Die folgende Abbildung zeigt ein typische Kundeninstallation mit Servern, Büro-IT-Einrichtungen und einem GA-System jeweils mit den potentiellen Bedrohungen auf IT-Seite.
Der Standort hat eine demilitarisierte Zone (DMZ) mit Servern, auf welche vom Internet und Intranet für E-Mail-Austausch und andere Zwecke zugegriffen werden kann, einen Webserver für die Firmenpräsenz im Internet sowie einen Server für den Internetzugang der Angestellten. Für ein effizientes Management des GA-Systems steht ein Fernzugriff zur Verfügung. Dieser kann zum Zugriff auf eine Managementstation oder einen Webserver genutzt werden, jedoch auch für den Fernzugriff mittels Engineering-Tool auf Automationsstationen. Der zuletzt genannte Fall erfordert zusätzliche Sicherheitsvorkehrungen, da ein erfolgreicher Angriff und der daraus resultierende Zugriff auf die Engineering-Funktionen gravierende Folgen haben kann.
Zusätzlich wird ein zweiter Standort gezeigt (z.B. GA-Projektbüro). Dieser ist mit dem Internet über DSL verbunden und hat Engineering-PCs und vielleicht sogar eine Managementstation. Ein WLAN ist verfügbar.
Angriffspunkte
1. Malware auf dem Computer
Computer, die als Tool-PC oder Client für den Fernzugriff auf die Managementstation oder Webserver verwendet werden, können mit Viren und ähnlicher Malware angegriffen werden. Die Malware wird über E-Mail-Anhänge, Zugriff auf eine infizierte Webseite, durch von einem Benutzer installierte Software oder externe Speichermedien wie Flash-Drives oder CDs verteilt. Diese Art von Infektion ist in beide Richtungen möglich, d.h. vom Endkunden-PC zum PC des GA-Ingenieurs und umgekehrt.
Siehe http://en.wikipedia.org/wiki/Malware.
2. Computerdiebstahl
Verschafft sich ein Dieb Zugang zum Engineering-Tool und findet z.B. eine Datei mit unverschlüsselten Passwörtern auf dem PC, kann über den Engineering-Zugang eine Verbindung mit dem GA-System aufgebaut werden.
3. Man-in-the-middle
Ein „Man-in-the-middle“-(Mittelsmann)-Angriff kann dazu verwendet werden, Passwörter und andere kritische Informationen für einen Zugriff auf das GA-System zu ermitteln. Ein solcher Angriff kann an einem beliebigen Ort im Internet oder einem unzureichend geschützten Intranet geschehen.
Siehe http://en.wikipedia.org/wiki/Man-in-the-middle_attack.
4. Angriff gegen einen Internet-Zugangspunkt
Port-Scans werden zum Scannen eines IP-Adressbereichs auf offene Ports für einen Eindringversuch im Internet oder im Firmen-Intranet eingesetzt. Die Eindringversuche können auf dem Auffinden eines gültigen Anmeldungs-/Passwortpaars basieren oder Implementierungsschwächen von Geräten ausnutzen. Danach kann ein Eindringling potentiell auf andere Teile des Netzwerks zugreifen.
Bei Denial-of-Service-(DoS)-Angriffen wird die Nutzung von Computerressourcen für legitime Benutzer unmöglich gemacht oder eingeschränkt. Diese Bedrohung betrifft typischerweise den Fernzugriff auf IP-fähige Geräte.
Siehe http://en.wikipedia.org/wiki/Denial-of-service_attack.
Veraltete oder infizierte Router sind eine weitere Schwachstelle. Viele Router laufen mit einer veralteten Firmware und sind ideale Ziele für „Man-in-the-middle“-Angriffe, DNS-Spoofing und ähnliche Angriffe.
5. Gemeinsame IT-Infrastruktur
Eine gemeinsam genutzte Netzwerkinfrastruktur für GA und nicht GA-Computer birgt das Risiko einer Verbreitung von Malware von einem System zum anderen und ermöglicht es dem Eindringling, sich leicht zwischen den zwei Systemen zu bewegen. Wie weiter unten aufgezeigt, ist die Aufteilung des IP-Netzes in verschiedene Domänen empfehlenswert. Wenn manche Computer (z. B. GA-Managementstation oder Webserver) Bestandteil beider Domänen sein müssen, sind zusätzliche Sicherheitsvorkehrungen zu treffen.
6. Demilitarisierte Zone (DMZ)
Eine DMZ ist spezifisch gesichert und wird für Server oder vernetzte Geräte verwendet, auf die vom Internet her zugegriffen werden soll. Die Server einer DMZ können über einen Port-Scan gefunden werden (siehe Fall 4 oben) und müssen daher sehr gut geschützt sein, da sie sonst als Zugang in die Intranet-Domänen verwendet werden können.
7. Direkter Angriff aus dem Internet
Ein direkter Angriff aus dem Internet auf GA-Geräte (z. B. Webserver) ist möglich, wenn von ausserhalb der GA-Domäne auf die Geräte zugegriffen werden kann. Diese Bedrohung ist ein Spezialfall von Fall 6, wo die GA-Geräte in der DMZ sind.
8. Angriff gegen GA-interne Kommunikation
BACnet, OPC DA, Modbus und weitere Protokolle, die normalerweise in GA-Systemen verwendet werden, verwenden keine native End-to-End-Verschlüsselung. Ein Zugriff von aussen auf das GA-System öffnet potentiell die Türe für jegliche Art von Angriffen.
Neuere Versionen der GA-Protokolle wie BACnet Secure Connect (BACnet/SC) unterstützen die native End-zu-End-Verschlüsselung zwischen Geräten. Es sind jedoch nicht alle Geräte eines Standorts so geschützt. Selbst wenn ein Geräte dieses sichere Protokoll für einen Kommunikationslink einsetzt, kann es trotzdem noch ungesicherte Protokolle für andere Übertragungen einsetzen.
9. Physischer Zugang zu GA-Geräten
Jede Person (Mitarbeiter oder extern) mit physischem Zugang zu GA-Geräten oder deren IP-Netzwerk kann die Bedienparameter eines GA-Systems ändern und willkürlich oder unwillkürlich das System in einen unsicheren Zustand versetzen. Diese Bedrohung gefährdet typischerweise das GA-System über Geräte (z. B. Raumgeräte mit erweiterten Funktionen), welche öffentlich zugängig sind.
Einschränkung des Geltungsbereichs
Diese Analyse war bislang auf IP-basierte Netzwerkszenarien beschränkt. Weitere Protokolle wie BACnet MS/TP oder KNX sind typischerweise nicht direkt von aussen angreifbar, d.h. sie erfordern einen lokalen Zugang und spezielles Wissen und Tools. Wie bereits beschrieben können diese speziellen Bedrohungen nicht im Detail in diesem Dokument abgedeckt werden.
GA/IT-Zuständigkeit
Diese Analyse zeigt auf, dass viele bekannte Bedrohungen auch in Zusammenhang mit GA relevant sind. Die Zuständigkeit für den Schutz gegen diese Art von Bedrohungen kann jedoch je nach Projekt beim GA- oder IT-Personal liegen.