Ist Abatis HDF ein ausreichender Schutz für Smart Meter und SCADA-Systeme?

Computer: Software & Programmierung Software allgemein
#1

Hallo Zusammen,
Momentan schreibe ich eine Seminararbeit zum Thema „Sicherheit in Smart-Grids“. Auf der Suche nach Sicherheitslösungen für die Smart-Meter und die sont sehr ungeschützten SCADA-Systeme innerhalb eines Smart-Grids bin ich auf die Lösung von Abatis gestoßen: eine Hard Disk Firewall. Aber ist diese Lösung alleine schon genug um die Smart Meter und die Scada Systeme vor Schreibzugriffen von außen zu schützen? Kennt ihr noch andere möglichkeiten diese Systeme zu schützen, ohne den Echtzeitzugriff zu gefährden und die Hardware zu überfordern?

Vielen Dank schon mal im Voraus!

#2

Noch nie vorher davon gehört, und im Web findet man auch nicht gerade viel dazu. Die Begeisterung hält sich auch hier https://community.spiceworks.com/topic/896372-what-do-you-think-about-abatis-hdf-vs-crypto-locker in Grenzen.

So wie ich es verstanden habe, ist das lediglich ein Stück Software (ein Treiber), der sich in die Schreibzugriffe auf Festplatte und Co. einschaltet, und nur zuvor genehmigte Schreibzugriffe gestattet. Klingt nett, hat aber schon vom Prinzip her Probleme:

  1. Wer sagt, dass sich eine Malware zwingend schreibend auf Datenträger verbreiten möchte? Viele Angreifer versuchen gerade dieses zu vermeiden, weil dies Spuren hinterlässt. Eine reine Verbreitung im flüchtigen Speicher hat zwar den Nachteil, dass nach einem Reboot der Schädling zunächst wieder weg ist. Aber der kann ja vorher schon genug Schaden angerichtet haben. Und ist er einmal in den Speicher des Geräts gekommen, kommt er da auch wieder rein, wenn man an der Netzwerksicherheit nichts verbessert hat. D.h. der wird dann statt von der HD nach dem Reboot wieder über das Netz in das Gerät gebracht.

  2. Da es nur Software ist, ist diese natürlich auch mit klassischen Werkzeugen angreifbar. D.h. da merkt jemand, dass er mit einem Schädling, der schreibend auf die Platte will, nicht weiter kommt, und geht dann eben diese Schutzsoftware an, findet irgendeine passende Schwachstelle in der Software, und nutzt die entsprechend aus.

  3. Wenn man die schreibenden Zugriffe in dieser Software frei schalten muss, dann gibt es auch Möglichkeiten diese Freischaltung zu faken.

  4. Die ganzen Werbeaussagen zum Thema: Damit können sie ihr OS ungepatched lassen, können auf Virenscanner verzichten, … sind in höchstem Maße unseriös.

#3

Ich nochmal: Da Du auch nach anderen Möglichkeiten gefragt hast: Sicherheit ist immer ein umfassendes Gesamtkonzept und nie ein einzelnes Stück Software. Wenn man überhaupt in der Lage ist, als böser Bube von außen auf so ein System in der Gestalt zugreifen zu können, dass man dort - abseits der hierfür vorgesehenen Funktionen - etwas auf die Festplatten schreiben kann/könnte, ist schon vorher ganz viel schief gelaufen/fehlt es an grundsätzlichen Schutzmaßnahmen. Klassische Lösungen hierzu sind eine klare Netzwerktrennung über VLANs und am besten auch getrennte Netzwerkadapter, die ausschließlich nur an die Dienste gebunden sind, für die sie verwendet werden. Und in diesen Netzen laufen dann Firewalls, die sofort Alarm schlagen, wenn in so einem Netz auch nur ein Furz auftaucht, der da nach der für dieses Netzwerk festgelegten Definition nichts zu suchen hat.

D.h. so ein System akzeptiert dann nur von genau einem Steuerrechner in seinem Steuerungsnetzwerk irgendetwas.

Der Steuerungsrechner läuft dann zusätzlich in einem anderen Netzwerk, von wo aus der Remote-Zugriff auf ihn wiederum nur im Rahmen einer von einer Firewall gesicherten Definition in der Form möglich ist, dass man nur mit einer bestimmten Fernsteuerungslösung auf ihn zugreifen kann, über die ausschließlich die auf ihm vorinstallierten Administrationsprogramme aufgerufen werden können (die natürlich aus sicherer Quelle installiert sind).

Und von außen kommt man auf dieses „Steuerungsnetzwerk“ eben auch nicht direkt drauf, sondern nur über ein VPN, eine MPLS-Wolke, eine Festverbindung, … die ebenfalls entsprechend abgesichert sind, und über die selbst ein Berechtigter nicht nach Lust und Laune ins Haus gelassen wird, sondern nur nach Voranmeldung oder im Rahmen vereinbarter Wartungsfenster, …