Vom 19. bis 23. September 2022 fand ein Hackathon rund um industrielle Kontrollsysteme in Thun statt, welcher vom Cyber-Defence (CYD) Campus zusammen mit dem Cyber Bataillon 42 organisiert wurde. Zu den über 30 Teilnehmenden gehörten Forschende des CYD Campus und der Schweizer Armee, Mitarbeitende des NCSC und Swissgrid, Soldaten des Cyber Bataillons 42, Studierende der Hochschule Luzern, ETH Zürich und Ruhr Universität Bochum, sowie Experten aus der Privatwirtschaft, wie z. B aus dem Unternehmen ALSEC Cyber Security Consulting und Nozomi Networks. Die Teilnehmenden wurden in funktionsübergreifende Teams mit unterschiedlichen Schwerpunkten im Bereich der industriellen Steuerungssysteme eingeteilt. Dies erlaubte es den Gruppen, gezielte Schwachstellenanalyse durchzuführen und unterschiedliche Angriffsvektoren untersuchen. Zudem ermöglichte dies ein vernetztes und intensives Arbeiten in kleineren Gruppen. Mit dem Hackathon verfolgte der CYD Campus drei Ziele: Die Erweiterung des beim VBS vorhandene Wissens in diesem wichtigen Bereich, die Vernetzung von Fachleuten aus Industrie, Hochschulen und öffentlicher Verwaltung sowie die Unterstützung von jungen Talenten, die ihre Expertise in diesem Bereich vertiefen wollen.

Hohe Sicherheitsrisiken in industriellen Kontrollsystemen

Der Begriff Hackathon ist eine Wortschöpfung zwischen «Hacking» und «Marathon» und beschreibt eine Veranstaltung zur kollaborativen Entwicklung von Software oder Hardware. Hackathons haben ein spezifisches Thema oder sind technologiebezogen und zielen darauf, gemeinsame Lösungen für dringende Probleme zu finden. 

Der diesjährige CYD Campus Hackathon befasste sich mit Angriffen und Abwehrmassnahmen gegen industrielle Kontrollsysteme und operative Technologien (OT). Industrielle Kontrollsysteme bestehen aus Hardware und Software, die zur Steuerung, Überwachung und zum Betrieb von Anlagen, Maschinen und Prozessen in industriellen Umgebungen eingesetzt werden. ICS sind ein wichtiger Bestandteil von OT und müssen besondere Anforderungen an Sicherheit, Zuverlässigkeit und Verfügbarkeit erfüllen. Sie steuern industrielle Produktionsprozesse und sind häufig in kritischen Infrastrukturen zu finden, zum Beispiel in der Energie- und Wasserversorgung, der Öl-, Gas- und Kohleförderung oder im Transport und Verkehr. Die Steuerungssysteme sind oftmals als SCADA-Systeme oder verteilte Steuerungssysteme (DCS) realisiert. Im Zentrum dieses Hackathons standen die industriellen Kontrollsystemen von Energiesystemen.

Doch weshalb sind diese industriellen Kontrollsysteme ein besonders geeignetes und relevantes Thema für einen Hackathon in Bereich der Cyberabwehr? Dafür gibt es mehrere Gründe. Zum einen sind sie in vielen Systemen zu finden, die für unsere nationale Versorgung kritisch sind. Diese Kritikalität macht diese Systeme für Angreifer sehr interessant, was sie einem besonderen Risiko aussetzt. Anders als bei einem Informationssystem steuern ICS physische Prozesse. Ein Angriff auf das System kann somit physische Auswirkungen auf die Umwelt haben, was zu erheblichen Schäden führen kann. Ein Cyberangriff auf ein Umspannwerk kann beispielsweise die Stromversorgung unterbrechen, was schwerwiegende Folgen für den Netzbetreiber und seine Kunden haben kann. Die aktuelle Stromsituation kann sich durch einen solchen Vorfall weiter verschärfen. Weiter haben diese Steuerungssysteme eine sehr lange Lebensdauer und werden selten gewartet oder aktualisiert. Traditionell handelte es sich um abgetrennte Systeme, die gerade aus Sicherheitsgründen nicht vernetzt waren. Durch die Digitalisierung, das sogenannte Internet der Dinge und Modernisierungsmassnahmen werden nun auch diese älteren und schwer zu aktualisierenden Systeme zunehmend vernetzt. Mit dieser Vernetzung und Verschmelzung mit IT-Systemen vergrössert sich die Angriffsfläche. Ehemals sichere Anlagen können so Tür und Tor für Spionage und Sabotage öffnen.

Labore sind für Schwachstellentests notwendig

Die Überprüfung von Schwachstellen ist auf Informationssystemen einfacher umzusetzen, da weniger Schäden verursacht werden können. Denn ICS sind kostspieliger und haben einen weit grösseren Produktlebenszyklus. Um dennoch Schwachstellentests durchführen und Angriffe simulieren zu können, braucht es entsprechende Labors. Auch für Ausbildungs- und Trainingszwecke sind Labore besonders geeignet. Deshalb hat der Cyber-Defence Campus für die Infrastruktur des Hackathons zwei Labore zur Verfügung gestellt, die jeweils ein anderes industrielles Steuerungssystem simulieren. So konnten die Hackathon-Teilnehmende verschiedene Angriffsvektoren auf industrielle Kontrollsysteme identifizieren und selbst Angriffe in den Laboren durchführen.

Beim CYD Campus in Thun wurde dieses Jahr ein neues ICS-Labor in Betrieb genommen. Es handelt sich um eine Darstellung eines Pumpspeicherkraftwerks. Das industrielle Steuerungssystem kontrolliert Funktionen wie die Messung des Wasserstands oder den Betrieb von Ventilen und Pumpen. Den Teilnehmenden gelang es, zum Beispiel den Überlaufsensor so zu manipulieren, dass das Wasser ungehindert austritt, ohne dass das System dies erkennen kann. Verschafft sich ein Angreifer Zugang zu dem Netzwerk, an das solche ICS-Geräte direkt angeschlossen sind, kann er sie leicht angreifen. Dieses Labor wird für die Entwicklung von Talenten und die weitere Forschung im Bereich der Cyberverteidigung von ICS-Systemen genutzt.

Das Krinflab wird für Forschung und Ausbildung genutzt und wurde für den Hackathon von der Hochschule Luzern zur Verfügung gestellt. Das Labor repräsentiert ein fiktives Schweizer Energieunterwerk mit einer Leitstelle und sechs Unterstationen. Es gibt mehrere Angriffsvektoren auf das Energiesystem. Die am häufigsten verwendeten Angriffsvektoren sind die Verbindung zur Unternehmens-IT sowie schlecht abgesicherte Fernwartungszugänge. Aber auch kompromittierte oder infizierte Wartungs- und Testrechner sowie Leitstellen und Schaltanlagen sind mögliche Angriffspunkte. Das Ziel des Labors ist es, sowohl aus Sicht des Angreifers als auch aus Sicht des Verteidigers über das weitere Vorgehen entscheiden zu können. Auf diese Weise können Angriffsstrategien und Abwehrmassnahmen entwickelt werden.

Für die Teilnehmenden und Veranstalter war der diesjährige Hackathon ein voller Erfolg.

Die Teilnehmenden schätzten die Gelegenheit, sich eine ganze Woche lang in die Thematik vertiefen zu können und dabei viel zu lernen. Ausserdem profitierten sie von dem Austausch mit anderen Experten aus verschiedenen Bereichen. Die meisten Teilnehmenden haben einen bedeutenden Hintergrund in der Informationstechnologie, weshalb sie die Chance zur Erweiterung ihrer Kenntnisse in der Welt der operativen Technologie begrüssten.

Der Cyber-Defence Campus wird die Ergebnisse des Hackathons auswerten und bestimmte Aspekte genauer untersuchen. Zudem wird er die gewonnenen Schlussfolgerungen so aufbereiten, dass sie im Departement für Verteidigung, Bevölkerungsschutz und Sport optimal genutzt werden können. Einige Erkenntnisse werden zu einem späteren Zeitpunkt in Form von Publikationen der breiten Öffentlichkeit zugänglich gemacht.