ERP-Sicherheitslecks gefährden Öl-Förderung
Offenbar bieten Software-Produkte, die für die Steuerung von Öl-Plattformen genutzt werden, Angriffsflächen für Hacker. Die möglichen Folgen könnten für die Anlagen katastrophale Auswirkungen haben, wie ein Sicherheitsexperte auf der BlackHat-Konferenz berichtet.
Software-Systeme, die in der Öl- und Gas-Industrie eingesetzt werden, könnten über Sicherheitslecks in Standard-Software wie SAP oder Oracle manipuliert, überwacht oder sogar zerstört werden, warnen die beiden ERP-Scan-Sicherheitsexperten Andrew Polyakov und Mathieu Geli auf der Sicherheitskonferenz BlackHat. So könnten beispielsweise SAP-Plattformen verwendet werden, um damit auf industrielle Kontroll-Systeme zuzugreifen. Theoretisch könnten Angreifer 75 Prozent der globalen Öl-Förderung unter ihre Kontrolle bringen, wie sie in einer Präsentation darlegen.
In ihrer Präsentation zeigten die beiden Sicherheits-Experten, wie man über ERP-Lösungen auf industrielle Steuerungssysteme zugreifen kann. Im Produktionsbereich könnten etwa über die Steuerung von Brennkammer-Systemen sehr einfach Explosionen hervorgerufen werden, in dem einfach einige Werte verändert werden.
“Die Idee ist einfach. Wir wollen zeigen, dass geschäftskritische Business-Anwendungen häufig mit einander verbunden sind und dabei verschiedene Integrationstechnologien verwenden”, so Alexander Polyakov, CTO von ERPScan. Dabei würden Unternehmensanwendungen im Unternehmensnetzwerk oder auch im Internet mit Geräten im Operational Technology Network (OT) verbunden. Und die Zahl dieser Verbindungen steige, weil die Integration zwischen IT und operationalen Bereichen immer stärker werde. So müssten beispielsweise Geräte, die Daten aus geförderten Öl-Volumen erheben, in das Unternehmensnetzwerk geliefert werden, um aufgrund der Daten Management-Entscheidungen und langfristige Strategien abzuleiten.
“Daher”, so Polyakov weiter, “sind – auch wenn eine Firewall zwischen IT und OT besteht, einige Anwendungen immer noch verbunden und diese Verbindungen sind häufig unsicher. Daher ist es möglich, eine Attacke durchzuführen und von einem IT-Netzwerk oder dem Internet in das OT-Netzerk, den SCADA-Systemen, OPC Servern, den Field-Devices und den Smart Meters zuzugreifen.”
Und immer wieder finden Sicherheitsexperten für ERP-Systeme Lecks in den Anwendungen von SAP und Oracle. Im aktuellen Fall haben die Experten Lecks inm SAP xMII System (Manufacturing Integration and Intelligence), SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite und bei einigen verbreiteten OPC Servern wie Matricon OPC gefunden (Open Platform Communications). Die meisten Lecks entstehen durch unsichere Konfigurationen. Und darüber können Angreifer mehrstufige Attacken auf die empfindlichen Systeme der Öl- und Gas-Industrie durchführen.
Die Förderung und Raffinierung von Öl und Gas zählt zu den komplexesten Industrieprozessen. An vielen Stellen im Produktions- oder Weiterverarbeitungsprozess gibt es kritische Bereiche wie Pumpenkontrolle, Ventilation, Brenner-Management, Kompression und Raffinierung. Angreifer könnten in diese Prozesse eingreifen und damit ganze Anlagen lahm legen oder zerstören, die Qualität der Produkte verändern, Rohstoffe entwenden oder Sicherheits- oder Compliance-Regeln aushebeln. Und das sei inzwischen auch über das Internet möglich, wie die Sicherheitsexperten warnen. Auch wenn Hacker nicht bis auf die physischen Systeme zugreifen können, so ließen sich doch zum Beispiel Daten über die Fördermenge manipulieren. Damit könnten zum Beispiel an den Handelsplätzen Preismanipulationen erreicht werden.
Nachdem SAP-Anwendungen bei 85 Prozent der 2000 wichtigsten Öl- und Gas-Unternehmen im Einsatz sind, kommt den Produkten des Herstellers natürlich in diese Industrie eine besondere Rolle zu. SAP begleite laut eigenen Angaben mit den Software-Produkten die Förderung von 70 Millionen Barrel Öl täglich. Laut ERP-Scan wurden bereits über 3500 Lecks in SAP-Produkten geschlossen und viele dieser Lecks würden unautorisierten Zugriff auf die Systeme erlauben.
Betreibern solcher Infrastrukturen raten die beiden, die ERP-Systeme besonders zu schützen und Verbindungen zu Steuerungessystemen zu Prüfen.