VPN: Ein unterschätztes Risiko für Ihr industrielles Steuerungssystem

VPN-Zugriff auf industrielle Steuerungssysteme verursacht vermehrt ernstzunehmende Probleme. Ist Zero Trust die Lösung? Vieles spricht dafür.
 

Warum stellen VPNs ein Sicherheitsrisiko dar?

Mit einem virtuellen privaten Netzwerk (VPN) lässt sich die Netzwerkkonnektivität zwischen Usern und Anwendungen oder industriellen Steuerungssystemen (Industrial Control Systems, ICSs) erweitern. Daher ist es nur folgerichtig, dass IT-Teams auf VPN-Lösungen setzen, um externen Usern Zugriff auf das ICS einer Organisation zu ermöglichen. In vielen Fällen stellen die Anbieter von Betriebstechnologie (Operational Technology, OT) oder ICSs selbst VPNs bereit, um sich Remotezugriff auf diese Systeme zu verschaffen – in der Hoffnung, Ausfallzeiten für die Produktionslinien möglichst gering zu halten. Tatsächlich wird diese Hoffnung jedoch allzu oft enttäuscht, denn VPNs haben sich zur Hauptursache für ungeplante Ausfallzeiten entwickelt. Woran liegt das?

Flaches Netzwerk: VPNs sind so konzipiert, dass sie bidirektionale Tunnel zwischen zwei Netzwerken erzeugen. Dabei gilt beim Traffic-Fluss eigentlich: Alles Schlechte kommt von außen. Verschlimmert wird die Situation dadurch, dass zahlreiche ICSs Kommunikation über IP-Multicast und IP-Broadcast zulassen, damit Systeme wie SCADA (Supervisory Control and Data Acquisition) oder speicherprogrammierbare Steuerungen (SPS) alle OT-Geräte über das VPN erkennen können. In vielen Fällen stellt das VPN eine Verbindung zu einer Jumpbox im IT-Netzwerk her und ermöglicht externen Usern damit den direkten Zugriff auf das OT-Netzwerk. Diese Art von Netzwerkzugriff durch Dritte verfehlt das eigentliche Ziel, ein Air Gap zwischen OT und IT zu schaffen.

ICSs kommunizieren im Klartext über EtherNet/IP ohne erforderliche Authentifizierung. Tatsache ist jedoch, dass Konstruktions- und Konfigurationssoftware für diskrete, Prozess-, Batch-, Motion-, Sicherheits- und antriebsbasierte Anwendungen nicht auf den Remotezugriff über VPN ausgelegt ist und es ihr an den Sicherheitskontrollen fehlt, mit denen IT-Anwendungssoftware üblicherweise ausgestattet ist. Wenn externe User sich über ein und denselben Laptop mit dem Büronetzwerk, dem Heimnetzwerk und verschiedenen anderen Unternehmen verbinden, vergrößert das die Angriffsfläche erheblich.

Sicherheitslücken: Es scheint, als hätte mittlerweile praktisch jeder VPN-Anbieter schwerwiegende Schwachstellen bei seinen VPN-Appliances eingeräumt. Besitzer von OT-Systemen müssen sich daher bewusst machen, dass VPNs ein besonders beliebtes Ziel von Cyberkriminellen sind, die sich unerlaubt Zugriff zum OT-Netzwerk verschaffen und dort Ransomware einschleusen wollen. Da VPNs ständig und für jeden im Internet zugänglich sind, müssen sie außerdem gegen DDoS-Angriffe abgesichert werden.

„Neuartige Bedrohungen wie Ransomware-Angriffe auf Geschäftsprozesse, potenzielle Siegeware-Angriffe auf Bauverwaltungssysteme, GPS-Spoofing und anhaltende Sicherheitsrisiken bei OT-/IoT-Systemen erstrecken sich über die gesamte cyber-physische Welt.“

– Top 9 Security and Risk Trends for 2020, Gartner, September 2020

Ransomware: VPN gewährt Usergeräten Zugang zum OT-Netzwerk. Ransomware verbreitet sich typischerweise über das Netzwerk und infiziert auch andere Computer, die mit ihm verbunden sind. Mit ihren häufig auf älteren Windows-Versionen basierenden Workstations bieten OT-Umgebungen eine hohe Dichte an Angriffszielen. Es ließen sich zahlreiche Fälle anführen, in denen Ransomware eines externen Users durch eine VPN-Verbindung vom IT- ins OT-Netzwerk eindringen und dort massiven Schaden anrichten konnte. So verursachte ein solcher Vorfall beim norwegischen Aluminiumhersteller Norsk Hydro Schäden in Höhe von mehr als einer Milliarde US-Dollar.

Nicht patchbare Systeme: Die meisten OT-Systeme nutzen nicht die aktuellste Version von Windows oder arbeiten mit eigens entwickelter Software, die bereits ausgelaufen ist oder für die der Support eingestellt wurde. Langwierige und mühsame Genehmigungsprozesse der OT-Anbieter verhindern, dass OT-Systeme regelmäßig gepatcht werden – unabhängig davon, welches Betriebssystem zugrunde liegt. In einigen Fällen hatte die Anwendung von Patches auf OT-Systeme gar ein komplettes Systemversagen zur Folge. Im Jahr 2017 war etwa ein Sicherheitspatch dafür verantwortlich, dass die Überwachungsanlage eines großen Fertigungsofens der NASA ausfiel und ein entstehender Brand darin befindliche Teile eines Raumfahrzeugs zerstörte. Nicht patchbare Systeme oder verzögerte Patches stellen ein erhebliches Sicherheitsrisiko dar, das leicht von Angreifern ausgenutzt werden kann.
 

Benötigen externe User wirklich Zugriff auf das Netzwerk?

Kein User – und insbesondere kein externer User – sollte Zugang zu Ihrem Netzwerk erhalten, wenn der OT-Zugriff zur Durchführung der Remote-Systemwartung völlig ausreichen würde. Seit das Purdue-Modell für ICSs Ende der 1990er‑Jahre zum Standard für OT-Sicherheit wurde, fand der netzwerkzentrierte VPN-Ansatz mit DMZs und Firewalls flächendeckend Anwendung. Heute ist er überholt – an seine Stelle treten Lösungen, bei denen User direkt mit Anwendungen verbunden werden.

Mit Zero Trust erhalten Dritte Zugang zu den benötigten Systemen, ohne dass eingehende Verbindungen zum OT-Netzwerk hergestellt werden; selbst dann, wenn Konvergenz zwischen OT und IT besteht. Das liegt daran, dass ein Zero-Trust-Ansatz keine Verbindung der Netzwerke vorsieht, sondern vielmehr lediglich zum Ziel hat, Usern sicheren und unkomplizierten Zugriff auf OT-Systeme zu gewähren. Wenn diese nur für autorisierte User im Internet sichtbar und zugänglich sind, wird dadurch die größte Angriffsfläche eliminiert und das Risiko von Ransomware- oder Cyberangriffen reduziert.

Find out how MAN Energy, Johnson Controls, TT Electronics, and MOWI have taken a zero trust approach and are connecting users to applications without bringing them on the network. 

Deepak Patel ist als Senior Director, OT Network & Security Transformation bei Zscaler tätig.