Zum Inhalt springen

HIMA Security Advisory TRISIS/TRITON

Ende 2017 wurde der weltweit erste erfolgreiche Hackerangriff auf eine Sicherheitssteuerung (SIS) bekannt. Eine Schadsoftware in einer Programmierstation (PC) hat ältere Triconex-Sicherheitssteuerungen des Herstellers Schneider Electric im laufenden Betrieb modifiziert. Dazu wurde die Programmierstation so manipuliert, dass die übliche Programmierfunktion zum Austausch eines Anwenderprogrammfragments in den Triconex-Sicherheitssteuerungen genutzt wurde. Diese Modifikation setzte die Steuerung in den sicheren Zustand. Es ist zu bezweifeln, dass der einfache Stopp des SIS das Ziel war. Vielmehr ist davon auszugehen, dass ein Unfall provoziert werden sollte. Diese Schadsoftware ist unter dem Namen „TRISIS“ bzw. „TRITON“ bekannt (im Folgenden „TRISIS“ genannt).

Fragen und Antworten (FAQ)

Wie ist TRISIS in die Programmierstation gelangt?
Mögliche Wege in ein System führen immer über die Schnittstellen des Systems. Diese sollten bei der Risikobewertung besondere Aufmerksamkeit bekommen. Die häufigsten Schnittstellen sind USB Sticks und Netzwerkzugänge. Es wird vermutet, dass die Schadsoftware über das Netzwerk oder gar durch Fernwartungszugriffe in die Programmierstation gelangt ist. Auch die Verwendung von USB-Sticks, und damit einhergehend, der physikalische Zugang zum System, ist bewusst zu regeln. Hier kann das Risiko z.B. mit abschließbaren Schränken für die Programmierstation reduziert werden.

Hätte der Angriff vermieden werden können?

Im konkreten Fall wurde ein programmierbares System, das durch einen Schlüsselschalter im Programmiermodus eingestellt war, von einer ständig angeschlossenen Programmierstation modifiziert. Dieser Angriff hätte durch triviale Maßnahmen des autarken Betriebs, ohne angeschlossene Programmierstation, vermieden werden können. Des Weiteren hätte die zusätzliche Verwendung des oben erwähnten Schlüsselschalters zum Blocken von Schreibzugriffen die Anfälligkeit des SIS deutlich reduziert. Wird die Stellung des Schlüsselschalters gut sichtbar angezeigt, so kann eine nicht geplante Programmierung leicht erkannt und vermieden werden.

Sind HIMA-Produkte von TRISIS betroffen?
TRISIS ist sehr gezielt für einen bestimmten Einsatzzweck entwickelt worden. Die Analyse der Software hat ergeben, dass TRISIS ganz spezifisch auf Triconex 3008 Prozessoren abzielt. Sehr wahrscheinlich sind nicht einmal andere Triconex-Kunden betroffen, geschweige denn Kunden, die SIS anderer Hersteller einsetzen. Die Analyse legt nahe, dass die Modifikation des Angriffes zur Anpassung auf andere SIS einer Neuentwicklung der Schadsoftware gleich kommen würde.

Wie kann ich feststellen, ob meine HIMA-Steuerung verändert wurde?

Bei dem Angriff wurden im laufenden Betrieb Codeteile ausgelesen, modifiziert und wieder in das SIS geschrieben. Da bei HIMA-Systemen kein Code aus dem SIS gelesen werden kann, müsste für einen vergleichbaren Angriff das komplette Anwenderprogramm bekannt sein, modifiziert und neu in das SIS geladen werden. Dabei würde sich die Prüfsumme des Anwenderprogramms verändern. Da diese Prüfsumme für sicherheitstechnische Abnahmen bekannt und dokumentiert sein muss, kann sie leicht auf Veränderung überprüft werden.

Gibt es einen Weg, den Schreibschutz zu umgehen?
Das würde das Vorhandensein einer sogenannten Backdoor, also beispielsweise einen „versteckten Entwicklerzugang“, voraussetzen. Eine Backdoor ist bei HIMA-Produkten nicht vorhanden. Der Zugriff auf HIMA-Systeme ist im laufenden Betrieb ausschließlich mit dem richtigen Passwort, mit dem richtigen Port und bei erlaubten Schreibzugriffen möglich.

Welche Unterstützung kann HIMA anbieten?
HIMA dokumentiert alle Security-relevanten Einstellungen und Einsatzbedingungen in einem Cybersecurity Handbuch. Dazu bietet HIMA Security-Schulungen für die HIMA-Produktpalette an. Des Weiteren bietet HIMA den Service „Smart Safety Security Check“, bei dem die Safety-Installation individuell auf richtigen Parametrierung untersucht und gegebenenfalls optimiert wird. HIMA führt außerdem Security-Assessments im Kundenauftrag durch.

Wie wird sichergestellt, dass HIMA-Systeme zukünftig nicht kompromittiert werden können?
HIMA hat durch den Fokus auf Safety schon immer einen hohen Anspruch auf qualitativ hochwertige Entwicklungen. Diese lassen wir schon immer von einem unabhängigen Dritten zertifizieren. 2017 hat HIMA auch eine Cybersecurity-Zertifizierung des HIMax Systems erwirkt. Dabei wurden die bestehenden Prozesse für Security mit zertifiziert. Durch diese Prozesse ist die bestmögliche Risikoreduzierung gegen Cyberangriffe auch in Zukunft sichergestellt.

Wie kann das Risiko reduziert werden, dass Schadsoftware sich ausbreitet?

Es wird empfohlen, Anlagen in mehrere Zonen aufzuteilen und deren Übergänge (Conduits) zu kontrollieren, um unbefugten den Zugriff zu verwehren. Dies betrifft sowohl physikalischen Zugriff als auch logischen Zugriff über Netzwerke. Der TRISIS-Angriff zeigt ganz deutlich, dass Safety-Systeme als letzte Schutzebene für die funktionale Sicherheit unbedingt getrennt von allen anderen Systemen aufgebaut werden sollten. Nur so können die erwähnten dedizierten, kontrollierbaren Übergänge (Conduits) geschaffen werden. Dieses Konzept mit unterschiedlichen Schutzebenen ist als „Defense in Depth“ bekannt.

Was sollte die Branche aus diesem Angriff lernen?
Security muss auch im Safety-Umfeld ernster genommen werden. Das bedeutet nicht, dass man panisch werden sollte. Vielmehr beweist dieser Fall, dass beim konsequenten Einsatz der aktuell verfügbaren technischen und organisatorischen Möglichkeiten dieser Angriff verhindert worden wäre. Dies war kein Angriff auf Triconex, sondern eine Weckruf an die gesamte Automatisierungsbranche.

Wo bekomme ich mehr Information?
Die Firma Dragos

hat den ersten ausführlichen Report erstellt. Auf diesem basieren die

meisten anderen Berichte. Der Report ist öffentlich zugänglich:

dragos.com/blog/trisis/TRISIS-01.pdf

Wenn Sie spezielle Fragen zu Ihren HIMA-Systemen haben, wenden Sie sich bitte an support@hima.com für technische Fragen und security@hima.com für Anliegen rund um Cybersecurity.

Ihr Kontakt zu HIMA

Daniel Plaga
+49 (0) 6202 709 405
Public Relations Manager

Gerne beantworten wir Ihre Medien-Anfragen rund um das Unternehmen HIMA, seine Produkte und Lösungen.