Hat die Politik was aus Stuxnet gelernt?
Nein.
Stuxnet hat man im Juni 2010, also vor deutlich über einem Jahr entdeckt. Nun hat man einen neuen Schädling namens „Duqu” entdeckt, von dem man glaubt, daß dieselben Leute ihn geschrieben haben, und daß er Industrieanlagen nach Schwächen ausspioniert. Als ob das völlig überraschend käme.
Ist irgendwer in der Politik (oder dieser Internet-Enquete) auf die Idee gekommen, Sicherheits- und Qualitätsanforderungen für Industrieanlagen aufzustellen und durchzusetzen? Hätte irgendwer verbieten wollen, weiterhin solchen Sicherheitsschrott, wie ihn Stuxnet offenbarte, weiter in Umlauf zu bringen und weiter zu betreiben?
9 Kommentare (RSS-Feed)
Ich hörte, dass es eine BSI-Zertifizierung für sichere SW-Entwicklung gibt, wird u.a. für Smart Metering vorgeschrieben. Da gibt’s dann biometrische Zugangskontrolle für die Rechner der Entwickler, und so Zeugs …
Ich bin ja immer misstrauisch, wenn ein Staat etwas zertifiziert. Deswegen verwende ich auch keine NSA-zertifizierten Produkte und schon gar kein AES.
Und den Status Quo hältst Du für besser?
Man hätte zumindest eine Liste von Empfehlungen erstellen können.
Die Industrievernetzung ist allerdings generell schwieriger in den Griff zu bekommen, als die Bürovernetzung. Da meist nur Teile der Anlage aktualisiert werden, kann man neuere Standards nur schwer durchsetzen, da das oft zu Inkompatibilitäten führt.
Vor allem will da keiner für Betriebsstörungen hingehängt werden, die durch Neuerungen entstehen. Da sind unter Umständen alte Leitungen zu entfernteren Betriebsteilen im Netz aktiv, die den Overhead von Sicherheitsprotokollen gar nicht tragen können. Wenn dann wichtige Stationen ihre Daten nicht mehr rechtzeitig liefern, ist der Ärger da. Man arbeitet in größeren Betrieben immer dicht an scharf eingesetzter Infrastruktur. Einen Sandkasten, wo wirklich nichts passieren kann, gibt es nicht, dass wäre viel zu teuer.
(“Habt ihr mal ein Chemiewerk, wo ich meine Änderungen testen kann ?”)
Desweiteren werden Steuerungen oft mit Betriebssystemen abseits des Mainstreams betrieben. Da sind dann nur bestimmte Sicherheitsmaßnahmen oder gar keine möglich. Insbesondere nicht für alle dieselben. Da kann man sich bei der Planung gepflegt in die Nesseln setzen.
Das ist natürlich kein Grund, die Hände in den Schoß zu legen. Man muss aber damit rechnen, dass Entwicklungen die jetzt begonnen werden erst in 10 bis 15 Jahren Früchte tragen.
Was mich dabei immer wundert, ist dass man in diesem Bereich immer endlos mit Henne und Ei argumentiert bzw. das ganze unter etwas eigenwilligen Annahmen betrachtet.
Was spricht eigentlich dagegen dass man fordert dass neue Komponenten zusätzlich auch einen (standardisierten) “sicheren Modus” unterstützen müssen, der genau das umsetzt was zumindest nach heutigen Stand der Technik sicher wäre?
Die üblichen Strategien wie Firewall & Co müssten doch auch auf diesen Bereich übertragbar sein?
Abgesehen davon, sind solche Anlagen eigentlich versichert? Dann könnten ja auch über diesen Umweg die Investitionskosten hereinkommen.
Das Problem im Industrievernetzungsbereich ist die Konkurrenzsituation. Am Steuerungsende benötigt man robuste Geräte mit einer großen Flexibilität im I/O-Bereich. Das ist heutzutage sehr weit vom Mainstream entfernt.
Die Hersteller verteidigen da natürlich ihre Architektur. MicroSoft versucht den Markt mit OPC aufzurollen. Da eine Standardisierung zu erwarten ist schon recht optimistisch. Vor allem ist die Hardwarearchitektur, die flexible Steuerungsschränke von der Einzelstation bis zur Stationsleittechnik erlaubt, das A und O. Da spielt die Software die zweite Geige, da sich vieles dann im Leitsystem hinbiegen läßt.
Strategien wie Firewall werden natürlich nach aussen genutzt. Aber innerhalb des Firmennetzes wäre das zu teuer. Da werden private Netze vom Ruhrgebiet bis in die Südpfalz betrieben. Diese Netze sind meisten nicht IP-basiert. Wenn man Technik für diese Firmen vertreiben will, benötigt man Anpassungen an die vorhandene Stations- und Übertragungstechnik. Natürlich sind SPS schon die Edelkompnenten in diesem Bereich. Wenn diese plötzlich durch Sicherungstechniken schlechter zugänglich würden, muß man das den Ingenieurbüros, die diese programmieren und verkaufen, vermitteln.
Natürlich werden Neuverkabelungen IP-basierend durchgezogen. Aber tausende Kilometer Altverkabelung muss man halt mitschleppen. Wenn Siemens also zu hohe Anforderungen stellt, beschränken sie ihren Markt.
Die Angriffe laufen dann allerdings in Netzen, wo Sicherungsmaßnahmen möglich wären. Da wird dann der Spezialfall schnelle Anbindung im ip-basierten Netz nicht unterstützt. Wobei nicht sicher ist, ob verschlüsselte Protokolle für die Plattform überhaupt existieren. Da heutzutage Portabilität nicht viel zählt, weil ja eh alles linuxähnlich ist, sind viele Techniken nicht wirtschaftlich anpassbar.
@Anonym:
Ich sehe keinen Grund, warum man Standards wie AES prinzipiell misstrauen sollte. Sehr viele unabhängige Experten haben sich mit AES beschäftigt und keine auch nur halbwegs praktikablen Angriffe gefunden. Und selbst wenn es eine von Geheimdiensten eingebaute Hintertüre gäbe, dann würden diese Geheimdienste das nur in sehr seltenen Fällen einsätzen, damit die Existenz der Hintertüre nicht publik wird.
@Jakob:
Was veranlasst Dich zu so einer schwachsinnigen Aussage, die nur den Anschein des Nachplapperns des Standard-Geschwafels eines Dozenten einer mittelmäßigen Kryptographie-Vorlesung hat?
Ich kann nichts beweisen, aber es gibt zahlreiche Indizien und Bauchgefühle, dass AES kryptographisch schwach ist. Abgesehen von den S-Boxen ist der Rijndael-Algorithmus pure Linearität, in einer Formel darzustellen. Die Frage ist eher, warum hat sich da (öffentlich) noch niemand so richtig ran getraut. DES hingegen ist zwar mathematisch langweilig, weil es hauptsächlich darauf beruht, in irgendwelchen Tabellen nach Substituten zu suchen, aber genau das ist Kryptographie; das Teil ist komplett nicht-linear.
Und Dank Horst Feistl ist es ein ziemlich guter Algorithmus, dem ich jedesmal den Vorzug vor AES geben würde (in der Ursprungsversion). Die NSA wird schon ihre Gründe gehabt haben, die ursprüngliche Schlüssellänge stark zu reduzieren. IBM hat ihn übrigens intern nie in der abgewandelten Form verwandt.
Im Übrigen sprechen die sehr interessanten, unbegründeten und nicht-nachvollziehbaren Entscheidungen bei der Wahl des DES-Nachfolgers für sich. Aber darüber muss man sich im Klaren sein, wenn “NIST” drauf steht. Schau Dir mal MARS von IBM an. Der macht einen guten Eindruck.
Anonym hat schon recht, aber ich denke, dass das hier nicht der richtige Ort ist, um solche Dinge zu diskutieren.
Was denn, die Wirtschaft durch Gesetzgebung einschränken? Du müsstest doch als Erster wissen, welche Kosten auf einen zukommen, wenn man Probleme der Informatik nicht nur irgendwie lösen will, sondern sogar noch Sicherheitsanforderungen erfüllen soll. IdR muss man für Sicherheit auch saubere Lösungen haben. Wer soll das denn bezahlen? Wie soll das überhaupt gehen, bei dem Fachkräftemangel?
Außerdem wäre es doch geradezu desaströs, wenn wir das in DE im Alleingang regeln. Die ganzen anderen Länder dürfen pfuschen und fuchsen und wir sollen gesetzlich verpflichtet sein, hohe Qualität zu unbezahlbaren Preisen abzuliefern, die keiner kauft und kaum einer will?
Zudem wäre es auch interessant, wie die derzeitige rechtliche Lage aussieht. Ich kann mir gut vorstellen, dass Siemens bei seiner Simatic auch irgendwo dazuschreibt, dass man besser kein Netzwerkkabel einsteckt, dass ein zweites Ende hat.