A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Da inzwischen auch industrielle Steuerungssysteme durch Viren und Schadsoftware bedroht werden, sind entsprechende Schutzmaßnahmen gefragt

Virenerkennung für S7-Steuerungen

01 „mbEAGLE“ erkennt Viren und Malware wie Stuxnet auf S7- Steuerungen unmittelbar und informiert die Betreiber, bevor ein Schaden entsteht

02 Bei Änderungen am SPS-Programm oder am Betriebszustand der SPS wird der Betreiber je nach Konfiguration per LED, SMS, E-Mail oder Alarmleuchte am Relais- Ausgang informiert

03 Per Schlüsselschalter oder Weboberfläche können die gesicherten SPS-Bausteine auf die Steuerung zurückübertragen werden

Die Steuerungssysteme von Produktionsanlagen und Versorgungstechnik werden zunehmend von Viren und anderen digitalen Schädlingen bedroht. Als Ursache gelten die steigende Vernetzung sowie die Nutzung von Internetverbindungen. Das Risiko der Verbreitung über USB-Sticks wird trotz Stuxnet immer noch unterschätzt. Mit „mbEAGLE“ ist nun eine Lösung verfügbar, welche Manipulationen durch Viren und Malware auf SPS-Ebene erkennt.

Der Betrieb von Servern und Arbeitsplatzrechnern ist ohne eine weitreichende Sicherheitsstrategie undenkbar. Die Betriebssysteme der Computer werden regelmäßig mit Sicherheitspatches aktualisiert. Viren- und Malwarescanner überwachen die einzelnen Systeme und die Datenkommunikation. Entsprechende Sicherheitsmaßnahmen lassen sich in der allgemeinen IT-Umgebung in Büros, Verwaltung und Rechenzentren auch gut umsetzen. Der Schutz von industriellen Anlagen ist dagegen ungleich schwieriger. Das liegt teilweise auch am Bewusstsein der Verantwortlichen. Leitsysteme und Steuerungsrechner werden noch als autarke Inseln betrachtet – ganz individuell auf die jeweilige Produktionsumgebung angepasst und damit kaum angreifbar.

Stuxnet als Weckruf
Spätestens mit dem Bekanntwerden des Schadprogramms Stuxnet Mitte 2010 fand jedoch ein Umdenken statt. Stuxnet war die erste Schadsoftware, die speziell für die Manipulation von Automatisierungssystemen und den damit gesteuerten Prozessen entwickelt wurde. Konkret waren das Prozessleitsystem PCS7 und das Scada-System WinCC betroffen. Das Ziel des Wurms waren nicht die Windows- Systeme an sich, sondern die Prozessdaten in S7-300- und S7-400-Steuerungen. Experten zufolge soll der Schädling mit der Störung einer Atomanlage im Iran ein konkretes Ziel gehabt haben. Allerdings zeigen Stuxnet sowie der zwischenzeitlich aufgetauchte Nachfolger Duqu deutlich, dass sich die Automatisierungswelt auf diese Art von Bedrohungen einstellen muss.

Standard-Technologie bietet Angriffsflächen
Die Angriffe von Stuxnet waren möglich, weil die ursprünglich vorhandene Abkapselung der Industriesysteme nach und nach aufgeweicht wurde. Standard-Komponenten wie Windows, Ethernet und Datenbanken haben proprietäre Technik ersetzt. Die Maschinen sind nun über das Produktionsnetzwerk mit dem Firmennetzwerk und oft auch mit dem Internet verbunden. Häufig steuert eine übergeordnete MES-Software die Produktionsanlagen nahezu in Echtzeit und ist auf die unmittelbare Rückmeldung der Daten aus den Maschinensteuerungen angewiesen. Das Internet kommt spätestens dann ins Spiel, wenn eine Fernwartung durch externes Servicepersonal möglich sein soll oder unterschiedliche Standorte beteiligt sind. Als Ergebnis sind industrielle Anlagen heute ähnlich gefährdet wie jede IT-Infrastruktur. Allerdings sind die Grundanforderungen, welche die IT-Technik und die Produktion stellen, konträr. Das Ziel der IT ist die maximale Sicherheit der Kommunikation und der Daten. In der Produktion dagegen ist die Verfügbarkeit das zentrale Thema, dem sich alle anderen Aspekte unterordnen müssen.

Dem Zugriff Tür und Tor geöffnet
Die Schnittstellen von speicherprogrammierbaren Steuerungen wie der Simatic S7-300 und S7-400 von Siemens sind nicht mit Schutzmechanismen ausgestattet. Jeder Teilnehmer, der direkt oder über ein Netzwerk Zugang zur Steuerung hat, kann auf deren System- und Arbeitsspeicher einschließlich aller Programm- und Prozessdaten lesend und schreibend zugreifen. Eine Zugriffskontrolle ist ebenso wenig vorhanden, wie eine Klassifizierung oder Identifizierung der Teilnehmer. Die SPS erkennt in der Kommunikation keinen Unterschied, ob jetzt ein Servicetechniker eine Programmänderung macht, das Bedienpersonal einen neuen Sollwert vorgibt oder ob eine Schadsoftware wahllos Ausgänge setzt. Alle haben den vollen Zugriff auf das SPS-Programm, die aktuellen Prozesswerte und die hinterlegten Verfahrens- oder Rezepturdaten. Das Protokoll zum Datenaustausch zwischen den Steuerungen und externen Systemen wurde vom Hersteller selbst nicht offengelegt. Es ist aber praktisch seit Jahren bekannt und auch in Form von Treiberbibliotheken in verschiedenen Varianten verfügbar. Wer das Protokoll kennt und direkt oder über ein Netzwerk Zugang zur Steuerung hat, kann das SPS-Programm sowie die Prozessdaten beliebig auslesen und ändern, ohne dass die Parameteränderungen erkennbar sind. Je nach Art der Schadsoftware können Rezeptur- oder Produktionsdaten ausgespäht oder die Anlage durch Manipulation zerstört werden – beispielsweise durch Übertemperatur oder mechanische Überlastung. Wenn im Wirkungsbereich der manipulierten Maschinen Menschen arbeiten, sind diese ebenso gefährdet. Ursprünglich war diese Offenheit auch gar kein Problem. Es kamen nur die Personen an die Steuerung, die dazu berechtigt waren. An eine durchgängige Vernetzung und den Datenaustausch per USB-Stick dachte damals noch niemand.

SPS-Daten sichern und vergleichen
Mit dem aktuellen Stand der Technik lassen sich S7-Steuerungen nicht zu 100 % sicher gegen das Eindringen von Viren und Malware schützen. Letztlich ist entscheidend, dass sie wenigstens sicher erkannt werden. Allerdings funktionieren hier klassische Methoden von Virenscannern mit Mustererkennung nicht. Dementsprechend arbeitet die Sicherungshardware von MB Connect Line nach dem Prinzip der Positivliste. Im ersten Schritt erstellt „mbEAGLE“ (Bild 1) ein sogenanntes Referenz-Back-Up. Dazu liest das Gerät den kompletten Programmspeicher (OB, FC, FB, DB, SFC, SFB, SDB), die Bestellnummer sowie die Seriennummer aus der SPS aus und legt diese Informationen dauerhaft im Speicher ab. Sie dienen für spätere Vergleiche als Referenz. Anhand dieser Referenzdaten überwacht „mbEAGLE“ den statischen Speicherbereich von S7-300- und S7-400- Steuerungen kontinuierlich. Dazu liest er die Programmbausteine in einem von Anwender festgelegten Intervall und vergleicht sie mit dem Referenz-Back-Up. Bei einer Änderung der Programmdaten wird der Verantwortliche je nach Einstellung per E-Mail oder SMS alarmiert oder es wird ein Ausgang gesetzt, der eine Warnleuchte oder Sirene aktiviert (Bild 2). So lassen sich Manipulationen durch Malware und Viren ebenso erkennen wie Änderungen am Steuerungsprogramm, die „mal kurz“ in der Nachtschicht gemacht werden.

Nach der Alarmierung muss der Anwender entscheiden, ob er die Änderungen als neue Referenzdaten übernehmen oder verwerfen möchte. In diesem Fall kann er die betreffenden Bausteine oder das gesamte SPS-Programm aus den gespeicherten Referenzdaten in die Steuerung zurückkopieren. Über die Konfigurationsoberfläche des Geräts sind alle Aktionen per Browser steuerbar. Einzelne Aktionen lassen sich auch über die digitalen Eingänge auslösen, beispielsweise per Schlüsselschalter (Bild 3). Über die integrierte Weboberfläche hat der Anwender jederzeit die Möglichkeit, sich den Baugruppennamen, den Zeitstempel des Referenz- Back-Ups und die Seriennummer der Steuerung anzeigen zu lassen. Weitere Funktionen sind die kontinuierliche Prüfung des SPS-Status Run/Stop und die Sicherung der Aktualdaten. Damit wird sichergestellt, dass die Prozessdaten erhalten bleiben, falls die SPS-Hardware aufgrund eines Defekts einmal auszutauschen ist. Der Anwender kann festlegen, in welchem Intervall die zyklische Sicherung erfolgt und welche Bausteine gespeichert werden sollen. Anhand einer blinkenden LED erkannt der Anwender, dass der zyklische Betrieb läuft. Während einer Datensicherung oder Datenüberprüfung leuchtet die LED dauerhaft. Bleibt die LED länger als eine Sekunde dunkel, ist die Kommunikation zur SPS unterbrochen.

Entscheidend ist das Gesamtkonzept
Es lässt sich nicht verhindern, dass Mitarbeiter versehentlich Downloads von kompromittierten Internetseiten machen und die Schadsoftware per USB-Stick verteilen. Geht das Servicepersonal mit den entsprechend manipulierten Programmiergeräten an die Anlage, nimmt das Problem seinen Lauf. Im Vergleich dazu bietet die Fernwartung über Internet mit industriellen VPN-Routern in Verbindung mit einer Portallösung ein hohes Sicherheitsniveau. Da solche Lösungen aus Sicht der Anlage nur mit ausgehenden Verbindungen arbeiten, ist die Angriffsfläche wesentlich reduziert. Falls trotz aller Sicherheitsmaßnahmen ein digitaler Eindringling auf der Steuerung ankommt, wird er von „mbEAGLE“ gemeldet, bevor er Schaden anrichten kann. Tritt bei der Fernwartung ein unerwartetes Problem auf und die Verbindung bricht während einer Änderung des SPS-Programms ab, kann das Geräte als „Fallschirm“ dienen. Der Anwender kopiert das Referenz-Back-Up zurück auf die SPS und hat den ursprünglichen Zustand wiederhergestellt. Industrielle Sicherheit umfasst neben dem sicheren Betrieb von Maschinen und Anlagen im Sinne von gefährdungs- und unfallfrei auch den Schutz von Know-how sowie die Sicherstellung der Systemintegrität. Das beginnt mit einer Segmentierung der Netzwerke in einzelne Automatisierungszellen und setzt sich darin fort, die Datenzugriffe nur einem begrenzten Teilnehmerkreis zu ermöglichen. (no)

Der Beitrag als pdf

Autor:
Werner Belle ist Geschäftsführer der MB Connect Line GmbH in Ilsfeld. belle@mbconnectline.de