ERP-Sicherheitslecks gefährden Öl-Förderung

Software-Systeme, die in der Öl- und Gas-Industrie eingesetzt werden, könnten über Sicherheitslecks in Standard-Software wie SAP oder Oracle manipuliert, überwacht oder sogar zerstört werden, warnen die beiden ERP-Scan-Sicherheitsexperten Andrew Polyakov und Mathieu Geli auf der Sicherheitskonferenz BlackHat. So könnten beispielsweise SAP-Plattformen verwendet werden, um damit auf industrielle Kontroll-Systeme zuzugreifen. Theoretisch könnten Angreifer 75 Prozent der globalen Öl-Förderung unter ihre Kontrolle bringen, wie sie in einer Präsentation darlegen.

In einer Demo zeigen Sicherheitsexperten von ERPScan die Manipulation einer Öl-Anlage. (Bild: ERPScan)

In ihrer Präsentation zeigten die beiden Sicherheits-Experten, wie man über ERP-Lösungen auf industrielle Steuerungssysteme zugreifen kann. Im Produktionsbereich könnten etwa über die Steuerung von Brennkammer-Systemen sehr einfach Explosionen hervorgerufen werden, in dem einfach einige Werte verändert werden.

“Die Idee ist einfach. Wir wollen zeigen, dass geschäftskritische Business-Anwendungen häufig mit einander verbunden sind und dabei verschiedene Integrationstechnologien verwenden”, so Alexander Polyakov, CTO von ERPScan. Dabei würden Unternehmensanwendungen im Unternehmensnetzwerk oder auch im Internet mit Geräten im Operational Technology Network (OT) verbunden. Und die Zahl dieser Verbindungen steige, weil die Integration zwischen IT und operationalen Bereichen immer stärker werde. So müssten beispielsweise Geräte, die Daten aus geförderten Öl-Volumen erheben, in das Unternehmensnetzwerk geliefert werden, um aufgrund der Daten Management-Entscheidungen und langfristige Strategien abzuleiten.

Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten. (Bild: ERPScan)

“Daher”, so Polyakov weiter, “sind – auch wenn eine Firewall zwischen IT und OT besteht, einige Anwendungen immer noch verbunden und diese Verbindungen sind häufig unsicher. Daher ist es möglich, eine Attacke durchzuführen und von einem IT-Netzwerk oder dem Internet in das OT-Netzerk, den SCADA-Systemen, OPC Servern, den Field-Devices und den Smart Meters zuzugreifen.”

Und immer wieder finden Sicherheitsexperten für ERP-Systeme Lecks in den Anwendungen von SAP und Oracle. Im aktuellen Fall haben die Experten Lecks inm SAP xMII System (Manufacturing Integration and Intelligence), SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite und bei einigen verbreiteten OPC Servern wie Matricon OPC gefunden (Open Platform Communications). Die meisten Lecks entstehen durch unsichere Konfigurationen. Und darüber können Angreifer mehrstufige Attacken auf die empfindlichen Systeme der Öl- und Gas-Industrie durchführen.

Die Förderung und Raffinierung von Öl und Gas zählt zu den komplexesten Industrieprozessen. An vielen Stellen im Produktions- oder Weiterverarbeitungsprozess gibt es kritische Bereiche wie Pumpenkontrolle, Ventilation, Brenner-Management, Kompression und Raffinierung. Angreifer könnten in diese Prozesse eingreifen und damit ganze Anlagen lahm legen oder zerstören, die Qualität der Produkte verändern, Rohstoffe entwenden oder Sicherheits- oder Compliance-Regeln aushebeln. Und das sei inzwischen auch über das Internet möglich, wie die Sicherheitsexperten warnen. Auch wenn Hacker nicht bis auf die physischen Systeme zugreifen können, so ließen sich doch zum Beispiel Daten über die Fördermenge manipulieren. Damit könnten zum Beispiel an den Handelsplätzen Preismanipulationen erreicht werden.

Nachdem SAP-Anwendungen bei 85 Prozent der 2000 wichtigsten Öl- und Gas-Unternehmen im Einsatz sind, kommt den Produkten des Herstellers natürlich in diese Industrie eine besondere Rolle zu. SAP begleite laut eigenen Angaben mit den Software-Produkten die Förderung von 70 Millionen Barrel Öl täglich. Laut ERP-Scan wurden bereits über 3500 Lecks in SAP-Produkten geschlossen und viele dieser Lecks würden unautorisierten Zugriff auf die Systeme erlauben.

Betreibern solcher Infrastrukturen raten die beiden, die ERP-Systeme besonders zu schützen und Verbindungen zu Steuerungessystemen zu Prüfen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago