIMATIC S7-300 mit analoger Steuerungseinheit ................................... 9
Bild 4: Kuka Roboter ........................................................................................ 11
Bild 5: Man-in-the-Middle-Attacke .................................................................... 16
Bild 6: Laboraufbau einer SCADA-Umgebung ................................................. 28
Bild 7: SPS-Modell ........................................................................................... 33
Bild 8: SPS-Programmiersprachen ................................................................... 34
Bild 9: Räumliche Ausdehnung verschiedener Kommunikationsnetzwerke ..... 39
Bild 10: Feldbusse ............................................................................................ 41
Bild 11: Foto einer Siemens SIMATIC S7-300 Steuerung ................................ 42
Bild 12: WinSPS-S7-Laborumgebung .............................................................. 46
Bild 13: Erzeugung einer Binärdatei ................................................................. 47
Bild 14: BUDdy for S7 ...................................................................................... 47
Bild 15: Kontrollleuchten und Bedienschalter im Laboraufbau ......................... 49
Bild 16: Laboraufbau ........................................................................................ 50
Bild 17: NOT-Ausschalter ................................................................................. 50
Bild 18: Ablassventil ......................................................................................... 51
Bild 19: Schematischer Ablauf des SCADA-Angriffes ...................................... 54
Bild 20: Python-Tool plcscan.py ....................................................................... 56
Bild 21: Optionen des modbusclient-Modus ..................................................... 57
Bild 22: Auslesen der Register einer SPS-Steuerung ..................................... 57
Bild 23: Veränderung von Werten und Zurückschreiben der Werte ................. 57
Bild 24: Import einer Binärdatei ........................................................................ 58
Bild 25: Import der Bausteine ........................................................................... 59
Bild 26: Erfolgreicher Datenimport .................................................................... 59
Bild 27: AWL mit BEB-Operation ...................................................................... 61
Bild 28: Vom Angreifer modifizierte AWL ......................................................... 61
Bild 29: Export der AWL ................................................................................... 62
Bild 30: Erstellung und Speicherung der Datei ................................................. 62
- 92 -
Bild 31: Detailansicht eines aufzeichneten Paketes ......................................... 75
Bild 32: PLC-Scan in Wireshark ....................................................................... 75
Bild 33: Übertragung eines manipulierten SPS-Programmes ........................... 76
Bild 34: Beschreiben der SPS-Register ............................................................ 76
Bild 35: Setup von SecurityOnion ..................................................................... 77
Bild 36: Setup von SecurityOnion Deployment Mode ....................................... 78
Bild 37: Design von Bro .................................................................................... 78
Bild 38: Kibana mit Darstellung der aufgezeichneten Verbindungen ................ 79
Bild 39: Kibana mit Filtereinstellung ................................................................. 80
Bild 40: IDS-E-Mail über einen Incident ............................................................ 81
- 93 -
12 Abkürzungsverzeichnis
APT .......................................................................... Advanced Persistent Threat DDoS ....................................................................... Distributed Denial of Service FTK ............................................................................................. Forensic Toolkit GNU ................................................................................ General Public License HMI .............................................................................. Human Machine Interface IED ........................................................................... Intelligent Electronic Device KRITIS .............................................................................Kritische Infrastrukturen MD5 .............................................................................Message Digest Algorithm MITM .......................................................................... Man-in-the-Middle-Attacke MTU .................................................................................... Master Terminal Unit NIDS ............................................................ Network Intrusion Detection System NIPS .......................................................... Network Intrusion Prevention System PC ......................................................................................... Personal Computer PDC ........................................................................... Phasor Data Concentrators PLC ..................................................................... Programmable Logic Controller PMU .......................................................................... Phasor Measurement Units RTU ................................................................................... Remote Terminal Unit SCADA ................................................ Supervisory Control and Data Acquisition SHA ..................................................................................Secure Hash Algorithm SMTP .................................................................... Simple Mail Transfer Protocol SPS ........................................................... Speicherprogrammierbare Steuerung TCP ...................................................................... Transmission Control Protocol UDP ................................................................................ User Datagram Protocol
- 94 -
13 Anhang
Im Anhang befindet sich eine CD-ROM mit folgendem Inhalt:
Bachelor_PDF
Wireshark Files
Scripte
Bilder
• Das Verzeichnis Bachelor_PDF enthält diese Bachelorarbeit im PDF-Format.
• Das Verzeichnis Wireshark_Dateien enthält die verwendeten .pcap-Dateien.
• Das Verzeichnis Scripte enthält die verwendeten Scripte.
• Im Verzeichnis Bilder befinden sich die verwendeten Bilder.
- 95 -
14 Ehrenwörtliche Erklärung
Ich versichere hiermit ehrenwörtlich, dass ich meine vorliegende Abschlussarbeit
selbstständig verfasst und keine anderen als die angegebenen Quellen und Hilfs-
mittel - insbesondere keine im Quellenverzeichnis nicht benannten Internet-
Quellen - benutzt habe.
Die Arbeit wurde vorher nicht in einem anderen Prüfungsverfahren eingereicht
und die eingereichte schriftliche Fassung entspricht derjenigen auf dem elektro-
nischen Speichermedium.
Wörtlich oder dem Sinn nach aus anderen Werken entnommene Stellen sind un-
ter Angabe der Quellen kenntlich gemacht.
Wismar, den ___________ _____________________
Unterschrift