Auf der Black-Hat-Sicherheitskonferenz in Las Vegas zeigten Hacker, wie man in Siemens-Industriesteuerungen und SAP-Systeme eindringt. Beides sind zentrale Komponenten des "intelligenten" Stromnetzes in Österreich.
In ihren Grundzügen waren die Sicherheitslöcher bereits seit Mai bekannt und hätten auch schon da auf der Security-Konferenz "TakeDown" im Detail veröffentlicht werden sollen.
Doch im letzten Augenblick hatte der bekannte Sicherheitsexperte - oder "Hardwarehacker", wie man will - Dillon Beresford seinen Vortrag auf Ersuchen des US-Ministeriums für Heimatschutz sowie des betroffenen Herstellers Siemens abgesagt.
Sicherheitslücke in der Steuerung
Auf den "Black Hat Briefings" in Las Vegas, dem wichtigsten US-Hackertreffen, war es dann am vergangenen Mittwoch so weit. Beresford demonstrierte, wie ein Angreifer über eine Sicherheitslücke in die Industriesteuerungsanlagen (Supervisory Control and Data Acquisition = SCADA) vom Typ Siemens Simatic S7 eindringen, das gesamte System manipulieren, den Betreiber darüber hinwegtäuschen oder überhaupt aussperren kann.
Sicherheit und Buchhaltung
Für kommenden Dienstag hat Weltmarktführer SAP wiederum ein außerplanmäßiges Sicherheitsupdate für seine Unternehmenssoftware angekündigt. Ein weiterer Vortragender auf der Black-Hat-Konferenz hatte am Donnerstag eine kritische Sicherheitslücke in dem System aufgedeckt.
Beide Vorfälle betreffen Technologien, die in Österreichs Industrie stark verbreitet sind: Etwa als - bisher getrennte - Steuerungssysteme der Energieversorger für deren Stromnetze sowie deren Verwaltungs- und Kommunikationsnetze. Die kommenden intelligenten Stromzähler in den Haushalten vernetzen diese zumindest indirekt.Uranzentrifugen im Visier
Die SCADA-Systeme von Siemens, die Kraftwerke, Raffinerien und andere wichtige Industrieanlagen weltweit steuern, waren ab 2009 bekanntlich vom berüchtigten Stuxnet-Wurm angegriffen worden.
Das offensichtliche Ziel dieser Attacke waren die Uranzentrifugen in der iranischen Anlage Natanz, in der eine unbestimmte Zahl dieser Geräte durch gezielte Manipulation ihrer Drehzahl 2010 zerstört worden war.
Angriff auf Steuersoftware
Beresford führte in Las Vegas einen Angriff vor, der die beängstigenden Fähigkeiten von Stuxnet in Teilen noch übertrifft. Während die Stuxnet-Malware auf die originale Steuerungssoftware der programmierbaren Logik-Controller (PLCs) - das Schaltelement der Steuerung - zugegriffen hatte, bespielte Beresford die Siemens-Hardware erst einmal mit einem selbst geschriebenen kleinen Programm.
Voraussetzung dafür war freilich, dass der Angreifer bis zur SCADA-Steuerung vordringen kann.
Kraftwerk und deren Steuerung
Diese Art von Angriff war möglich, weil die Hardware einen fix einprogrammierten, standardisierten Benutzernamen samt entsprechendem Passwort enthält, die beide von Beresford ausgelesen werden konnten. In der Folge konnte eine Shell - ein Kommandozeilenprogramm - gestartet werden: Beresford programmierte den PLC ganz einfach neu.
Im Ernstfall hätte er damit die Steuerung eines Kraftwerks, einer Raffinerie oder einer Fertigungsstraße in einer Industrieanlage manipulieren können, ganz nach dem Muster von Stuxnet, allerdings in der "Version 2.0".
Die Papierform
Voraussetzung dafür ist ein einziger, mit Schadsoftware verseuchter Rechner oder Datenträger in der SCADA-Steuerung. Auf dem Papier sind diese Anlagen bis jetzt zwar insofern ziemlich sicher, als die eherne Regel lautet, dass solche Steuerungsanlagen von allen anderen Netzen strikt abgetrennt werden müssen.
Im Fall von Stuxnet hatte aber ein verseuchter USB-Stick genügt, um die Uranzentrifugen von Natanz teilweise zu zerstören.
Die "Entnetzungsregel"
Tatsächlich wird diese strikte "Entnetzungsregel" in der Praxis insofern umgangen, als es zumindest temporäre Verbindungen der SCADA-Steuerung mit anderen Rechnern oder Speichermedien geben muss. Das sind Laptops von Servicetechnikern, angeschlossene Back-Up-Speichermedien, Schnittstellen zur Fernwartung oder gar eine irgendwie geartete Verbindung mit dem Internet.
Das Letztgenannte ist mit der Einführung von sogenanntem "Smart Metering" in Österreich geplant. Die intelligenten Stromzähler müssen laut derzeitigen Vorgaben des Regulators E-Control fernabschaltbar bzw. -aktivierbar sein.Das neue Netz
Dieses neue Netz aus Hunderttausenden Minicomputern und Zigtausenden kleinen Servern ("Konzentratoren") in den Trafohäuschen überträgt in Zukunft Verbrauchsinformationen aus jedem Haushalt zum Energieversorger. Gleichzeitig ist es ein Steuerungssystem, das nicht viel mehr als zwei Befehle entgegennimmt - diese aber lauten: "Ein" und "Aus".
Im Verwaltungs- und Abrechnungssystem des Stromversorgers - dabei handelt es sich hierzulande fast immer um Software des Weltmarktführers SAP - kommen die Verbrauchsinformationen dann mit der Steuerung in ein und derselben Datenbank indirekt zusammen.
Der Einsatzbereich
Die Stromversorger nutzen dieses System unter anderem für die Feinsteuerung des Netzes bis in die Haushalte und zur Fern- und Früherkennung möglicher Gefahren.
Der aktuelle Stand aller Zähler ist in der webbasierten Datenbank abzulesen, für Umzüge der Kunden samt Ab- und Neuaufschaltung bedarf es keiner Hausbesuche mehr. Ein paar Mausklicks und Einträge in Datenbankfelder ersetzen sie.
Mehr Wettbewerb
Der Kunde wiederum kann nicht nur seinen aktuellen Verbrauch einsehen, auch ein Anbieterwechsel sollte dadurch viel einfacher möglich sein.
Mehr Wettbewerb, dadurch niedrigere Endverbraucherpreise und Energieeinsparung waren auch das Ziel der EU-Richtlinie, auf deren Grundlage die neuen Systeme eingeführt werden. Deren Vorgaben, 80 Prozent der Haushalte bis 2020 intelligent zu vernetzen, sollen hierzulande laut Regulator E-Control noch übertroffen werden: Bis 2018 soll eine Abdeckung von mindestens 90 Prozent erreicht werden.
Die Funktion zur Fernabschaltung der neuen Stromzähler ist in der Richtlinie jedoch nicht festgeschrieben.
Ein Kunde zieht aus
Wenn ein Stromkunde umzieht, soll das folgendermaßen vor sich gehen: Von der Datenbank des SAP-Systems ergeht eine Nachricht an die Buchhaltung und eine weitere an das SCADA-System, an den "smarten" Zähler, mit einer bestimmten Nummer den "STOP"-Befehl zu senden.
Die letzten Verbrauchsdaten werden an eine weitere Datenbank übergeben, auf die ein Webserver zugreift. Der Kunde soll ja seine genauen Verbrauchswerte jederzeit kontrollieren können.
Vernetzt, getrennt
Die unerfreuliche Seite davon ist: Beim Stromversorger wird vernetzt, was eigentlich strikt getrennt bleiben müsste.
Schaltvorgänge für die Stromnetze dürfen in keiner Verbindung mit anderen Netzen stehen, deshalb sind die Steuerrechner in den Schaltzentralen für das Stromnetz bei allen Energieversorgern bis jetzt auch physisch von der Unternehmens-IT getrennt.Windows XP, Servicepack eins
Als Steuerrechner werden durchwegs betagtere PCs eingesetzt, da diese Anlagen auf rund 15 Jahre Lebenszeit ausgelegt sind. Wie die Recherchen zu diesem Themenkomplex ergeben haben, ist der Softwarestatus Windows XP, Servicepack 1, sehr weit verbreitet.
Dass ausgerechnet dort ein vor mehr als zehn Jahren entwickeltes Betriebssystem läuft, das von allen auf dem Markt befindlichen weitaus am leichtesten angegriffen werden kann, hat nichts mit Nachlässigkeit zu tun.
Betriebssysteme, Garantien
Welches Betriebssystem in welcher Version zum Einsatz kommt, ist nämlich in der Garantie des Herstellers festgeschrieben. Dazu kommt, dass mit dem SCADA-Hersteller vereinbarte und getestete Updates nur in den vorgesehenen Wartungsfenstern eingespielt werden können.
So ist es im Falle der Siemens-PLCs nicht einfach möglich, sofort Patches - korrigierten Programmcode - gegen die von Beresford demonstrierten Sicherheitslücken überall einzuspielen. Das gilt auch für Österreich, wo eine unbekannte Zahl dieser PLCs in Industriesteuerungen aller Art verbaut vor sich hin werkt.
Alle SCADA-Systeme betroffen
Seit Jahresanfang 2011 ist die Zahl der bekanntgewordenen schweren Sicherheitslücken in SCADA-Anlagen aller großen Hersteller nachgerade explodiert. Existiert haben sie schon länger, entdeckt wurden sie erst, als man sie gezielt suchte.
Die plötzliche Aufmerksamkeit für Steuerungsanlagen geht auf den Wirbel zurück, den der Stuxnet-Angriff ausgelöst hatte.Klartext von Siemens
Mit Beresford stand ein Topmanager des Computer Emergency Response Teams von Siemens auf der Bühne der Black-Hat-Konferenz und versuchte erst gar nicht, Ausreden für die beschriebenen Probleme zu finden. Seine Kernaussage: SCADA-Systeme seien generell angreifbar. Siemens werde sein Bestes tun, die eigenen abzusichern.
Wirklich angreifbar werden sie SCADA-Systeme durch die stetige technische Annäherung an die Standards des Internets. Via WLAN oder drahtlose Breitbandnetze schleicht sich das wilde weite Netz auch in SCADA-Zentralen unsichtbar auf dem Luftweg ein.
Las Vegas und Österreich
Neben den massiven Sicherheitslücken in Leitsystemen trat in der vergangenen Woche ein weiterer Sicherheitsvorfall auf, der bezüglich der EU-weit geplanten Vernetzung von hoher Relevanz ist.
Am vergangenen Donnerstag hat der Sicherheitsexperte - oder Hacker, wenn man will - Alexander Polyakov ebenfalls anlässlich der Black-Hat-Konferenz eine schwere Lücke in einem zentralen SAP-Produkt aufgezeigt.
Vermittelt durch "Middleware"
Der SAP-Netweaver, eine sogenannte "Middleware", vermittelt zwischen Webserver und anderen Teilen der Informationsinfrastruktur des Unternehmens.
Über ein Formular im Internet werden bei einigen Versionen "nicht autorisierte Datenbankbefehle" entgegengenommen. Ein böswilliger Benutzer kann sich über diesen Weg also Administratorenrang verleihen.
Die Ware in der Mitte
Über eine solche Verbindung sollen hierzulande in Zukunft die vom "Smart Meter" gelieferten Verbrauchsdaten für die Kunden ins Web gestellt werden. Die Daten kommen über die Middleware aus einer Datenbank, die außerdem Hunderttausende intelligente Stromzähler ein- und ausschalten können soll.
Dieser Angriffsvektor über das Web ist ungleich gefährlicher als die oben geschilderten direkten Attacken auf das Steuerelement PLC.
Österreich und die Welt
Bei Österreichs Stromversorgern und vielen anderen Industrieanlagen kommen diese beiden auf der Black-Hat-Konferenz präsentierten Sicherheitsprobleme zusammen. Schon allein deshalb, weil Siemens und SAP hierzulande wie auch in Deutschland verglichen mit der internationalen Konkurrenz sehr hohe Marktanteile haben.
In den USA, Japan oder China werden sehr ähnliche Systeme eingesetzt. Das Grundproblem ist aber überall dasselbe: Als Insellösungen konzipierte, langlebige Steuerungssysteme für kritische Infrastruktur werden mit der Unternehmens-IT und damit wenigstens indirekt mit dem weiten, wilden Internet vernetzt.
