Verwundbarkeit und Angriffsmöglichkeiten auf SCADA · PDF fileTitle: VWEW-Vortrag_Fulda_17_10_07 Author: SSMB Created Date: 10/22/2007 11:24:54 AM

Copyright © Joachim Schairer • Sicherheits- und Managementberatung • Ringstraße 26 • D-72336 BalingenFolie: 1

Verwundbarkeit und Angriffsmöglichkeiten auf

SCADA-Systeme

VWEW Fachtagung 16. – 17. Oktober 2007Fulda / Hotel Esperanto


Joachim Norbert Schairer

Sicherheits- und Managementberatung

Tel.: +49 (0) 7433 9974806Fax: +49 (0) 7433 9975207

eMail: [email protected]

Verwundbarkeit von SCADA-Systemen


SCADASupervisoring Control And Data Aquisition.

Definition


Einleitung

Sie haben eine hohe Bedeutung für die VerwundbarkeitKritischer Infrastrukturen.


Einsatzgebiete


Einleitung

Einsatz der Systeme in Prozessen der Energieversorgung, Trinkwasserversorgung, der Telekommunikation, der Stahl-, Pharma-, Nahrungsmittel-, Fertigungsindustrie etc., um in Verbindung mit Messwertaufnehmern oder Steuerungen Produktionsabläufe zu überwachen.

SCADA-Systeme zeichnen sich durcheine hohe Konfigurationsfähigkeit aus.



Einleitung

Im menschlichen Umfeld lassen sich drei Gefahrenkategorien definieren

� Naturgefahren

� Gefahren aufgrund technischem oder menschlichem Versagen

� Bewusst herbeigeführte Gefahren mit kriminellem oder terroristischem Hintergrund

Wir konzentrieren uns auf die Gefahren mit kriminellem oder terroristischem Hintergrund !



Bedrohungen

HighPowerMicrowaveHPM

konventionell/physisch

biologisch

radiologischchemisch

atomar

hoch

niedrig

leichtschwer

heute

morgen

Machbarkeit

Wah

rsch

ein

lich

keit

Bedrohungstrends

HighPowerMicrowaveHPM

informations-technisch

informations-technisch



Bedrohungen

Wahrscheinliche Angriffsarten

� Brandanschläge mit/ohne Brandbeschleuniger

� Anschläge mit konventionellen Sprengvorrichtungen

� Anschläge mit HPM (HighPowerMicrowave)

� Angriffe auf die IT-InfrastrukturSCADA-Systeme (Standorte)

informationstechnisch



elektromagnetisch



Bedrohungen

Angriffsart








elektromagnetisch


Bericht des BSI„Lage der IT-Sicherheit in Deutschland 2007“www.bsi.bund.de


Statement

� Bei der Entwicklung vieler SCADA-Komponenten ist der Aspekt der IT-Sicherheit nicht ausreichend berücksichtigt worden.

� … für ältere Prozesssteuerungssysteme wird die Gefahr weiterhin unterschätzt.

� Immer mehr Hersteller, Integratoren und auch Betreiber von Prozesssteuerungssystemen erkennen die Notwendigkeit geeigneter IT-spezifischer Sicherheitsmaßnahmen.


Technischer Aspekt


Verwundbarkeit der IT

Technisch begründet sich die Verwundbarkeit der Systeme damit

� … dass sie in großem Umfang eingesetzt werden

� … meist über Rechnernetze oder zumindest Einwahlzugänge gesteuert sind

� … und über relativ niedrige Sicherheitsvorkehrungen verfügen

Prinzipiell lassen sich zwei verschiedene Kategorien bilden


Technischer Aspekt



1. Kategorie

Systeme, die schon sehr lange eingesetzt werden und über proprietäreSoftware verfügen; mit dem Vorteil, dass Wissen über Lücken in den Systemen nicht weit verbreitet ist und gleichzeitig die Benutzung nicht mit „normalen“ Rechnern zu vergleichen ist.

Nachteil ist, dass in ihnen keine oder nur sehr geringe Sicherheitsmaß-nahmen implementiert sind. D.h. sie können nicht sicher gemacht werden.


Technischer Aspekt



2. Kategorie

Systeme neueren Herstellungsdatums, die sehr viel sicherer gemacht werden, da sie über wesentlich mehr Funktionen verfügen.Allerdings haben sie bekannte Schwächen und werden meist im Auslieferungszustand belassen.D.h. die bekannten Sicherheitsmaßnahmen werden nicht genutzt.


(nach GAO 2003)



System-Struktur

Einsatz von Leittechnik in der Prozessindustrie: Typische Konstellation


Technischer Aspekt



� Ursprünglich waren SCADA-Systeme nach außen abgeschlossene Netzwerke.

� Die Hersteller gingen davon aus, dass sie nur physikalisch geschützt werden müssen.

� War ein solcher Schutz einmal gewährleistet, wurde angenommen,dass nur berechtigte Nutzer auf die einzelnen Komponentenzugreifen könnten.


(nach GAO 2003)



System-Struktur

Einsatz von Leittechnik in der Prozessindustrie: Typische Konstellation

Homogene Systemlandschaft -> Bedrohungen aus der IT-Welt betreffen auch die Systeme der Leittechnik


Technischer Aspekt



� Inzwischen sind SCADA-Systeme mit den Rechnernetzwerken der betreibenden Organisationen eng verbunden.

� Dadurch bauen sie zum einen auf den Kommunikationsinfrastrukturen auf und zum anderen sind sie über die Kommunikationsinfrastrukturen angreifbar.


Typische Bedrohungen



� Unbefugter/ungewollter Zugriff auf die Systeme- über das Intranet und/oder Internet … (VPN, Modem, etc.)- Direkt über die Systemkomponenten aufgrund nicht geregelter oderungenügend sicherer Zugriffskontrolle

� Einschleppen von Schadsoftware wie Viren, Würmer, Trojaner, Spywareoder Backdoors beim System-Update- aus dem Internet (z.B. Abruf privater eMail)- Wechselträgern (USB-Stick …)- Unkontrolliertes Aufspielen eigener Applikationen

� Ungenügende Vorsorge gegen technische Störungen- fehlerhaftes Backup- kein oder ungenügendes Redundanzkonzept …





Gegen eine gefährliche Verwundbarkeit der SCADA-Systeme von außen spricht, das bis heute immer noch Menschen die Kontrollfunktion wahrnehmen.Ein Angreifer müsste also gleichzeitig das System angreifen und die ausgegebenen Kontrolldaten verändern.





Der Trend, dass SCADA-Systeme den Menschen als Kontrollorgan ersetzen bedeutet, dass ein Rechner alle Vorgänge automatisch kontrolliert.

Wird nun dieser Rechner angegriffen und manipuliert, kann er nicht mehr kontrollieren, ob die Ergebnisse der einzelnen Subkomponenten innerhalb der Betriebsspezifikationen der zu kontrollierenden Anlage liegen.




Angriff auf die IT-Struktur der SCADA-Systeme

Dauer des Ereignisses/Dauer der Auswirkungen:

Gefährdete Standorte/Bereiche:

Schadensausmaß:

Überall möglich; SCADA, Knotenpunkte,Schaltwarte, Verteilung …

Minuten/Tage - Monate

z.B Auswirkungen auf die Funktionalität der Verteilung,Steuerung, ProduktionTotalausfall möglich


Bewertung der Situation

� Ein Angreifer von außen, z.B. über das Internet oder das Telefonnetz wäre in der Lage die Kontrolle über bestimmte kritische Funktionen zu erhalten.

� Eine Attacke von außen auf die IT-Infrastruktur setzt auf Seiten des Angreifers sehr großes Wissen und relativ hohe Investitionen in Technik und Ausbildung voraus.


Fazit

� Es stellt sich die Frage, ob für den Personenkreis mit kriminellem oder terroristischem Hintergrund, die Ziele schneller und einfacher mit anderen Mitteln zu erreichen sind.

Deshalb erscheint eine direkte Attacke auf die IT aus diesem Täterkreis als eher unwahrscheinlich !



Bedrohungen

Angriffsart








elektromagnetisch



Art der Gefahr

Brandanschlag mit und ohne Brandbeschleuniger

� Werden aus leicht entzündlichen Stoffen hergestellt

Brandanschlag auf Castor-Polizeibehälter

� Nach der Entzündung entwickelt sich eine große Flamme mit hoher Temperatur

� Die meisten Brandsätze sind aus nicht industrieller Fertigung



Art der Gefahr


Tarnung:

� Ablage als Gegenstand des täglichen Gebrauchsz.B. als Postpaket, in einer Einkaufs-tasche, im Koffer, im Rucksack etc.

Brandanschlag auf Castor-Polizeibehälter

� Ziel:Kleine Explosion mit anschließender schneller Ausbreitungeines Brandes

� Bevorzugter Einsatz bei politisch motivierten Straftaten und manchmal bei persönlichen Konflikten



Art der Gefahr




Schadensausmaß:

Überall möglich; Personal, Gebäude, SCADA, Knotenpunkte


Schaden hängt von der Art und Mengeder eingesetzten Brandbeschleuniger ab



Bedrohungen

Angriffsart








elektromagnetisch



Art der Gefahr

Anschlag mit konventionellerSprengvorrichtung

� Können leicht hergestellt werden

Eine nachgebaute USBV (Unkonventionelle Spreng- und Brandvorrichtung)Quelle: Polizei Schleswig-Holstein

� Plastiksprengstoff SEMTEX aus Tschechien leicht beschaffbar

� Als Zutaten für selbst gebastelte Sprengsätze reichen Reinigungsmittel, Kunstdünger oder Chemikalien wie Ammoniak und Formaldehyd

� Vermischbar zu hochbrisanten Sprengstoffen wie Hexogen und TATP



Art der Gefahr

Anschlag mit konventioneller Sprengvorrichtung

Tarnung:

� Ablage als Gegenstand des täglichen Gebrauchsz.B. als Postpaket, in einer Einkaufs-tasche, im Koffer, im Rucksack etc.

� Ziel:Explosion mit großem Schadensausmaß mit dem Sekundärziel erheblicher Personenschäden

� Bevorzugter Einsatz bei politisch motivierten Straftaten und manchmal bei persönlichen Konflikten



Art der Gefahr

Anschlag mit konventionellerSprengvorrichtung



Schadensausmaß:

Überall möglich; Personal, Gebäude, SCADA, Knotenpunkte


Schaden hängt von der Art des Sprengstoffs und der Menge abSekundärschäden wie Bauwerksversagen möglich

Das cheddargelbe Semtex H wird heute nicht mehr produziert



Art der Gefahr

Anschlag mit konventioneller Sprengvorrichtung

Ein erhöhtes Gefahrenpotenzial ergibt sich auch aus der Möglichkeit, dass Nachahmer oder so genannte „Trittbrettfahrer“ einen Anschlag „kopieren“.

Der einfache Zugang zu den entsprechenden Zutaten für Brand- und Sprengsätze lässt dies als wahrscheinlich erschienen



Bedrohungen

Angriffsart








elektromagnetisch


Die pulsförmigen Felder können z. B. von speziellen Antennen, sogenannten IRAs (Impulsradiated Antennas) abgestrahlt werden.

Direkt vor den Antennen existieren extrem hohe Feldstärken, wobei die maximale elektrische Feldstärke durch die Durchschlagsfeld-stärke in Luft begrenzt wird.

Was sind HPM-Quellen (HighPowerMicrowave)?


Bedrohung durch HPM

Es handelt sich hierbei um leistungsstarke elektromagnetische Strahlung emittierende Quellen, die über eine relativ kurze Reichweite verfügen und ein definiert begrenztes Gebiet beaufschlagen können.


Der ElektroMagnetische Puls


Bedrohung durch HPM

Definition: Sprunghafte Änderung einer elektromagnetischen Größe

� Elektrische Feldstärke

� Magnetische Feldstärke

� Strom

� Spannung


HPM-Generatoren


Bedrohung durch HPM

� EMP-Generatoren erzeugen elektromagnetische Impulse

� Diese Impulse werden als elektromagnetische Stosswellen abgestrahlt

� Anstiegszeit ca.< 5ns: herkömmlicher EMP< 1ns: UWB

� Moderne Mikroelektronik ist bei abgestrahlten UWB-Frequenzen(100 MHz – 1 GHz) besonders empfindlich

� Pulse dieser Wellenlänge können besonders gut durch Öffnungen in Gehäuse/Gebäude eindringen

Flux-Compression-HPM-Generator

Quelle: emscreen


� Neutralisation von Überwachungssystemen(Kameras, Sensoren, Alarmanlagen, Bewegungsmelder etc.)

Anwendungsfelder


Bedrohung durch HPM

� Neutralisation von Fahrzeugelektroniken (Car-Stopper)

� Neutralisation von Steuerungssystemen z.B. SCADA in Industrieanlagen

� Neutralisation von Kommunikationseinrichtungen und Kommunikationswegen wie TK-Anlagen, Mobilfunk etc.

� Neutralisation von Leitzentralen und kompletten Rechenzentren


Szenario

Bestrahlung eines Serverraums mit HPM-Quelle

HPMWaffe

Server


Bedrohung durch HPM

Quelle: emscreen


� leicht zu tarnen

Systemvorteile aus Tätersicht


Bedrohung durch HPM

� unauffällig

� transportabel

� inzwischen relativ preiswert zu kaufen

� hinterlassen kaum Spuren


Professionelle HPM-Quelle


Bedrohung durch HPM

� Tragbares System

� Autonom

� Omnidirektional

� Effektiver Bereich > 3000 m²

� Stören und Zerstören von Elektronik

DS 110


HPM im Selbstbau

„HPM-Waffen in einfachster Form können relativ einfach und ohne aufwändige Kosten von zivilen Personen mit entsprechenden Kenntnissen aus handelsüblichen Komponenten gefertigt und im Prinzip zu Sabotage- oder Erpressungszwecken eingesetzt werden.“


Bedrohung durch HPM

Ausgedienter Microwellenherd mit Magnetron

Schutzkommission beim Bundesminister des Innern

� Bauanleitung für HPM-Waffen kursieren im Internet

� Impulsleistungstechnik: Fach an vielen Hochschulen

� Komponenten frei im Handel erhältlich


Für die Zerstörung von ein- oder ausgeschalteter Elektronik sind nahezu gleiche Feldstärken nötig


Bedrohung durch HPM

Wirkung auf die Elektronik

Vergleich von ein-/ausgeschalteter Elektronik bei Bestrahlung (single/shot) bis Zerstörung



Bedrohung durch HPM

Angriff mit HPM und die Auswirkungen

� Die Ursache für den Ausfall ist nur sehr schwer feststellbar

� Die Schäden sind äußerlich nicht sichtbar.Nur hoch ausgebildete Spezialisten mit entsprechenden Hilfsmitteln sind in der Lage einen Angriff mit HPM nachzuweisen

� Durch die gepulste Energie der Mikrowellen werden die feinen Strukturen in den Mikrochips der elektronischen Komponenten der SCADA-Systeme zerstört

Der totale Zusammenbruch der Kommunikation und der Prozesssteuerung wären die Folge



Bedrohung durch HPM

Angriff mit HPM



Schadensausmaß:

Überall möglich; SCADA, Knotenpunkte,Schaltwarte, Verteilung, Kommunikation …


z.B Auswirkungen auf die Funktionalität der Verteilung,Steuerung, ProduktionTotalausfall möglich



Bedrohung durch HPM

Wahrheit oder Märchen?

Im Kosovo-Konflikt war es wahrscheinlich der Einsatz elektromagnetischer Bomben, der den Krieg beendete. Bei Luftangriffen auf die Kraftwerke von Pristina und Belgrad gab es nur kurze, sehr schnelle orangefarbene Lichtblitze –und zerstört war das elektrische Innenleben der Stationen. Die serbische Kommandozentrale war fortan ohne Strom und damit blind *.

* Die WELT (Jan. 2003)



Bedrohung durch HPM

Realität

In Deutschland werden HPM-Systeme bereits von Kriminellen angewandt, getestet und ständig verbessert 1.

Nachbarn attakieren sich mit manipulierten Herden. Die Strahlung dringt durch Wände und führt zu schweren Gesundheitsschäden 2.

1. Munzert R. (2003c) Microwellen-Angriffe: Das perfekte Verbrechen - …

2. Welt am Sonntag (Jan. 2002)



Film ab !


Bewertung der Situation

� Auf dem Markt verfügbare Geräte und Anlagen verfügen über keinen Schutz gegen HPM

� Zwar muss nach den derzeit gültigen Gesetzen für jedes Gerät/Anlage die Einhaltung der EMV-Vorschriften bezüglich Störaussendungen und Störfestigkeit nachgewiesen werden.


Fazit

Das bedeutet jedoch nicht, dass aus diesen Geräten aufgebauteSysteme und Anlagen automatisch über die erforderlicheEMV-Festigkeit auf Systemebene verfügen.


Schlussbemerkung

Da sich die Steuerung und Regelung der gesamten Energieversorgung von der Energieerzeugung bis zur Energieverteilung ganz massiv auf die Kommunikations- und IT-Technik abstützt, ist die Energieversorgung erheblich durch HPM gefährdet.



Schlussbemerkung

Der Schutz der kritischen Infrastruktur Energieversorgung wird in Zukunft weiter an Bedeutung gewinnen. Es ist nicht geklärt, ob sich die Schwächen zu großflächigen Angriffen eignen.

Dies wird auch schwer herauszufinden sein.



Danke für Ihre Aufmerksamkeit !

Joachim Schairer


Documents

Verwundbarkeit und Angriffsmöglichkeiten auf SCADA · PDF fileTitle: VWEW-Vortrag_Fulda_17_10_07 Author: SSMB Created Date: 10/22/2007 11:24:54 AM