×
Siemens Industry Online Support
Siemens AG
Beitragstyp: Produktmitteilung Beitrags-ID: 50428932, Beitragsdatum: 10.08.2011
(0)
Bewerten

Information zum Verhalten der SIMATIC S7-1200 in industriellen Netzwerken

  • Beitrag
  • Betrifft Produkt(e)
 
Ausgangssituation
Mit der steigenden Verwendung von Ethernet-Verbindungen bis in die Feldebene hinein gewinnen in der industriellen Umgebung auch die damit verbundenen Sicherheitsfragen mehr und mehr an Bedeutung. Denn offene Kommunikation und eine zunehmende Vernetzung von Produktionssystemen bergen nicht nur Chancen, sondern ebenso Risiken.
Mitte Mai 2011 gab es eine Mitteilung von ICS-CERT an einen begrenzten Adressatenkreis von Steuerungssystemeigentümern und -betreibern über das sichere US-CERT Portal. Die Mitteilung identifizierte Schwachstellen an der Ethernet Netzwerkschnittstelle der SIMATIC S7-1200 Steuerung. Solche Hinweise auf Schwachstellen nimmt Siemens sehr ernst und unsere Steuerungsexperten arbeiten permanent an möglichen Verbesserungsmaßnahmen.

Zusammenfassung
Siemens hat die Test-Szenarien nachgestellt; dabei zeigten sich Schwachstellen in den S7-1200 Steuerungen. Einige Randbedingungen dieser Netzwerk-Attacken führten zu einem Stop des Steuerungsprogramms, und die S7-1200 ging in einen Stopp/Defekt-Zustand. In Automatisierungsanwendungen ist dies ein definierter Zustand in dem der externe Prozess (z.B. die Maschine) angehalten wird, vergleichbar einem Stromausfall.
Bei modernen offenen Kommunikationsarchitekturen in der Automatisierung immer abzuwägen, auf welcher Netzwerkhierarchieebene welche Sicherheitsmechanismen zum Einsatz kommen. Viele Schutzmechanismen kommen z.B. aus Gründen von Echtzeitanforderungen erst auf Maschinen-, Zellen oder Produktionslinienebene zum Einsatz. Dies wird in der Regel mit sicheren Netzwerk-Switches oder Gateways mit Firewallfunktion realisiert. Hierfür bietet Siemens allen Anwendern und Betreibern umfangreiche Unterstützung an.
 
Einordnung Industriesteuerungen im Sicherheitskonzept von Anlagen
In automatisierten Produktionsanlagen und Infrastrukturprojekten lässt sich industrielle Sicherheit in 3 Ebenen einordnen.
  1. Plant Security: Zugangsschutz von Personen zur Anlage/zu Anlagenteilen
  2. Plant IT Security: Schutz von IT Systemen an Netzwerken
  3. Access Control: Zugangskontrolle für Anlagenprojektierungsdaten
Anlagensicherheit beginnt mit dem Schutz vor unautorisiertem Betreten des Geländes und der Produktionsanlagen. Diese schließt den Schutz des Enterprise-Netzwerks über geeignete Firewalls und andere dem Schutz der IT- und Produktionsinfrastruktur dienende Konzepte ein. Eine Industriesteuerung am offenen Netz zu betreiben unterliegt ähnlichen Risiken wie der Betrieb eines PCs ohne Firewall am Internet.
SIMATIC Industriesteuerungen bieten Funktionen, um Maschinenbauer und Anlagenbetreiber bei der Ebene 3 (Access Control) zu unterstützen. Dazu zählt u.a. ein Passwortschutz gegen ungeplante Veränderungen von Steuerungsprogrammen durch nicht autorisierte Benutzer.
Das Nachstellen der oben genannten Szenarien setzt bereits die Umgehung der Schutzebenen 1 und 2 voraus, d.h. jemand ist vor Ort in der Anlage tätig oder hat uneingeschränkten Zugang zum Automatisierungsnetzwerk.
 
Identifiziertes Systemverhalten bei den Szenarien
Zum einen ist es möglich, die Kommunikation zwischen Engineering Software und Steuerung durch spezielle Netzwerkprotokollanalysatoren aufzuzeichnen und diese später erneut an die Steuerung zu senden. Damit lassen sich prinzipiell dieselben Aktionen (Bsp.: Steuerung in den STOP Zustand setzen) erneut durchführen, welche mit der Engineering Software selbst vorher exakt an dieser Steuerung getätigt wurden. Das Einspielen der Aufzeichnungen an anderen Steuerungen innerhalb der gleichen Anlage oder in anderen Anlagen ist jedoch nicht möglich. Das wird durch den Authentifizierungsmechanismus der Steuerungen bereits heute zuverlässig verhindert.
Zum anderen kann ein Netzwerkscanner eine Überlast auf der Kommunikationsschnittstelle der S7-1200 erzeugen und diese in den Stopp Zustand bringen. Dieses Verhalten kann aktuell bereits durch Abschalten des integrierten Webservers verhindert werden.
Die Verbesserung des Systemverhaltens für beide Fälle wird im nächsten Firmwareupdate adressiert.
 
Siemens Industriesteuerungen
Siemens Industriesteuerungen garantieren ein hohes Maß an Sicherheit und Robustheit. In vielen industriellen Anwendungsfällen ist die Netzwerksicherheit wie oben beschrieben eine Frage des Systemdesigns im Produktionsbereich der Anlage.
Siemens Experten kooperieren eng mit CERT und verschiedenen Anwender Communities, um die industriellen Steuerungsprodukte stetig zu verbessern. Wir sind dankbar für alle Hinweise, die zur Behebung von möglichen Schwachstellen in unseren Produkten beitragen und reagieren schnellstmöglich mit entsprechenden Software Updates für unsere Kunden.
Ein Firmware Update für S7-1200 ist auf unserer Customer Support Seite erhältlich. Diese Update verbessert die Sicherheit und Robustheit der S7-1200 Produktfamilie.

 
 
FAQ: Verhalten der SIMATIC S7-1200 in industriellen Netzwerken
 
Frage:
Um was geht es da eigentlich?
Mitte Mai 2011 gab es eine Mitteilung von ICS-CERT zu Schwachstellen an der Ethernet Netzwerkschnittstelle der Simatic S7-1200 Steuerung. Siemens hat die gemeldeten Szenarien nachgestellt. Dabei traten Schwachstellen in der Steuerung der S7-1200 bei der Reaktion auf gezielte Netzwerk-Attacken auf. Solche Hinweise nimmt Siemens sehr ernst und unsere Steuerungsexperten arbeiten permanent an möglichen Verbesserungsmaßnahmen.

Für weitere Information siehe auch www.siemens.com/industrialsecurity und Siemens_Security_Advisory_SSA-625789.pdf ( 88 KB )

 

Frage:
Was ist ein Replay-Angriff auf eine Steuerung?

Hintergrund

Bei einem Replay-Angriff wird die Kommunikation zwischen Engineering Software und Steuerung durch spezielle Netzwerkprotokollanalysatoren aufgezeichnet und später erneut an die Steuerung gesendet. Damit lassen sich prinzipiell dieselben Aktionen (Bsp.: Steuerung in den STOP Zustand setzen) erneut durchführen, welche mit der Engineering Software vorher getätigt wurden.

Randbedingungen

Solche Replay-Angriffe können nur funktionieren, wenn der Zugriff auf die Steuerung nicht geschützt ist. Der Zugriffsschutz der Steuerungen verhindert diese Aktionen genauso wie dies bei unauthorisierten Zugriffen über die Engineering-Software der Fall wäre. Es wird daher grundsätzlich empfohlen, den Zugriffschutz der Steuerungen einzuschalten.

Durch einen Fehler in der aktuellen CPU-Firmware der S7-1200 ist ein Replay-Angriff zeitlich befristet möglich.

Mit den Korrekturen durch das nächste Firmware-Update wird ein Einspielen der Aufzeichnungen auch bei derselben Steuerung nicht mehr wirksam sein.

Frage:

Sind die beiden S7-1200 Schwachstellen Sicherheitslücken ?

Replay-Szenario

Das Replay-Szenario stellt an sich keine Sicherheitslücke dar, weil ein Replay-Angriff die selben Zugangsrechte zum Netzwerk voraussetzt wie das Arbeiten mit der Engineering Software selbst.

Der sichere Betrieb einer Steuerung in industriellen Anwendungen setzt generell ein zugangsgeschütztes Netzwerk voraus.

Denial-of-Service-Szenario

Durch spezielle Kommunikation mit einem Netzwerkscanner kann es passieren, dass die Steuerung in den STOP- bzw. Defekt-Zustand wechselt. In diesem Fall kommt es zwar zu einer Störung des zu steuernden Prozesses, jedoch wechselt die Steuerung auch in diesem Fall in einen sicheren Betriebszustand, so dass die Anlagensicherheit weiterhin gegeben ist.

Als Sofortmaßnahme gegen den Denial-of-Service-Effekt hilft auch das Abschalten des CPU-Webservers oder alternativ das Blockieren der Webserver-Kommunikation durch eine externe Firewall-Lösung.

Für weitere Information zu industrieller Netzwerksicherheit siehe auch www.siemens.com/industrialsecurity

Frage:

Wann plant Siemens die Korrektur und was muss ich als S7-1200 Anwender dann tun ?

Über ein aktualisiertes Firmware-Update für die S7-1200 werden sowohl Korrekturen zur Verbesserungen gegen Replay-Angriffe als auch zur erhöhten Robustheit gegen das oben genannte Denial-of-Serivce-Szenario bereitgestellt. Dieses Firmware-Update wird im Juni zur Verfügung stehen.

Anwender der S7-1200 finden das Firmwareupdate und Instruktionen für den Download im Simatic Online Support im Internet.

Frage:

Betreffen diese Probleme auch andere Familien von Steuerungen wie S7-300 und S7-400 ?

Die S7-300 und S7-400 Steuerungen sind für das Denial-of-Service-Szenario nicht anfällig. Daher besteht bei diesen Steuerungen kein Bedarf für ein Firmware-Update in dieser Hinsicht.

Für weitere Information zum Verhalten von SIMATIC S7 CPU in Industriellen Netzwerken siehe auch (51401544)

Die als Schutz vor unbefugtem Zugriff empfohlenen externen Schutzmaßnahmen (Schutzstufen) sind in gleicher Art und Weise auch bei den S7-300 / S7-400 Steuerungen gültig.

Für weitere Information zu industrieller Netzwerksicherheit siehe auch www.siemens.com/industrialsecurity

 

Securityhinweise
Um technische Infrastruktur, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches IT Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Weitergehende Informationen über Cyber Security finden Sie unter
https://www.siemens.com/cybersecurity#Ouraspiration.