Schweizer Messer für digitale Sicherheit

Kaum ein anderes Industrieunternehmen arbeitet täglich mit so vielen völlig unterschiedlichen Geräten und Software-Applikationen wie Siemens: seien es Open Source Software als vielfach eingesetzte Produktkomponenten, Echtzeitbetriebssysteme in Sensoren oder Robotern, Windows auf Desktop-Computern oder das Internet der Dinge, getragen von MindSphere, dem offenen, cloudbasierten IoT-Betriebssystem. Und kaum eine andere Firma setzt diese digitalen Werkzeuge in so vielen Technologien ein, im Gebäudemanagement, in digitalisierten Fabriken, Kraftwerken, Stromnetzen, Zügen oder Turbinen, die zudem mehrere Jahrzehnte laufen müssen.

All das gegen Hacker zu verteidigen, ist keine Kleinigkeit. Laut einer Umfrage des Weltwirtschaftsforums 2018 sehen Manager führender Industriestaaten Cyberangriffe als das größte Risiko für ihre Unternehmen an. Nicht zuletzt deshalb wurde im Oktober 2018 die Cybersecurity-Organisation innerhalb von Siemens neu strukturiert, welche verschiedenste Aufgaben zum Schutz der IT-Infrastruktur, der Produkte und damit der Kunden bündelt. 

Für Produkte ist das ProductCERT (Product Computer Emergency Response Team) in dieser Einheit zuständig. Das Team identifiziert frühzeitig digitale Schwachstellen in Siemens-Produkten und stellt rasch Lösungen bereit. „In jeder Software kann es Schwachstellen geben“, sagt Klaus Lukas, Leiter des ProductCERTs. „Deshalb sind wir ständig auf der Suche nach Sicherheitslücken – und sobald wir welche finden, unterstützen wir die Produktverantwortlichen dabei, die Lücken zu schließen, und teilen unseren Kunden die Lösung für die Schwachstellen mit. Richtig gemacht, schafft das Transparenz und damit Vertrauen. Das ist neben der Sicherheit das wichtigste Ergebnis unserer Arbeit.“

Doch wie kann Siemens angesichts der Vielzahl seiner Kunden und Produkte gezielt helfen, Sicherheitslücken zu lokalisieren und zu schließen? ProductCERT hat dafür eine auf dem Markt bislang einzigartige Plattform entwickelt, mit deren Hilfe sich die Sicherheit von Siemens-Produkten auf breiter Front auf bekannte – und unbekannte – Schwachstellen effektiv testen lässt. Die Plattform heißt „SiESTA® (Siemens Extensible Security Testing Appliance)“ – ein pralinenschachtelgroßer Metallkasten mit diversen Anschlüssen, der sich direkt mit einem Gerät oder einem Server verbinden lässt. Ist SiESTA erst einmal anhand der gewählten Schutzziele konfiguriert, startet ein automatisches Testprogramm die verschiedenen Sicherheitstools – während sich der Sicherheitsexperte, so zumindest die Idee, eine Siesta gönnt. 

Die Anfänge von SiESTA liegen im Jahr 2014. Damals machte „Heartbleed“ Schlagzeilen, eine Schwachstelle in der Open-Source-Bibliothek OpenSSL, die bei Siemens unter anderem zur Kommunikationsabsicherung von Maschinen und Fertigungsanlagen eingesetzt wird. Um herauszufinden, welche Produkte von dieser Schwachstelle betroffen waren, wurde vom ProductCERT ein Testprogramm entwickelt, das den Entwicklungsabteilungen zur Verfügung gestellt wurde. Dadurch konnten innerhalb kurzer Zeit die betroffenen Produkte ermittelt und Gegenmaßnahmen getroffen werden. „Damit kam die Idee auf“, erinnert sich Tobias Limmer, Mitglied bei Siemens ProductCERT, „ein bedienungsfreundliches Testgerät zu entwickeln, das sich in den verschiedensten Siemens-Produkten und ihren Softwareumgebungen einsetzen lässt und solche Prüfroutinen einfach und schnell ausführen kann.“ Seit 2016 wird SiESTA innerhalb der Sicherheitsabteilungen der Siemens-Geschäftseinheiten eingesetzt – und neuerdings als Service auch Endkunden angeboten.

In SiESTA steckt eine Vielzahl an gängigen Sicherheitstools, die unter einer einfach zu bedienenden Oberfläche zusammengefasst sind und je nach Bedarf aktualisiert und erweitert werden. Eines der Betriebssysteme, welches bei SiESTA eingesetzt wird, ist beispielsweise Kali Linux. Es stellt mehrere Security-Tests bereit, zusätzlich werden aber auch eine Reihe gängiger kommerzieller Tools unterstützt. Damit können Testabteilungen von Siemens bereits vor Auslieferung sehen, was ein Angreifer sehen würde, der von außen in ein System einzudringen versucht.

Diese Sicherheitstools erlauben, Schwachstellen wie Heartbleed, Ghost, WannaCry oder NotPetya und viele weitere Lücken zu identifizieren. SiESTA ist aber auch in der Lage, völlig neue Schwachstellen zu finden – mit sogenannten Fuzzing Tests, die gezielt invalide Eingaben durchführen und das Verhalten des getesteten Geräts überprüfen. So werden beispielsweise neue Produktversionen vor ihrer Veröffentlichung mit Lasttests inspiziert, ob diese auch bei hoher Netzwerklast korrekt funktionieren. In anderen Anwendungsgebieten, wie der Überprüfung von Produktionsnetzwerken, ermitteln Netzwerkscans, welche Geräte mit welcher Softwareversion verbaut sind, ob diese sicher konfiguriert und bekannte Schwachstellen auffindbar sind. Außerdem kann die Plattform überprüfen, ob das jüngste Sicherheitsupdate auf Produkten installiert ist und alle benötigten Härtungsmaßnahmen durchgeführt wurden. Dabei werden leichtgewichtige Tests eingesetzt, die besonders Industrieumgebungen angepasst sind. 

Dieser Dienst wird seit mehreren Jahren innerhalb von Siemens eingesetzt und mittlerweile sogar Kunden, etwa Betreibern von Industrienetzwerken, angeboten. Er ermöglicht es Sicherheitsexperten, sicherzustellen, dass ihre Systeme gegen Angriffe gewappnet sind und internationalen Sicherheitsstandards entsprechen.

Neben gängigen Sicherheitstools gibt es bei SiESTA auch Testabläufe ganz speziell für Siemens-Produkte. Das überrascht natürlich nicht: Die Produktverantwortlichen und Sicherheitsteams innerhalb des Unternehmens erfahren in aller Regel von Schwachstellen, bevor diese öffentlich werden. Das ermöglicht es den Produktverantwortlichen, nicht nur rasch einen Software-Patch zu entwickeln und auf seine Wirksamkeit zu testen. Diese Testabläufe helfen auch, Schwachstellen in älteren Versionen eines Siemens-Produkts rasch zu entdecken und zu beseitigen.

Dabei erledigt SiESTA seine Arbeit behände – je nach Umfang des ausgewählten Testprogramms liefert die Sicherheitsplattform nach einigen Minuten oder Stunden einen einfach lesbaren Befund mit einem Ampelschema, das auf einen Blick mögliche Sicherheitslücken ausweist und die empfohlenen Maßnahmen für die Betreiber des Netzwerks hervorhebt. „Mit SiESTA geben wir den Produkttestabteilungen eine einfache und doch flexible Möglichkeit, grundlegende Sicherheitstests in ihren gewohnten Testablauf einzubauen“, sagt Lukas. „Sozusagen ein Schweizer Messer für digitale Sicherheit.“

29.03.2019

Hubertus Breuer