Kontinuierliche Softwareupdates für SIMATIC S7-SPS — ein Blick aus dem Siemens ProductCert-Team

Mit der Konvergenz von Operational Technology (OT) und Informationstechnologie (IT) hat sich die Angriffsfläche industrieller Lösungen erweitert. Die Verbindung von OT mit IT hat den Effekt, dass OT den gleichen Cybersicherheitsbedrohungen ausgesetzt ist wie die IT. Daher erfordert OT einen entsprechenden Schutz durch die Anwendung ähnlicher Sicherheitskontrollen, die bereits in der IT-Umgebung existieren. In diesem Artikel
wird eine dieser Kontrollen, die Notwendigkeit kontinuierlicher Softwareupdates, ausgewählt und im Kontext von Industrielösungen vorgestellt, die auf den Kernprodukten von Siemens für die industrielle Automatisierung, den SIMATIC S7-1200- und S7-1500-SPS, basieren.

Wie wir mit Sicherheitslücken in Siemens-Produkten umgehen

Sicherheitslücken sind in allen Arten von Software üblich… es kommt nur darauf an, wie, wann und von wem sie entdeckt werden. Daher definiert der sichere Softwareentwicklungszyklus von Siemens nicht nur proaktive und präventive Maßnahmen in früheren Phasen, sondern auch reaktive Maßnahmen zum Umgang mit Sicherheitslücken, sobald diese nach der Veröffentlichung der Software bekannt werden.

Der Umgang mit Sicherheitslücken ist eine der Kernaufgaben, die vom Siemens ProductCert-Team unterstützt werden: Analyse von Berichten (unabhängig von deren Herkunft) zu potenziellen Sicherheitsproblemen in Siemens-Produkten, Koordination aller notwendigen Schritte zur Lösung des Problems mit internen und externen Kollegen und Information der Kunden über die Probleme auf unserer öffentlichen Website.

Im Jahr 2021 erwarten wir, dass insgesamt rund 500 Sicherheitslücken in Siemens-Produkten auf diese Weise behandelt werden. Im Durchschnitt sind das zwei pro Werktag.

„Autsch, ist das nicht schlimm?“ , denken manche Leute vielleicht spontan. Aber das Gegenteil ist der Fall, und wenn Sie mehr darüber erfahren möchten, empfehlen wir Ihnen, diesen Artikel zu lesen.

Also… business as usual? Klar — aber es gibt Ausnahmen

In diesem Jahr hatten wir einen speziellen Fall, an dem wir veranschaulichen können, wie wichtig es ist, Sicherheitslücken zu beheb
en: Die im Mai 2021 aufgedeckte Sicherheitslücke CVE-2020-15782 zur Umgehung des Speicherschutzes und ihre öffentlich diskutierten potenziellen Auswirkungen auf industrielle Lösungen haben Aufmerksamkeit erregt. Die Sicherheitslücke betrifft direkt sowohl die S7-1200- als auch die S7-1500-SPS, und viele Kunden haben uns nach den Einzelheiten und der besten Strategie zur Minderung oder Behebung dieses Problems gefragt.

Tatsächlich war die Aufmerksamkeit berechtigt: Den Forschern, die die Sicherheitslücke fanden, gelang es, die SPS zu „jailbreaken“ und beliebigen Code auszuführen, der in geschützten Speicherbereichen des Geräts nicht erkannt werden kann. Stellen Sie sich diese Fähigkeit in den Händen eines böswilligen Akteurs vor…

Nachdem wir dies erklärt hatten, lauteten die häufigsten Fragen von Kunden die folgenden:

1. F: „Ich kann nicht einfach alle meine SPS aktualisieren, wie kann ich das Problem sons
   t lösen?“ A: „Du kannst es nicht anders lösen. Aber vorausgesetzt, Sie haben bereits einen soliden Passwortschutz installiert, sind Sie sicher… solange Sie sicher sind, dass kein böswilliger Akteur (Außenstehender oder Insider) das Passwort herausgefunden hat. Die Lösung besteht darin, die PLC-Software zu aktualisieren.“
2. F: „Kann ich herausfinden, ob ich bereits über diese Sicherheitsanfälligkeit angegriffen wur
   de?“ A: „Leider nicht, wenn der Angreifer klug genug ist, keine weiteren sichtbaren Spuren zu hinterlassen. Aber es gibt einen Trick: Das Update der PLC-Software entfernt zuverlässig jeglichen Schadcode, der möglicherweise bereits auf dem Gerät vorhanden war.“

Aktualisierung der PLC-Software

Wir sind uns der Komplexität, des Zeitaufwands und der Kosten bewusst, die damit verbunden sind, die Software in industriellen Lösungen auf dem neuesten Stand zu halten. Es ist nicht vergleichbar mit den täglichen und oft vollautomatisierten Aufgaben, unsere mobilen Apps oder Desktop-Anwendungen auf dem neuesten Stand zu halten. Wenn Sie jedoch die Verbesserung der Sicherheit berücksichtigen, die durch die Implementierung eines regelmäßigen Aktualisierungsprogramms erzielt wird, kann sich der Aufwand durchaus lohnen.

Die gute Nachricht ist, dass viele weitere Kunden durch diese spezielle Sicherheitslücke dazu veranlasst wurden, ernsthaft über eine Aktualisierungsstrategie für ihre SPS und ihre Lösungen insgesamt nachzudenken.

Und ein Glück für diejenigen, die ihre PLC-Software bereits in der Vergangenheit oder spätestens mit den Fix-Releases für CVE-2020-15782 kontinuierlich aktualisiert haben: Sie haben nicht nur diese einzelne Sicherheitslücke behoben, sondern zusätzlich Fixes für 24 dokumentierte Sicherheitslücken in S7-1200 und 22 dokumentierte Sicherheitslücken in S7-1500 hinzugefügt.

Die Behandlung von Sicherheitslücken ist ein kontinuierlicher Prozess: Beide Produkte haben inzwischen zusätzliche Fixes für eine weitere Sicherheitslücke veröffentlicht (CVE-2021-37172 in S7-1200 und CVE-2021-3449 in S7-1500), und wir gehen davon aus, dass dies auch in Zukunft so bleiben wird.

Schließlich gibt es noch einen weiteren wichtigen Aspekt: Während alle dokumentierten Sicherheitslücken als Bugs in der entsprechenden Software betrachtet werden können, handelt es sich nicht bei allen Bugs um Sicherheitslücken, die auf irgendeine Weise ausgenutzt werden könnten. Es gibt jedoch eine Grauzone und selbst Fehler, die ursprünglich nicht als Sicherheitslücken eingestuft wurden, können sich in diesem Sinne auswirken. Darüber hinaus können alle Fehler den sicheren und zuverlässigen Betrieb der SPS beeinträchtigen. Dies unterstreicht die Notwendigkeit, sich alle bereitgestellten Softwareupdates anzusehen, auch wenn sie nicht ausdrücklich eine Behebung dokumentierter Sicherheitslücken beinhalten.

Fazit

In diesem Artikel haben wir uns mit einem Teil eines ganzheitlichen Defense-in-Depth-Ansatzes befasst, den Siemens ProductCert bei jedem Einsatz industrieller Lösungen dringend in Betracht ziehen sollte:

• Halten Sie Ihre SPS auf dem neuesten Stand!