Am 8. April 2009 meldete die Nachrichten Agentur Thomson Reuters, dass professionelle »Cyberspione« in das Stromnetz der USA eingedrungen seien und Softwareprogramme hinterlassen hätten, die in der Lage gewesen wären, die Stromversorgung zu unterbrechen. Der Angriff blieb ohne Folgen, da es sich nach Ansicht der Behörden nur um einen »Erkundungsangriff« gehandelt hatte. Es war allerdings nicht der erste Angriff dieser Art.

Von Karl Adolf Neubecker und Walter Schmitz, München

Derartige Vorgänge weisen auf ein rapide angewachsenes neues Gefährdungspotenzial und dessen gravierenden Auswirkungen hin. Flächendeckende Stromausfälle beeinträchtigen fast alle kritischen Infrastrukturen: die Informations- und Kommunikationstechnologien (IKT), das Transport- und Verkehrswesen, Industrie- und Produktionsbetriebe, Handel und Gewerbe, das Gesundheitswesen einschließlich des Notfall- und Rettungswesens, die Wasserversorgung, Nahrungsmittelversorgung, die Entsorgung von Abwasser, Schadstoffen und Müll, die Behörden und die öffentliche Verwaltung, das Banken- und Finanzwesen einschließlich der Bargeldversorgung, Forschungseinrichtungen, Medien und nicht zuletzt die Energieversorgung selbst. Fazit: Alle Bereiche des öffentlichen und privaten Lebens wären einschneidend betroffen, vom Flugverkehr bis zur Toilettenspülung.*
In der öffentlichen Wahrnehmung ist das Ausfallrisiko der Elektrizitätsversorgung in der Regel eng mit Störungen in den Kraftwerken und Unterbrechungen in den Stromnetzen verknüpft. Weniger bekannt ist die Tatsache, dass auch von den Kontrollzentren erhebliche Risiken ausgehen, die zum Ausfall der Stromversorgung führen können. Die Zahl der Cyberangriffe auf diese Kontrollzentren hat in den letzten Jahren deutlich zugenommen, unter anderem weil betriebsinterne, veraltete IT Lösungen durch sogenannte COTS- Produkte (Commercial-off-the-shelf = Elektronik-Serienprodukte) und Standard-IT-Verfahren erweitert und verbessert wurden. Viele Kontrollstationen verfügen zudem nur über bescheidene physische Sicherheitsvorkehrungen und sind damit potenziell gegenüber direkten konventionellen terroristischen Angriffen verwundbar.
Energie-Infrastrukturen werden von den vernetzten Kontrollzentren aus über sogenannte »Industrial Control Systems« (ICSs) und weitere unterstützende »Information & Communication Technology« (ICT) Systeme gesteuert und überwacht. Anders als früher werden all diese Systeme auch mit IT-Systemen zur Unterstützung von Geschäftsprozessen und Management verbunden. Auf kostengünstigen Internet Protokollen (IP) basierende Systeme ersetzen dabei zunehmend betriebseigene Lösungen. Dies führt zu hohen Sicherheitsrisiken, denn es öffnet die Energieinfrastruktur-Netze für die typischen externen Bedrohungen.
.

Logische Netz Konfiguration (Grafik OKTAVIO)

Ein Beispiel für ein derartiges, modernes, verteiltes industrielles ICS, das ein elektrisches Netzwerk kontrolliert, zeigt die Grafik. Sie illustriert die Trennung zwischen der Kontrolle (SCADA LAN, SCADA = Supervisory Control and Data Acquisition) und den administrativen Netzen durch die »Demilitarized Zone (DMZ)«. Auf diese Weise können sichere Daten für Planung und Geschäftsoperationen vom Kontrollnetz in das administrative Netz gelangen. Das SCADA LAN (Local Area Network) enthält unter anderem den SCADA-Server und die Master Terminal Units (MTU), die Information von den entfernten, unbemannten Terminaleinheiten (RTUs) übermitteln und programmierbare »logic controllers«(PLCs), die in Substations oder anderen Messstationen untergebracht sind. Die Kommunikation zwischen den RTU, PLC und MTU erfolgt - abhängig von der Größe der Anlage - über Wide Area Networks (SCADA MANs/WANs). Das Kontrollzentrum nutzt diese Verbindungen bei der Abfrage der Messstationen nach Daten oder registriert Unterbrechungen, die über das Alarmierungssystem angezeigt werden. Derartige zentralisierte Systeme befähigen den Operator, weiträumig verteilte Systeme zu beobachten und zu kontrollieren sowie Fernwartung oder Reparaturoperation durchzuführen. Die Kommunikation mit anderen Kontrollzentren oder Geschäftspartnern erfolgt über öffentliche oder private WAN.
SCADA Systeme sind heute herausfordernde, aber lohnende Ziele für die organisierte Kriminalität oder terroristische Gruppen. Wenn ein Angreifer Zugang zum Überwachungs- und Steuerungsnetzwerk bekommen hat, kann er die Kommunikation zwischen den SCADA-Arbeitsplätzen und den diversen Messstationen überwachen und die Systemprozesse manipulieren. Alternativ kann der Angriff auch gegen die unbemannten externen Messstationen des SCADA-Systems in der Energieversorgung gerichtet sein. Häufig ist der physische Schutz dieser Messstationen gering, nicht zuletzt wegen der Kosten aufgrund der großen Zahl von Messstationen und weil man lange davon ausging, dass die Bedeutung einer einzelnen Station im Falle eines Angriffs gering ist. Diese Meinung erwies sich jedoch wie die Auswirkungen eines zielgerichteten, erfolgreichen Angriffs gegen eine entfernte, unbemannte Messstation zeigten, als irrig.

Bedrohungen
Derzeit sind die am häufigsten vorkommenden Angriffe die schon seit langem bekannten »Denial of service« (DoS), »Malware Installation«, und »Identity Interception« (Abfangen der persönlichen Indentifizierung). Seit einigen Jahren entwickelt sich mit der »Bot-Installation« ein weiterer Typ von gefährlichen Angriffen. Hierbei handelt es sich um eine Ansammlung schädlicher »SoftwareRoboter«, die sich selbstständig und automatisch in IT-Netzen verbreiten. Sie werden von einem sogenannten Bot-Operator gestartet, damit sie in fremde Systeme eindringen - zum Beispiel auch in das SCADA-Netz - und dort die Kontrolle für koordinierte und verteilte Angriffe übernehmen oder diese ferngesteuerten Computer als illegale Speicher- und Verarbeitungsgeräte nutzen. Terroristen und organisierte Kriminalität verfügen über die entsprechenden Möglichkeiten, Botnets zu organisieren.
Angriffe gegen SCADA-Systeme können vor allem über die offenen oder offeneren administrativen Systeme eines Kontrollzentrums durchgeführt werden. Audits und Analysen nach großen Störfällen, wie im August 2003 in den USA, haben gezeigt, dass Kontrollsysteme häufig mit den administrativen Systemen verbunden waren. Die administrativen Netzwerke waren nur insoweit gesichert, als sie die allgemeinen Geschäftsprozesse unterstützen, nicht aber die sogenannten »sicherheitskritischen« Systeme. Kann ein Bot-Operator über eine solche Verbindung auf das Kontrollsystem zugreifen, dann kann er die Kommunikation zwischen der SCADA-Workstation und den zu kontrollierenden Anlagen ausspähen und die Steuerungsprozesse in seinem Sinne manipulieren.
Neben derartigen Werkzeugen für »illegale« Angriffe gibt es auch elementare »technische« Möglichkeiten, die für kriminelle Zwecke genutzt werden können, wenn sie unsachgemäß gehandhabt werden, wie zum Beispiel technische Spezifikationen für Systemkomponenten und Geräte, Wartungshandbücher, Handbücher zur Störbehebung und zum Konfigurationsmanagement und vieles andere mehr. Die Kenntnis dieser Mittel ist Grundlage für vielfältige Angriffe.

Verwundbarkeit
Obwohl die verschiedenen Bereiche eines umfassenden Steuerungs- und Überwachungssystems sowie die verschiedenen Netzwerke, die diese Bereiche miteinander verbinden, unterschiedliche IT-Protokolle und Standards nutzen, gleichen sich die verschiedenen IT-Systeme hinsichtlich ihrer Verwundbarkeit. Neben COTS Soft- und Hardware sind die Kommunikationsprotokolle ebenfalls standardisiert und Schutzvorkehrungen, wie »Firewalls« und »Intrusion Detection Systeme« (IDS), sind häufig ebenfalls COTS-Produkte oder »open source«. Das heißt, das Wissen, wie Stärken und Schwächen solcher Systeme ausgenutzt werden können, ist im Grunde bereits vorhanden, auch unabhängig von kriminellem Know-how, das in der Lage ist, Schwachpunkte von Sicherheitsstrukturen zu erkennen und auszunutzen.
Die Technik physischer Angriffe hat sich trotz der Veränderungen bei Prozessen, Transport- und Administrationsnetzen, Leitungen, Strukturen und Ausrüstungen im Prinzip nur wenig verändert. Auch deren Auswirkungen sind aber infolge der komplexeren Struktur der Kontrollzentren gravierender geworden. Die Möglichkeiten von gekoppelten Angriffen, die elektronische Angriffe mit physischer Gewalt verbinden, erhöhen zusätzlich die Bedrohung und die daraus resultierende Systemverwundbarkeit und stellen weitere Anforderungen an ein integriertes Sicherheitskonzept.

Sicherheitsanforderungen
Es ist eine Binsenwahrheit, Kontrollzentren sind umso verwundbarer, je leichter ein Angreifer über Schwachstellen in das System eindringen kann. Einige Schwachstellen und die möglichen Reaktionen:

• unzureichende Bestimmungen für Authentizierung und Zugriffskontrolle: Da einige Kontrollprotokolle keine Authentifizierungsmechanismen nutzen, muss eine Zugangsregelung (»User Access Control Policy«) eingeführt werden, die einen unbefugten Fernzugriff (»Remote Access«) zum Kontrollsystem verhindert, indem sie festlegt, wer, wann, welches Password nutzt und wie die Passwörter zu verwalten sind.
• fehlende oder zu einfache Verschlüsselung: Bei der Anwendung von Verschlüsselungsmethoden muss beachtet werden, dass Kontrollsysteme auf bestimmte Plattformen zugeschnitten sind, deren Leistungsvermögen nicht ausreicht, um Verschlüsselungsoperationen durchführen zu können. Das kann kompensiert werden, wenn die Sicherheitsfunktionalität in eine eigene Sicherheitseinheit außerhalb des Kontrollsystems verlegt wird.
• nicht vorschriftsgemäße Konfiguration der Sicherheitseinrichtungen: Die Verkoppelung von Kontroll- und Unternehmensnetz ist eine große Schwachstelle. Für moderne Sicherheitsarchitekturen ist deshalb eine physische oder zumindest strikte, logische Trennung zwischen den Steuerungs- und Überwachungssystemen sowie zwischen den firmen-internen administrativen Netzen und externen Verbindungen zu fordern. Da in vielen Fällen Kontroll- und Unternehmensnetz physisch nicht getrennt sind, sollten Demilitarisierte Zonen (DMZ) eingerichtet werden. Eine DMZ trennt beide Netze durch Firewalls. Allerdings müssen die Firewalls sauber konfiguriert sein, um nur berechtigten Servern und Diensten von ganz bestimmten Knoten aus Zugriff zu gewähren.
• überholte Programme gegen Malware: Antivirenprogramme in Kontrollsystemen sind nicht immer auf dem neuesten Stand und machen so das System für neue Bedrohungen anfällig. Ein bewährtes Mittel ist, an jedem Host einen Scanner im Hintergrund laufen zu lassen. Ist dies nicht möglich, sollte zumindest eine strikte Kontrolle der Übertragungswege, auf denen Schadprogramme in das System gelangen können, gewährleistet werden. Alle Datenträger wie zum Beispiel CDs, Memory Sticks oder Notebooks sollten an einer festgelegten Überprüfungsstelle, die nicht Teil des Kontrollsystems ist, auf Viren überprüft werden, bevor sie für die Nutzung im Kontrollsystem freigegeben werden.

Es würde den Rahmen dieses Artikels sprengen, auch nur ansatzweise auf alle Sicherheitsaspekte von Kontrollzentren eingehen zu wollen. Entscheidend ist aber, dass alle Maßnahmen in den Rahmen eines integrierten Sicherheitskonzeptes eingeordnet werden. Angriffe gegen Kontrollsysteme haben gezeigt, dass die einzelnen Schutzmechanismen allein noch keinen hinreichenden Schutz gegen fachkundige Angreifer bieten. Ein Grund ist oft die unzureichende Einteilung der Schutzmechanismen in Sicherheitsebenen und -zonen. Typischerweise umfassen Überwachungs- und Steuerungssysteme sowohl WAN- als auch LAN-Kommunikation zwischen den verschiedenen Sicherheitszonen (administratives Netz und Kontrollnetz) und funktionalen Ebenen (»Layern«). Es ist wichtig, dass eine derartige Struktur nicht zu viele Interdependenzen zwischen den funktionalen Ebenen schafft. In der Regel ist ein Kontrollzentrum Ergebnis eines stetigen Weiterentwicklungsprozesses oder einer Integration von zwei oder mehreren etablierten, historisch gewachsenen Systemen. Die laufende Gewährleistung der Sicherheit von Kontrollsystemen der Energieversorgung beruht deshalb grundsätzlich auf:

• der laufenden Überprüfung des übergreifenden Sicherheitskonzepts
• vorausschauender Entwicklung und Integration von Schutzmaßnahmen
• dem Aufspüren von Intrusionsversuchen und der Implementierung von Antwort-Strategien
• laufender Ausbildung und Training der Mitarbeiter im Hinblick auf Erkennen und Einschätzen möglicher Bedrohungen und einem angemessenen Reaktionsverhalten.

Fazit
Energiekontrollzentren haben sich von einem Hilfsinstrument zur Überwachung von Stromerzeugung und Verteilung zu einer zentralen Einrichtung der Energieversorgung für die Gesellschaft entwickelt. Ihre Sicherheit gegenüber kriminellen und terroristischen Angriffen trägt ganz wesentlich zur Sicherheit der Stromversorgung von Bürgern und Wirtschaft bei. Zur Erreichung dieses Ziels ist auch die Intensivierung eines umfassenden, interdisziplinären und institutionalisierten Erfahrungsaustauschs und der internationalen Zusammenarbeit über aktuelle und neue Bedrohungen sowie der Austausch neuer Schlüsseltechnologien zur Stärkung der Sicherheit von Kontrollzentren (und natürlich darüber hinaus) auf nationaler und europäischer erforderlich.


* Basis dieses Beitrags ist eine von den Autoren zusammen mit anderen europäischen Partnern erstellte Studie »OCTAVIO - Energy System Control Centers Security, an EU Approach« im Auftrag der EU-Kommission, die im April 2009 abgeschlossen wurde. Eine Kurzfassung der Studie mit ausführlicheren Hinweisen auf die Problemlösungen können WIK-Leser hier downloaden.

--------------------------------------

Über unsere Autoren:
Dipl.-Phys. Karl Adolf Neubecker ist Mitarbeiter des 2007 gegründeten CESS - Centre for European Security Strategies, München, und hier unter anderem mit der Erarbeitung von Szenarien, der Analyse von kritischen Infrastrukturen sowie der Entwicklung und Durchführung von Planübungen im Krisenmanagement befasst.
Dipl.-Math. Walter Schmitz, ebenfalls Mitarbeiter bei CESS, befasst sich mit Operations Research sowie der Entwicklung von Planungs- und Simulationsmodellen zur Untersuchung von komplexen Sicherheitsfragen und kritischer Infrastrukturen.
Kontakt: neubecker@cess-net.eu