Daten der PLC liegen offen

Produktionsanlage in Gefahr

von Alois Träger

Nicht nur jüngste Berichte über Cyberangriffe aus Fernost sollten aufhorchen lassen, die Gefahr eines Angriffs auf Ihr Produktionsnetz liegt breits im Hause. Jeder Computer, der Zugriff auf eine SPS hat, kann potenziellen Schaden im Steuerungs- bzw. Prozessablauf anrichten. Ob nun absichtlich oder unabsichtlich.

Spätestens seit Auftauchen des „Stuxnet“-Virus ist bekannt, dass die SIMATIC S7 SPS nicht sicher genug vor Angriffen ist. Was viele nicht wissen, die SPS besitzt eine ­offene Schnittstelle. Darüber wird programmiert, diagnostiziert und SCADA/HMI-Systeme visualisiert und gesteuert. Die SPS besitzt verschiedene Datenbereiche wie Systemdaten, Programmspeicher, Prozessabbild, internen Datenbereich für Prozessdaten sowie Speicherbereich zum Informationsaustausch mit SCADA/HMI-Geräten. Das Lesen und Schrieben auf diese Speicher kann von außen un­gehindert per TCP/IP Port 102 erfolgen. Das verwendete Protokoll ist zwar nicht offengelegt, jedoch gibt es mittlerweile viele Implementierungen als Bibliothek (z.B. IP-S7-LINK, ProDave). Damit ließe sich mit jeder x-beliebigen Programmiersprache (C#, VB, C++,Delphi, Java, Excel) auf die SPS ungehindert schreiben und ­lesen, egal welcher Datenbereich (Abb. 1).

Jeder kann von der PLC lesen und sie beschreiben

In der SPS erfolgt keine Zugriffskontrolle, ob der Anwender dieser Schnittstelle eine Berechtigung für die entsprechenden ­Daten besitzt. Ein Absender wird weder identifiziert noch klassifiziert. Es ist egal, ob auf Sollwerte, Istwerte oder auf wichtige interne Daten des SPS-Programms geschrieben wird. Die PLC erlaubt unbemerkt alle Schreib- und Lesezugriffe. Besonders gefährlich sind Zugriffe auf das Prozess­abbild, das Programm oder die internen Prozessdaten. Über das Prozessabbild können unmittelbar Schaltvorgänge an der Peripherie ausgelöst werden. Durch Mani­pulation der internen Prozessdaten oder des Programms kann es zu schwerwiegenden Fehlfunktionen der gesamten Prozessablaufs kommen. Ein Anlagenstillstand wäre hier das kleinste Übel. Jeder Netzwerkteilnehmer mit Zugriff auf die SPS (TCP/IP Port 102) kann diese Aktionen durchführen.

Das können Visualisierungsrechner, Bedienterminals oder Server, die Prozessdaten von den Steuerungen lesen oder aber jeder PC, der auf das SPS-Netz Zugriff hat. Schon Fehlkonfigurationen in der Adressierung der Daten können erhebliche Fehler verursachen. Landen etwa falsche Sollwerte in der PLC, kann das z.B. für einen Gärprozess im Brauwesen schnell mal 1000 Hektoliter gefrorenen Gerstensaft zur Folge haben. Selbst Schaden an Mensch und Maschine ist nicht auszuschließen.

S7-Firewall bringt Ordnung und Sicherheit ins System

Leider unterscheidet die SPS nicht zwischen internen und externen Prozessdatenbereich. Prozessdaten sind in Datenbausteinen (DB) abgelegt. Beispiel: Das SPS-Programm verwendet DB100 zu Berechnung interner Prozessvariablen. Über DB101 empfängt sie Befehle von SCADA-1, über DB102 gibt SCADA-2 Sollwerte vor. Der DB103 soll Mess-/Istwerte für SCADA-1+2 liefern. Ohne zusätzlichen Schutz können beide SCADA-Geräte die Datenbereiche der SPS, und die des anderen beschreiben. Höchst problematisch.

Die intelligente S7-Firewall von Traeger Industry Components bringt Ordnung und Sicherheit ins System. Jede Verbindung zur SPS muss konfiguriert werden. MAC/IP-Adresse und Kanal(PG/OP) bilden die Grundlage einer Verbindung. Jeder dieser Verbindungen wird auf das Bit genau zugeordnet, welcher Datenbereich gelesen oder geschrieben werden darf. In quasi Echtzeit analysiert die S7-Firewall den Inhalt der Datentelegramme. Unerlaubte Zugriffe werden abgewehrt. Die S7-Firewall ist mehr als eine Firewall im herkömmlichen Sinne.

Hand: © fotolia.com, crimson
Matrix: © panthermedia.net, Devaev Dmitry