Angriff auf KNX Mit dem hier beschriebenen System lassen sich KNX-Systeme angreifen und manipulieren
In Kombination Schutz bietet nur eine Kombination aus Bus-Sicherheit und IT-Sicherheit
Keine 100 % Eine 100 %-ige Sicherheit ist nicht möglich – der Sicherheitslevel muss in jedem Fall individuell bestimmt werden
Sicherheit befindet sich aktuell häufig in der Diskussion. Doch was heißt Sicherheit überhaupt, und was bedeutet das für den Alltag von Elektroinstallateuren, Architekten, Besuchern und Eigentümern moderner Gebäude?
»Sicherheit« ist grundsätzlich ein sehr dehnbarer Begriff und lässt sich nur individuell bestimmen. Man kann den Begriff mit Leitfragen umschreiben wie:
- Vor wem habe ich Angst?
- Was ist es mir wert, mich zu beschützen?
In Zeiten von Geheimdienst- und Abhörskandalen sollte jedem klar sein, dass eine 100 %-ige Sicherheit nicht existiert. Es kann immer nur persönliche, individuelle 100 % geben, die angestrebt werden sollten. So hat zum Beispiel ein durchschnittlicher Autofahrer bei Tempo 300 ein anderes Empfinden für Sicherheit als ein trainierter Rennfahrer.
Diese Problematik der Auslegung findet sich auch in der Welt von Leitsystemen wieder. Allerdings spielt die Sicherheit bei der Planung und Installation derselben häufig keine Rolle. In der Regel werden Funktion und Kosten als primäre Faktoren benannt. Doch was bedeutet das für die Sicherheit?
Mögliche Angriffswege bezeichnet man in der IT auch als »Angriffsvektoren«. In der Gebäudeautomation existieren hiervon grundsätzlich zwei Vektoren: Der Bus und die EDV. Beide werden im Rahmen dieses Artikels behandelt. Im Detail gilt es u. a. die folgenden Punkte zu beachten:
- EDV: Netzarchitektur, Netztrennung, Netzzugangskontrolle, Firewalling, Patchmanagement, Zugriff zur Visualisierung, …
- Bus: Netzarchitektur, Netztrennung, Netzzugangskontrolle, …
Im weiteren Verlauf dieses Artikels werden wir uns allerdings auf die etwas abstraktere Sichtweise einlassen, um die grundsätzlichen Probleme zu Tage zu bringen.
Spagat zwischen Funktion und Sicherheit
Die Sicherheit eines jeden Systems läuft nahezu immer konträr zu dessen Benutzbarkeit. Möchten wir z. B. von jedem Schalter aus jede Lampe steuern können, so kann prinzipiell auch ein Angreifer von diesem Schalter aus jede Lampe steuern. Befinden sich diese Lampen dann auch noch in unterschiedlichen Linien, braucht der Schalter für seine eigentliche Funktion natürlich auch Zugriff auf die anderen Linien, um die dort festgelegten Gruppenadressen erreichen zu können. In diesem Fall könnte ein Angreifer damit auch linienübergreifend agieren, mit aller Tragweite, die diese Möglichkeit birgt.
Sicherheitsfunktionen kaum existent
Video zum Angriff auf KNX-Systeme:
www.youtube.com/watch?v=T0auZ1rZKy4
Das KNX-Angriffswerkzeug:
www.antago.info
Da der KNX-Bus selbst kaum Sicherheitsmechanismen mit sich bringt und die Sicherheitskomponenten aktuell eher Nischenprodukte sind, kann ein Angreifer in der Regel alle zur Verfügung stehenden Funktionen nutzen. Ein Angreifer verbindet sich nun üblicher Weise innerhalb der Linie. An diesem Punkt gehen wir nicht davon aus, dass ein Angreifer Zugriff auf die Hauptlinie hat. Ist der Angreifer nun innerhalb einer Linie, kann er einerseits die volle Kommunikation belauschen und andererseits daran teilnehmen. Die einzelnen Komponenten einer Linie reagieren in der Regel auf die gesamte Kommunikation, welche an die jeweiligen Gruppenadressen gesendet wird. Damit ist ein Angreifer in der Lage, alle Aktoren innerhalb seiner Linie zu kompromittieren. Dies kann z. B. ein komplettes Stockwerk sein oder bei großen Gebäuden Teile eines Stockwerkes.
In der Regel existieren auch Verbindungen zwischen den einzelnen Linien, also zentrale Gruppenadressen, welche beispielsweise bei einem Feuer- oder Einbruchsalarm ausgelöst werden oder einfach nur weil das Gebäude in den Nachtmodus gebracht werden soll. Zusammengefasst soll also der Schalter des Hausmeisters im EG in der Lage sein, das Licht im OG zu schalten. Dazu müssen die Linien über die Linienkoppler zugreifbar gemacht werden. Diese Systemarchitektur erhöht die Tragweite von Angriffen auf Leitsysteme. Die Linienkoppler erlauben also nun, dass linienübergreifend kommuniziert wird.
Sicherlich könnten Sie bei der Installation ein Regelwerk erstellen, welches die Kommunikation, sofern möglich, auf ein Minimum einschränkt. Da solche Regeln aber gewartet werden und der Dynamik eines »Smart Buildings« standhalten müssen, kann ein Angreifer in den meisten Fällen von sehr verwässerten Filtern ausgehen. Doch selbst bei gepflegten und den Angreifer behindernden Filtern auf den Linienkopplern sind die Möglichkeiten eines Angriffes noch lange nicht erschöpft.
Zusätzlich zur eigentlichen Funktion des Gebäudes gibt es weitere Umstände, welche die Filterregeln aufweichen. Kommt beispielsweise eine Visualisierung zum Einsatz, wird diese ebenfalls an der Hauptlinie aufgesetzt. Um Inhalte darstellen zu können, benötigt eine solche Visualisierung auch Zugriff auf die jeweiligen Linien / Unterlinien. Entsprechend müssen die jeweiligen Linienkoppler und deren Regelwerke noch weiter aufgeweicht werden.
Zusammenfassend lässt sich also sagen, dass die Welt des KNX über einiges an Angriffsfläche verfügt und der eigentliche Schutz deshalb fehlt, weil er einen direkten, negativen Einfluss auf die Funktion hat.
Auch auf IT-Sicherheit achten
Doch neben den grundsätzlichen Problemen beim Einsatz Bus-basierter Techniken verfügen Leitsysteme über ein weiteres. Die Anbindung an die klassische EDV verheiratet das Gebäude in kürzester Zeit mit allen gängigen Problemen der klassischen IT-Sicherheit.
Beispielsweise kann ein Angreifer, welcher erfolgreich den Visualisierungs-Server kompromittiert, das Gebäude genau so fernsteuern wie ein Angreifer, welcher den Bus attackiert. Ebenso lassen sich Linien auch mit Netzwerklinienkopplern verbinden. Dies bedeutet dann, dass die linienübergreifende Kommunikation durch das reguläre EDV-Netzwerk geschleust wird.
Es ist keine neue Erkenntnis, dass die EDV auch die Steuerungssysteme bedroht. Doch wie sieht hier der Alltag aus?
Leitsysteme sind oft nur Aufgabe der Elektroinstallateure und Architekten, die EDV schaltet sich hier selten ein. Kommunikation zwischen diesen drei Parteien findet nur dann statt, wenn der Visualisierungs-Server installiert wird. Davor und danach ist oft kaum Kommunikation vorhanden. Diesem Umstand geschuldet müssen Elektroinstallateure oft sehr viel mehr im Bereich der EDV ausführen als eigentlich vorgesehen. Dabei können diese nur selten auf Wissen über IT-Sicherheit zurückgreifen und haben oft unter Zeitdruck nur die Funktion vor Augen. Die EDV selbst hat mit den Leitsystemen häufig kaum etwas zu tun und vergisst nicht selten, was hinter den Maschinen steht und kennt noch dazu meist nicht die eigentliche Tragweite eines Angriffes.
In einer solchen Situation ist somit niemand wirklich für Sicherheit verantwortlich. Entsprechend (un-)sicher sind in Folge die konstruierten Systeme. Denn wenn die Maschine zur Visualisierung in der Lage ist, das Gebäude zu überwachen und zu steuern, ist es auch ein Virus / Wurm, welcher es schafft, diese Maschine zu übernehmen. Gleiches gilt für Angreifer, welche es schaffen, diesen Computer fernzusteuern.
Um Angriffe auf Computer zu vermeiden, würde die EDV in klassischer Weise versuchen, das System so aktuell als möglich zu halten. Doch niemand kann garantieren, dass die auf dem System laufenden Programme zur Verwaltung des Gebäudes eine Aktualisierung des Computers überstehen. Verfügt eine EDV über solche Maschinen, welche nur sehr schwer zu aktualisieren sind, wird üblicherweise versucht, diese Komponenten zu isolieren. Da Isolation aber auch bedeutet, dass der Zugriff und somit die Funktion erschwert wird, stellt dies häufig nur bedingt eine Option dar.
Schlussendlich sind und bleiben Computer angreifbar. Doch indem wir die Systeme zur Steuerung von Leitsystemen verwenden, hat sich die Tragweite solcher Angriff verändert. Das Abschaffen von Computern ist natürlich keine Option. Daher ist es bei solchen Umgebungen umso wichtiger, die Maschinen speziell zu pflegen – angepasst an diese Gefahren.
Dieses Vorhaben kann jedoch theoretisch ein Fass ohne Boden werden. Und damit befinden wir uns in der Welt des Risikomanagements: Es ist beim Schutz von Leitsystemen, EDV und nahezu allem unerlässlich, genau zu wissen, wovor Sie sich schützen wollen und wie viel Aufwand Sie dafür einsetzen. Um dies abschätzen zu können, müssen alle betroffenen Personengruppen einbezogen werden. Speziell heißt dies, dass weder die EDV noch die Elektroinstallateure oder die Eigentümer jeweils einzeln für Sicherheit sorgen können. Sicherheit ist eine Teamleistung, und dies zeigt sich nur selten so deutlich wie bei Leitsystemen.
Wie real sind Angriffe?
Doch ist dies nur eine theoretische Bedrohung? Wie real sind Angriffe auf Gebäudeleitsysteme? Aktuell wird das Thema Sicherheit von Gebäudeleitsystemen heißer diskutiert als je zuvor. Doch was ist bisher tatsächlich passiert? Wirklich bekannt sind noch keine Angriffe auf Gebäudeleitsysteme. Doch liegt dies wahrscheinlich hauptsächlich daran, dass wir solche Angriffe kaum erkennen würden.
Von der Problemklasse vergleichbar sind allerdings Angriffe auf Scada-Systeme, die darüber hinaus über eine größere Tragweite verfügen als Gebäudeleitsysteme. Scada-Systeme (Supervisory Control and Data Acquisition) steuern in der Regel Industrieanlagen, verfügen aber über ähnliche Angriffsvektoren wie Gebäudeleitsysteme (GLS). In der Vergangenheit sind eine Vielzahl von Angriffen auf solche Systeme bekannt geworden, wie auch in der Presse nachzulesen war.
Ein Angriffswerkzeug attackiert KNX
Sicherheitsforscher befassen sich bereits seit einiger Zeit mit dem Thema Gebäudeleitsysteme. Ein prägnantes Beispiel für die Entwicklung in diesem Bereich ist der Prototyp »Erebos«. Erebos ist ein eigenständiges System, welches den KNX-Bus direkt angreift (Bild 1).
Es vereint die gängigen Funktionen von etablierten Programmen zum Steuern und Verwalten von KNX-Systemen, allerdings erweitert um eine Vielzahl an Programmen zum Angriff. Erebos ist bis zu einem Tag stromautark zu betreiben und erlaubt es dem Angreifer, per WLAN oder UTMS bequem Gebäude fernzusteuern. Erebos als Werkzeug besteht aus gängigen Artikeln der Elektrotechnik und lässt sich mit geringen finanziellen Mitteln nachempfinden.
Das System ist so aufgebaut, dass es zunächst überwacht, welche Kommunikation auf dem Bus stattfindet. Dies dient z. B. zum Umgehen von Filterregeln auf den Kopplern. Hat Erebos die Struktur passiv untersucht, ist das Werkzeug in der Lage, aktiv die einzelnen Linien zu untersuchen. Dies geschieht nicht – wie es einige Programme versuchen – über das wahllose Anfragen von physikalischen Adressen, sondern basiert darauf, dass die Linien zielgerichtet untersucht werden und somit auch zeitnah eine Inventarisierung möglich ist.
Zusätzlich zum reinen Abfragen der physikalischen Adressen ist Erebos in der Lage, die Zugehörigkeit der physikalischen Adresse einerseits über die vom Hersteller mitgegebenen Identifikationsmerkmale zu bestimmen, andererseits auch anhand der Applikationsprogramme die Funktion abzuleiten. Existiert nach einer bestimmten Zeit die Übersicht über die Komponenten und deren Zusammenhänge, bietet das Angriffssystem die Möglichkeit, über einfache Webapplikationen diese Informationen abzurufen. Neben dem eigentlichen Abrufen der Information kann Erebos auch aktiv Signale in den Bus senden. Das passiert dann wahlweise mit beliebiger physikalischer, an die Linie angepasster oder spezieller Adresse.
Die Funktion des Identitätsdiebstahls auf dem Bus kommt beispielsweise zum Tragen, wenn es um zertifizierte Komponenten geht. Diese dürfen Seitens des Bus keine oder nur stark gefilterte »scharf / unscharf«-Signale annehmen. Oftmals wird das dann durch Filterregeln auf den Linienkopplern realisiert, welche man durch entsprechende Quelladressen umgehen kann, ohne den eigentlichen Koppler anzugreifen.
Neben den Funktionen An / Aus bietet die Webseite dieses Angriffs-Werkzeuges auch an, die Gruppenadressen mit einem »Block off / on« zu belegen. Dabei sendet Erebos die Gruppennachrichten so häufig, dass der eigentliche Nutzer den von Erebos eingestellten Zustand nicht mehr überlagern kann. Gleiches gilt für den Modus »Blink«, welcher Gebäude wie Weihnachtsbäume blinken lassen kann.
Solche Funktionen gefährden allerdings die Verfügbarkeit des Systems, da der Bus bekanntermaßen nur eine endliche Anzahl von Paketen verarbeiten kann. Um auch diesem Problem entgegen zu wirken, lassen sich die Pakete wahlweise als Systemnachricht und somit höher priorisiert versenden. Diese Methode erlaubt es, die reine Anzahl an Paketen zu reduzieren, da die Systemkommandos ohnehin höher priorisiert und auch von den Kopplern nicht / kaum gefiltert werden.
Um via Erebos ein Gebäude zu attackieren, muss der Angreifer nicht dauerhaft vor Ort sein. Über die Funktion »Command and Control« lässt sich das System auch über im Internet stehende Server fernsteuern. So kann man die installierten Erebos-Instanzen zentral verwalten. Das so genannte »Erebos Control Center« (ECC) ermöglicht die zentrale Verwaltung, Statusabfrage und Manipulation von beliebig vielen Erebos und damit Gebäuden und Steuerungen.
Im Falle der Entdeckung des Angriffswerkzeugs besteht eine große Chance, dass die Urheber im Dunkeln bleiben. Denn Erebos verfügt über die entsprechende »Anti-Forensik«. Die eigentliche IT-Forensik versucht, Tathergänge zu rekonstruieren, wohingegen die Anti-Forensik darauf aus ist, genau dies unmöglich zu machen. Somit verfügt Erebos, neben der zentralen Verwaltung und allen Möglichkeiten zum Angriff auf Gebäude, auch über die Funktion, dass auf die eigentlichen Daten des Angreifers nicht zugegriffen werden kann. Selbst wenn das Opfer die Hardware entdeckt, sind keine Rückschlüsse auf den Urheber möglich (im Rahmen von hohen bis sehr hohen Aufwänden).
So ist es in letzter Konsequenz mit dem Angriffssystem möglich, mit einem Handy Alarmanlagen auszuschalten oder Schranken öffnen zu lassen und zwar industriell aufgebaut mit zentraler Steuerung und dem Schutz vor forensischen Werkzeugen.
Das vorgestellte System macht offensichtlich, dass Angriffe auf den Bus selbst keine Frage der Zeit mehr sind, sondern Realität. Es handelt sich bei weitem um keine akademische Idee mehr, sondern Erebos beweist, dass Angriffe auf KNX-basierte Leitsysteme im großen Stil möglich sind. Getestet, entwickelt und finalisiert wurde Erebos unter Zuhilfenahme umfangreicher Demo-Umgebungen (Bild 2). Es hat bis Dato bereits regen Einsatz in echten Gebäuden gefunden, um die Angreifbarkeit und Schutzmaßnahmen aufzuzeigen.
Leitsysteme schützen
Gebäudeleitsysteme und deren Sicherheit sind keine Frage der Zukunft mehr, sondern ein akutes Thema der IT und physischen Sicherheit. Der Schutz von Leitsystemen vor den beschriebenen Problemen ist nicht pauschal zu leisten. Grundlegend baut ein »sicherer« Betrieb von Leitsystemen auf drei Säulen auf:
- Risikomanagement
- Sicherheit der EDV
- Sicherheit des Bus
Ist nicht klar, in welche Richtung Sie sich mit der Sicherheit des gesamten Leitsystems bewegen wollen oder müssen, werden Sie nicht ankommen. Sobald Sie angemessene, realistische Ziele anstreben, bedarf es dem Zusammenspiel aus EDV und Gebäudetechnik, um gemeinsam sicherer zu werden.
Das für diese Säulen nötige Know-how vermittelt u.a. eine Schulung der Antago GmbH: »Physische Sicherheit: Mehr Sicherheit für EIB / KNX«.