IT-forensische Untersuchung einer Siemens SIMATIC S7-1500

Cornelius Hons

Kurzfassung

In der heutigen Zeit sind Kontrollsysteme für die automatisierte industrielle Produktion immer öfter mit Geräten aus anderen Bereichen des Unternehmens verbunden. Dies hat zur Folge, dass diese sog. "SCADA-Systeme" auch vermehrt Ziele von Angriffen werden. Ein zentraler Teilbereich der SCADA-Systeme ist die speicherprogrammierbare Steuerung (SPS). Diese ist mit Aktoren und Sensoren verbunden und kann von einem PC aus programmiert werden. Da diese Steuerungen oft essenziell für die Produktion in großen, aber auch kleineren Unternehmen sind, gewinnt die forensische Untersuchung von Angriffen auf diese zunehmend an Bedeutung. Diese Arbeit beschäftigt sich mit der forensischen Untersuchung einer S7-1500, genauer gesagt mit einer 1516-3. Hierbei handelt es sich um eine SPS von Siemens. Es wird demzufolge beschrieben, welche Möglichkeiten es gibt, Daten von der SPS, aber auch von dem mit ihr verbunden PC zu sichern, und wie diese Daten auszuwerten sind.

Schlagwörter: SCADA, SPS, Forensik, S7-1500

Abstract

Today an increasing amount of control-systems for automated industrial production are connected to other devices of the companys network. As a consequence these so called SCADA-systems are targets of attacks. A central component of SCADA systems is the programmable logic controller (PLC). The PLC is connected to actors and sensors and can be programmed from a PC. The forensic investigation of those attacks is becoming more important, because these controllers are often essential for the production in larger and smaller companies. This thesis is about the forensic investigation of a S7-1500, specically the Siemens 1516-3 PLC. It will be described how to secure data from the PLC and how to interpret them.

Keywords: SCADA, PLC, forensic, S7-1500

x