TroutTrout
Back to Blog
ModbusDNP3Network Visibility

So erkennen Sie Anomalien im Modbus- und DNP3-Datenverkehr

Trout Team8 min read

Modbus und DNP3: Protokolle verstehen

In industriellen Steuerungssystemen (ICS) übertragen die Protokolle Modbus und DNP3 die Befehle, die physische Prozesse steuern. Ursprünglich für die Kommunikation zwischen elektronischen Geräten in SCADA-Systemen (Supervisory Control and Data Acquisition) entwickelt, bilden diese Protokolle die Grundlage moderner industrieller Umgebungen. Ihre veraltete Architektur macht sie jedoch anfällig für verschiedene Sicherheitsbedrohungen. Wie das NIST SP 800-82 Rev. 3, der Leitfaden zur Sicherheit von Betriebstechnologie, feststellt, wurden viele OT-Protokolle auf Zuverlässigkeit und Determinismus in vertrauenswürdigen Umgebungen ausgelegt, lange bevor netzwerkbasierte Angriffe eine realistische Sorge waren. Die Erkennung von Anomalien im Modbus- und DNP3-Datenverkehr ist daher unerlässlich, um die Integrität und Sicherheit industrieller Netzwerke zu gewährleisten.

Was ist Modbus?

Modbus ist ein Kommunikationsprotokoll, das 1979 von Modicon, heute Schneider Electric, für den Einsatz mit programmierbaren Logiksteuerungen (PLCs) entwickelt wurde. Es ist ein De-facto-Standard, der branchenübergreifend zur Kommunikation zwischen Geräten eingesetzt wird. Modbus arbeitet nach einer Master-Slave- bzw. Client-Server-Architektur, bei der ein Master-Gerät mehrere Slave-Geräte nach Daten abfragt.

Das Verhalten des Protokolls ist vollständig in der von der Modbus Organization veröffentlichten Modbus Application Protocol Specification beschrieben. Jede Anfrage trägt einen Funktionscode, der dem Slave mitteilt, welche Operation auszuführen ist: Spulen lesen (0x01), Halteregister lesen (0x03), ein einzelnes Register schreiben (0x06), mehrere Register schreiben (0x10) und so weiter. Entscheidend ist: Die Spezifikation definiert keine Authentifizierung, keine Verschlüsselung und keine Integritätsprüfung über eine einfache Prüfsumme hinaus. Jedes Gerät, das einen Modbus-Endpunkt auf TCP-Port 502 erreichen kann, darf jeden beliebigen Funktionscode absetzen. Genau diese Designentscheidung erklärt, warum die Anomalieerkennung auf Verkehrsebene so wichtig ist: Das Netzwerk ist der einzige Ort, an dem die Absicht sichtbar wird.

Was ist DNP3?

DNP3 (Distributed Network Protocol) wurde in den 1990er Jahren für die Strom- und Wasserversorgungsbranche entwickelt. Es ist ausgereifter als Modbus und bietet Funktionen wie zeitgestempelte Daten und Ereignisprotokollierung. DNP3 ist für den Betrieb über große Entfernungen und unter schwierigen Bedingungen ausgelegt, was es in Fernüberwachungsszenarien weit verbreitet macht.

DNP3 ist formell als IEEE 1815, der Standard für die Kommunikation in elektrischen Energiesystemen, normiert. Anders als Modbus organisiert DNP3 Daten in Objekten und Punkten (Binäreingänge, Analogeingänge, Zähler, Steuerrelais-Ausgabeblöcke) und unterstützt unaufgeforderte Antworten, bei denen eine Außenstation Ereignisse an den Master sendet, ohne abgefragt zu werden. Der Standard definiert außerdem DNP3 Secure Authentication (SAv5), die dem Basisprotokoll eine Challenge-Response-Authentifizierung hinzufügt. Wo sie nicht eingesetzt wird, gilt dieselbe grundlegende Exposition wie bei Modbus: Eine erreichbare Außenstation führt jeden korrekt geformten Befehl aus.

Die Bedeutung von Netzwerktransparenz

Für IT-Sicherheitsexperten und Compliance-Verantwortliche ist vollständige Netzwerktransparenz die Grundlage eines wirksamen Sicherheitsmanagements. Ohne Transparenz gleicht die Erkennung von Anomalien im Modbus- und DNP3-Datenverkehr der Suche nach der Nadel im Heuhaufen. Fehlende Transparenz kann zu unentdeckten Eindringversuchen und unbefugter Datenmanipulation führen und stellt erhebliche Risiken für Sicherheit und Compliance dar.

Wesentliche Vorteile von Netzwerktransparenz

  • Verbesserte Sicherheitslage: Unerwartete Verhaltensweisen oder Datenverkehrsmuster, die auf einen Sicherheitsvorfall hinweisen könnten, werden frühzeitig erkannt.
  • Verbesserte Compliance: Einhaltung regulatorischer Anforderungen wie NIST 800-171, CMMC und NIS2, die eine strenge Überwachung der Netzwerkaktivitäten vorschreiben.
  • Betriebliche Effizienz: Reduzierung von Ausfallzeiten durch schnelle Identifikation und Behebung von Netzwerkproblemen.

Warum passive Überwachung zu OT passt

OT-Netzwerke priorisieren Verfügbarkeit und Determinismus über fast alles andere. Aktives Scannen oder Inline-Sondierung kann fragile Geräte zum Absturz bringen oder eine Latenz einführen, die einen Regelkreis stört. Aus diesem Grund empfiehlt NIST SP 800-82 in vielen OT-Umgebungen passive Verfahren. Die passive Überwachung beobachtet eine Kopie des Datenverkehrs über einen SPAN-Port oder einen Netzwerk-TAP, sodass das Überwachungssystem niemals auch nur ein einziges Paket in das Steuerungsnetzwerk einschleust. Der Detektor sieht jeden Modbus- und DNP3-Austausch, erstellt ein Inventar der Geräte und Verbindungen und erlernt das Normalverhalten, ohne den Prozess jemals zu berühren. Dieser Ansatz macht eine kontinuierliche Anomalieerkennung im Produktivbetrieb sicher ausführbar.

Eine Basislinie des Normalverkehrs erstellen

Die Anomalieerkennung ist nur so gut wie die Definition von „normal", gegen die sie arbeitet. OT-Datenverkehr eignet sich besonders gut für die Erstellung einer Basislinie, weil er sich wiederholt und vorhersehbar ist: Ein Master fragt Tag für Tag dieselben Register auf denselben Außenstationen in derselben Taktung ab. Bevor Sie überhaupt einen Alarm auslösen, erfassen Sie ein repräsentatives Verkehrsfenster und charakterisieren Sie es entlang mehrerer Dimensionen:

  • Gerätepaare: welche Master mit welchen Slaves oder Außenstationen kommunizieren und über welche Ports.
  • Funktionscodes und Objekte: welche Modbus-Funktionscodes und welche DNP3-Objekte jedes Gerätepaar tatsächlich verwendet.
  • Register- und Punktbereiche: die konkreten Adressbereiche, die gelesen und geschrieben werden, wobei schreibgeschützte Telemetrie von beschreibbaren Sollwerten unterschieden wird.
  • Zeitverhalten: Abfrageintervalle, Anfrageraten und typische Antwortlatenz.

Sobald dieses Profil stabil ist, wird es zur Referenz, mit der jeder neue Austausch verglichen wird. Alles außerhalb der erlernten Hülle ist eine potenzielle Anomalie. Planen Sie ein, die Basislinie zu aktualisieren, wenn sich legitime Abläufe weiterentwickeln, denn eine veraltete Basislinie ist die häufigste Quelle für Fehlalarme.

Anomalieerkennung im Modbus-Datenverkehr

Aufgrund seiner Einfachheit verfügt Modbus über keine integrierten Sicherheitsfunktionen und ist damit ein attraktives Angriffsziel. Die Erkennung von Anomalien erfordert eine Kombination aus protokollspezifischem Wissen und fortschrittlichen Überwachungswerkzeugen.

Häufige Anomalien im Modbus-Datenverkehr

  1. Unbefugter Zugriff: Zugriffe von nicht erkannten IP-Adressen oder Geräten oder jeder Client, der einen Endpunkt erreicht, mit dem er zuvor nie kommuniziert hat.
  2. Unerwartete Funktionscodes: Ein Gerät, das bislang ausschließlich Lese-Funktionscodes abgesetzt hat, sendet plötzlich Schreibbefehle (0x05, 0x06, 0x0F, 0x10), oder es treten Diagnose- und Programmier-Funktionscodes auf, die im Normalbetrieb nichts zu suchen haben.
  3. Schreibzugriffe außerhalb des Bereichs: Schreibzugriffe auf Registeradressen außerhalb des in der Basislinie erfassten Schreibbereichs oder Schreibzugriffe, die einen Sollwert auf einen physikalisch unplausiblen Wert treiben.
  4. Abweichungen im Zeitverhalten: Abfragen, die deutlich schneller oder langsamer als die etablierte Taktung erfolgen, häufig ein Zeichen für Scanning, Brute-Force oder einen Denial-of-Service-Versuch.
  5. Datenmanipulation: Unerwartete Änderungen von Datenwerten, die auf einen Versuch hinweisen können, das Systemverhalten zu verändern.

Techniken zur Anomalieerkennung

  • Deep Packet Inspection (DPI): Zerlegung jedes Frames bis auf den Funktionscode und die Register-Nutzlast, sodass die Absicht und nicht nur die Konnektivität gegen die Basislinie bewertet wird.
  • Verhaltensanalyse: Vergleich des Live-Datenverkehrs mit der erlernten Basislinie aus Gerätepaaren, Funktionscodes, Adressbereichen und Zeitverhalten sowie Kennzeichnung von Abweichungen.
  • Zulassungsliste: Erlauben ausschließlich der spezifischen Funktionscodes und Registerbereiche, die jedes Gerätepaar bekanntermaßen verwendet, wobei alles andere als verdächtig behandelt wird.

Anomalieerkennung im DNP3-Datenverkehr

Obwohl DNP3 gegenüber Modbus einige Sicherheitsverbesserungen wie Authentifizierungsmechanismen bietet, ist es nicht immun gegen Anomalien und Angriffe. Da DNP3 objektorientiert ist und unaufgeforderte Antworten unterstützt, konzentriert sich die Anomalieerkennung darauf, welche Objekte und Funktionscodes auftreten und ob sie zur normalen Rolle der Außenstation passen.

Häufige Anomalien im DNP3-Datenverkehr

  1. Unbefugte Steuerbefehle: Operate- oder Direct-Operate-Anfragen an Steuerrelais-Ausgabeblöcke von einem Master oder an einen Punkt, der sie nie abgesetzt oder empfangen hat, der klassische Vorbote einer unbefugten Schalthandlung.
  2. Unerwartete Objektvariationen: Anfragen nach Objekten oder Punktbereichen außerhalb des Basislinienprofils der Außenstation, was auf eine Erkundung der Datenkarte des Geräts hindeuten kann.
  3. Replay-Angriffe: Erneutes Übertragen zuvor aufgezeichneter gültiger Datenpakete, um den Normalbetrieb zu stören, erkennbar an Inkonsistenzen bei Zeitstempeln und Sequenznummern.
  4. Dateninjektion: Einschleusen falscher Telemetrie oder Ereignisse in den Kommunikationsstrom, um Bediener in die Irre zu führen oder automatisierte Reaktionen auszulösen.
  5. Missbrauch von Neustart und Konfiguration: Funktionscodes für Kaltstart, Warmstart oder Konfiguration, die außerhalb eines geplanten Wartungsfensters auftreten.

Techniken zur Anomalieerkennung

  • Objekt- und Funktionscode-Analyse: Inspektion von DNP3-Objekten, -Variationen und -Funktionscodes gegen das erlernte Profil der Außenstation, wie in IEEE 1815 definiert.
  • Zeitstempel- und Sequenzprüfung: Validierung der Integrität zeitgestempelter Daten und der Sequenznummern, um Replay und Injektion aufzudecken.
  • Sichere Authentifizierung: Implementierung der DNP3 Secure Authentication (SAv5), damit kritische Steuerbefehle einen kryptografischen Herkunftsnachweis tragen.

Praktische Maßnahmen zur Verbesserung der Sicherheit

Zur Verbesserung der Sicherheit von Modbus- und DNP3-Datenverkehr empfehlen sich folgende Best Practices, die sich an den CISA Recommended Practices for Industrial Control Systems orientieren:

  1. Netzwerksegmentierung implementieren: Segmentierung einsetzen, um kritische Netzwerkbereiche zu isolieren, potenzielle Angriffsflächen zu begrenzen und natürliche Engstellen zu schaffen, an denen Modbus- und DNP3-Datenverkehr inspiziert werden kann.
  2. Passiv an Segmentgrenzen überwachen: Anomalieerkennung an einem TAP oder SPAN-Port einsetzen, sodass die Überwachung den Prozess nie stört, und Sensoren dort konzentrieren, wo Datenverkehr zwischen Zonen wechselt.
  3. Erst Basislinie, dann Zulassungsliste: Normale Funktionscodes, Objekte und Adressbereiche pro Gerätepaar erlernen und anschließend bei allem alarmieren, was außerhalb dieser Hülle liegt.
  4. Geräte regelmäßig aktualisieren und patchen: Ein aktuelles Inventar aller vernetzten Geräte pflegen und sicherstellen, dass diese gegen bekannte Schwachstellen gepatcht werden, wobei das passive Inventar als verlässliche Quelle dient.
  5. Regelmäßige Sicherheitsaudits durchführen: Periodische Audits anhand von Frameworks wie NIST 800-171 und NIST SP 800-82 durchführen, um Compliance sicherzustellen und potenzielle Sicherheitslücken aufzudecken.

Fazit

Die Erkennung von Anomalien im Modbus- und DNP3-Datenverkehr erfordert protokollspezifische Überwachung: Deep Packet Inspection zum Auslesen von Funktionscodes, Objekten und Registerwerten, Baselining zur Ermittlung normaler Befehlsmuster und normalen Zeitverhaltens sowie Zulassungslisten zur Blockierung unerwarteter Befehle und unbefugter Schreibzugriffe. Führen Sie sie passiv über einen TAP oder SPAN-Port aus, sodass die Überwachung den Prozess nie stört, und setzen Sie sie an Segmentgrenzen ein, an denen Modbus- und DNP3-Datenverkehr zwischen Zonen wechselt. Lösen Sie bei Abweichungen von der Basislinie Alarm aus, untersuchen Sie jeden Alarm und passen Sie Ihre Basislinien an, wenn sich betriebliche Muster ändern.

Other Articles

OPC UAOT security

OPC UA Security: What Every OT Engineer Should Know

OPC UA ships with a layered security model that most deployments leave half-configured. This primer walks through the SecureChannel, message security modes, security policies, and the difference between application and user authentication, so you can tell a hardened endpoint from an open door.

Modbus TCPICS security

How to Secure Modbus TCP: Best Practices for Modern ICS Networks

Modbus TCP has no built-in authentication or encryption. Here's how to lock it down without breaking your process.

AuthenticationRemote Access

MFA for Remote Access: VPNs, RDP, and Cloud Portals

With remote access central to modern business operations, securing this access is critical. Whether navigating the complexities of VPNs, Remote Desktop Protocol (RDP), or cloud portals, MFA closes the most common entry points for breaches.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles