ERP-Sicherheitslecks gefährden Öl-Förderung

Software-Systeme, die in der Öl- und Gas-Industrie eingesetzt werden, könnten über Sicherheitslecks in Standard-Software wie SAP oder Oracle manipuliert, überwacht oder sogar zerstört werden, warnen die beiden ERP-Scan-Sicherheitsexperten Andrew Polyakov und Mathieu Geli auf der Sicherheitskonferenz BlackHat. So könnten beispielsweise SAP-Plattformen verwendet werden, um damit auf industrielle Kontroll-Systeme zuzugreifen. Theoretisch könnten Angreifer 75 Prozent der globalen Öl-Förderung unter ihre Kontrolle bringen, wie sie in einer Präsentation darlegen.

In einer Demo zeigen Sicherheitsexperten von ERPScan die Manipulation einer Öl-Anlage. (Bild: ERPScan)

In ihrer Präsentation zeigten die beiden Sicherheits-Experten, wie man über ERP-Lösungen auf industrielle Steuerungssysteme zugreifen kann. Im Produktionsbereich könnten etwa über die Steuerung von Brennkammer-Systemen sehr einfach Explosionen hervorgerufen werden, in dem einfach einige Werte verändert werden.

“Die Idee ist einfach. Wir wollen zeigen, dass geschäftskritische Business-Anwendungen häufig mit einander verbunden sind und dabei verschiedene Integrationstechnologien verwenden”, so Alexander Polyakov, CTO von ERPScan. Dabei würden Unternehmensanwendungen im Unternehmensnetzwerk oder auch im Internet mit Geräten im Operational Technology Network (OT) verbunden. Und die Zahl dieser Verbindungen steige, weil die Integration zwischen IT und operationalen Bereichen immer stärker werde. So müssten beispielsweise Geräte, die Daten aus geförderten Öl-Volumen erheben, in das Unternehmensnetzwerk geliefert werden, um aufgrund der Daten Management-Entscheidungen und langfristige Strategien abzuleiten.

Komplexe Systeme mit vielen Querverbindungen bieten zahlreiche Angriffsmöglichkeiten. (Bild: ERPScan)

“Daher”, so Polyakov weiter, “sind – auch wenn eine Firewall zwischen IT und OT besteht, einige Anwendungen immer noch verbunden und diese Verbindungen sind häufig unsicher. Daher ist es möglich, eine Attacke durchzuführen und von einem IT-Netzwerk oder dem Internet in das OT-Netzerk, den SCADA-Systemen, OPC Servern, den Field-Devices und den Smart Meters zuzugreifen.”

Und immer wieder finden Sicherheitsexperten für ERP-Systeme Lecks in den Anwendungen von SAP und Oracle. Im aktuellen Fall haben die Experten Lecks inm SAP xMII System (Manufacturing Integration and Intelligence), SAP Plant Connectivity, SAP HANA, Oracle E-Business Suite und bei einigen verbreiteten OPC Servern wie Matricon OPC gefunden (Open Platform Communications). Die meisten Lecks entstehen durch unsichere Konfigurationen. Und darüber können Angreifer mehrstufige Attacken auf die empfindlichen Systeme der Öl- und Gas-Industrie durchführen.

Die Förderung und Raffinierung von Öl und Gas zählt zu den komplexesten Industrieprozessen. An vielen Stellen im Produktions- oder Weiterverarbeitungsprozess gibt es kritische Bereiche wie Pumpenkontrolle, Ventilation, Brenner-Management, Kompression und Raffinierung. Angreifer könnten in diese Prozesse eingreifen und damit ganze Anlagen lahm legen oder zerstören, die Qualität der Produkte verändern, Rohstoffe entwenden oder Sicherheits- oder Compliance-Regeln aushebeln. Und das sei inzwischen auch über das Internet möglich, wie die Sicherheitsexperten warnen. Auch wenn Hacker nicht bis auf die physischen Systeme zugreifen können, so ließen sich doch zum Beispiel Daten über die Fördermenge manipulieren. Damit könnten zum Beispiel an den Handelsplätzen Preismanipulationen erreicht werden.

Nachdem SAP-Anwendungen bei 85 Prozent der 2000 wichtigsten Öl- und Gas-Unternehmen im Einsatz sind, kommt den Produkten des Herstellers natürlich in diese Industrie eine besondere Rolle zu. SAP begleite laut eigenen Angaben mit den Software-Produkten die Förderung von 70 Millionen Barrel Öl täglich. Laut ERP-Scan wurden bereits über 3500 Lecks in SAP-Produkten geschlossen und viele dieser Lecks würden unautorisierten Zugriff auf die Systeme erlauben.

Betreibern solcher Infrastrukturen raten die beiden, die ERP-Systeme besonders zu schützen und Verbindungen zu Steuerungessystemen zu Prüfen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

5 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

6 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

23 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

23 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago