Vom 19. bis 23. September 2022 fand in Thun ein Hackathon mit Partnern aus der Industrie, Akademie und Wirtschaft statt. Der Cyber-Defence (CYD) Campus Hackathon konzentrierte sich auf Angriffe und Verteidigung von industriellen Kontrollsystemen sowie operativen Technologien (OT). Solche Systeme sind unter anderem für die Energie- und Wasserversorgung der Schweiz von kritischer Bedeutung und werden zunehmend mit IT-Systemen vernetzt. Dies macht sie wiederum anfälliger gegenüber Spionage und Sabotage. Weitere Einzelheiten über den Ablauf und das Ziel des Hackathons finden Sie unter folgendem Artikel: CYD Campus Hackathon zu industriellen Kontrollsystemen.

Das Krinflab

Der CYD Campus Hackathon stellte zwei verschiedene Labore zur Verfügung, in denen die Teilnehmenden diverse Angriffsvektoren kennenlernten und Angriffe auf industrielle Steuerungssysteme simulieren konnten. Eines der Labore war das Krinflab der Hochschule Luzern (HSLU). Dieses Labor simuliert ein Schweizer Energieunterwerk. Die häufigsten Angriffsvektoren sind hierbei die Verbindung zum Unternehmens-IT-Netzwerk und schlecht gesicherte Fernwartungszugänge.

Bei näherer Untersuchung des Krinflabs entdeckten die Hackathon Teilnehmenden drei bisher unbekannte, signifikante Sicherheitslücken in einem der Geräte. Diese Entdeckung hätte direkte Auswirkungen auf die Sicherheit der kritischen Infrastruktur der Schweiz haben können, da identische Geräte in Energieunterstationen verwendet werden. Aus Sicherheitsgründen wird dieser Beitrag nicht näher auf die technischen Details der Schwachstellen eingehen. Nichtsdestotrotz, bietet diese Entdeckung eine geeignete Möglichkeit, einen Blick hinter die Kulissen der Schwachstellenforschung zu werfen. Später im Beitrag erfahren Sie, wie die Sicherheitslücken behoben wurden.

Heureka – eine Schwachstelle wurde gefunden!

Im Gegensatz zu Archimedes, der durch die Stadt rannte und laut «Heureka!» rief, als er das archimedische Prinzip entdeckte, wird die Entdeckung einer Sicherheitslücke wesentlich diskreter behandelt. Die Veröffentlichung von Informationen über eine Cybersicherheitsschwachstelle erfolgt nach einem systematischen Verfahren. Somit können Sicherheitslücken möglichst effizient geschlossen werden, ohne dass die Informationen in die falschen Hände geraten.

Typen der Offenlegung

Der erste Schritt bei der Identifizierung von Cybersicherheitsschwachstellen ist die interne Dokumentation. Nachdem die Sicherheitslücken dokumentiert wurden, haben die Entdecker die Wahl zwischen einer «Koordinierten Offenlegung der Schwachstelle» (Coordinated Vulnerability Disclosure) und einer «Vollständigen Offenlegung der Schwachstelle» (Full Vulnerability Disclosure). Bei der koordinierten Offenlegung wird die Schwachstelle zuerst dem Hersteller gemeldet und erst nach einer gemeinsam vereinbarten Frist zur Behebung veröffentlicht. Eine vollständige Offenlegung hingegen impliziert die Veröffentlichungen von sämtlichen Schwachstellen ohne eine Absprache mit dem Hersteller. Um zu verhindern, dass jegliche Informationen an die Öffentlichkeit gelangen, können sich die Hersteller auch für eine private Offenlegung entscheiden. Dies ist normalerweise der Fall, wenn die Schwachstelle vom Hersteller selbst gefunden wird.

Informationsübermittlung

Im Beispiel des CYD Campus Hackthons wurden die Schwachstellen in einem Gerät der industriellen Kontrollsysteme nach der Dokumentation im Rahmen einer koordinierten Offenlegung direkt an den Hersteller gemeldet. Sobald der Kontakt zum Hersteller aufgenommen wurde, musste ein sicheres Medium zur Übermittlung der Details gefunden werden. In diesem Falle wurde eine PGP- verschlüsselte E-Mail verwendet, da das Versenden einer unverschlüsselten E-Mail bei kritischen Sicherheitslücken unnötige Risiken bergen könnte. Der Hersteller des betroffenen Krinflab Gerätes reagierte professionell und effizient auf die Schwachstellenmeldung und entwickelte nach Erhalt der Details umgehend ein Update, um die Sicherheitslücken zu schliessen. Anschliessend wurde das Verfahren zur Behebung der Schwachstelle erneut mit dem CYD Campus Hackathon Team koordiniert.

Wissenstransfer

In einem letzten Schritt wurde der Hersteller gebeten, die gefundenen Schwachstellen mit einer eindeutigen Nummer für bekannte Schwachstellen und Anfälligkeiten (Common Vulnerabilities and Exposure, abgekürzt CVE Nummer) versehen zu lassen. Das internationale CVE-Bezeichnungssystem weist bekannten Schwachstellen eindeutige Nummern zu, um Mehrfachnennungen gleicher Sicherheitslücken zu vermeiden und den Austausch von Informationen zwischen verschiedenen Datenbanken zu erleichtern. Diese Nummern werden nur von einer bestimmten CVE-Nummerierungsbehörde (CVE Numbering Authorities, abgekürzt CNA) vergeben. In der Schweiz wird diese Kontroll- und Nummerierungsfunktion unter anderem durch das Nationale Zentrum für Cybersicherheit (NCSC) wahrgenommen. Der Hersteller zeigte sich kooperativ und arbeitete mit dem NCSC zusammen, um den drei entdeckten Schwachstellen jeweils eine eindeutige CVE-Nummer zuzuweisen:

• CVE-2022-4778
• CVE-2022-4779
• CVE-2022-4780

Nach dem Update ist vor der Einspielung

Trotz der vorbildlichen Reaktion des Herstellers bei der Entwicklung eines Updates und der Offenlegung der Schwachstellen besteht immer noch ein Restrisiko, dass die Sicherheitslücken ausgenutzt werden können. Obwohl der Hersteller umgehend ein Update zur Verfügung gestellt hat, sind die Betreiber kritischer Infrastrukturen möglicherweise nicht bereit, dieses zeitnah einzuspielen, da sie nur über begrenzte Ressourcen (Zeit und Personal) verfügen oder das Risiko eines teilweisen Systemausfalls befürchten. Aus diesem Grund werden die Betreiber die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle gegen das Risiko und die zusätzlichen Ressourcen abwägen, die für die Einspielung des Updates notwendig sind. Entgegen der allgemeinen Empfehlung, die Software regelmässig zu aktualisieren, zeigt die Praxis, dass dies vielfach nicht der Fall ist. Daher ist es essenziell, sich über die neuesten Sicherheitsupdates auf dem Laufenden zu halten, um die Cybersicherheit zu gewährleisten.

Kollaborativer Vorteil

Letztendlich verfolgte der CYD Campus Hackathon jedoch nicht nur das Ziel, Schwachstellen in ICS zu finden, sondern konzentrierte sich ebenfalls auf die Vernetzung von Expertinnen und Experten und jungen Cyber Talenten aus Industrie, Akademie und öffentlicher Verwaltung. Der kollaborative Vorteil bei der Antizipation von Cyber Bedrohungen ist nicht nur ein grundlegendes Merkmal des CYD Campus, sondern auch ein notwendiges Mittel, um in einem ständig sich verändernden Arbeitsumfeld auf dem neuesten Stand zu bleiben. Der CYD Campus Hackathon rund um ICS gilt daher als Vorzeigeprojekt für die zukünftige Zusammenarbeit von Wirtschaft, Wissenschaft und Verwaltung für die Cybersicherheit in der Schweiz.