Hacker-Laptop

Etliche Industrieanlagen machen sich kaum Gedanken über ihre IT-Sicherheit. Mit speziellen Suchmaschinen lässt sich gezielt nach virtuellen Konsolen oder Steuereinheiten von Industrieanlagen suchen. Während bei manchen nur die Prozesse abgelesen werden können, ist bei anderen sogar eine Steuerung möglich.


Nach Recherchen der Süddeutschen Zeitung sind viele virtuelle Konsolen von Industrieanlagen schlecht vor externen Eingriffen geschützt. Als die SZ dem technischen Leiter eines Verbands von Wasser- und Abwasserversorgern in Thüringen und dem Meister im Bereich Abwasserversorgung zeig wie einfach ihre virtuelle Konsole online abzurufen ist, ist der Meister entsetzt: „Ja, ja, das ist es! Das gibt's doch gar nicht“. Auf dem Laptop ist die virtuelle Konsole von einer der 24 Kläranlagen zu sehen, die mit kleinen Pfeilen zeigt wie die Abwässer durch die Unterschiedlichen Stufen der Kläranlage fließen. Informationen wie Wasserstand und mögliche Störfälle sind ebenfalls abzulesen.

Vor zwei Jahren wurde die Konsole für die betroffene Anlage für den Fernzugriff umgerüstet. Der zuständige Elektriker machte sogar eine extra Schulung. „Wir wollten durch den Online-Zugriff unsere Arbeit vereinfachen und Arbeitsstunden sparen“, erklärt der Meister gegenüber SZ und ist sichtlich schockiert, dass die Steuerung so einfach über das Internet für jedermann zu erreichen ist. Eine weitere Anlage von diesem Wasserverband ist ohne Passwort zugänglich. Glücklicherweise sind keine Steuerungsfunktionen zugänglich, es können nur die aktuellen Daten abgerufen werden. Letztlich war dies nicht aus sicherheitstechnischen Gründen erwogen worden, sondern aus einem aus einem anderen Grund. „Damit Kollegen aus der Ferne nicht einfach etwas ändern oder beim Wischen aus Versehen wo drauf kommen", so der technische Leiter.

Also nochmal Glück im Unglück sozusagen, dass die Systeme so durch fremde Eingriffe unbewusst geschützt wurden. Nicht nur die Beiden des einen Verbands von Wasser- und Abwasserversorgern in Thüringen sind beunruhigt, sondern auch der Hersteller der Übertragungstechnik EES. „Es geht auch um Trinkwasser, da geht viel über uns. Besonders im Süden Deutschlands“, sagt ein Vertreter des Unternehmens gegenüber SZ und will nicht ausschließen, dass sich andere Anlagen vielleicht sogar von außen steuern lassen. EES hat die Datenverbindung zwischen dem System und den Mitarbeitern der Kläranlage an einen Dritten ausgelagert. Es wurde entsprechend sofort reagiert und zwei Tage später ist das System Passwortgeschützt.

Gefunden werden können solche SPS (Speicherprogrammierbare Steuerung) und virtuellen Konsolen mit spezialisierten Suchmaschinen wie Shodan. Dort tauchen solche Systeme auf, bei denen auch teilweise de ein direktes Eingreifen möglich ist. Die SZ hat über mehrere Monate in der Suchmaschine recherchiert und oft erkennen müssen, wie grundlegend unsicher die moderne, digitale Vernetzung nicht nur im Industriebereich ist.

Eine Erklärung dafür hat Chris Sistrunk, der sich für das IT-Sicherheitsunternehmen Fireeye um gefährdete Infrastrukturen kümmert. „Kontrollsysteme waren jahrelang nicht ans Netz angebunden. Das passiert nun - und verunsichert die Menschen", so Sistruk gegenüber SZ. Als der Trend zu Steuersystemen übers Internet über eine massive Vernetzung in vielen Bereichen begann, wurde dem Thema Sicherheit wenig Beachtung geschenkt. Das macht sich jetzt umso deutlicher bemerkbar. Laut Sistruk sind Suchmaschinen wie Shodan Tools für Sicherheitsexperten eines Unternehmens, die offene Stellen ihrer Firma entdecken möchten. Gleichzeitig nutzen dieses Werkzeug aber auch Hacker. Sie suchen gezielt nach Herstellern und arbeiten mit den Informationen weiter. Einige Grundkenntnisse sind daher auf jeden Fall nötig, denn konkret nach einem Atomkraftwerk oder einem Wasserverband als Angriffsziel kann nicht gesucht werden. Doch was für den einen nach einem Buch mit sieben Siegeln aussehen mag, ist gerade für die jüngere Generation eine Leichtigkeit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher allen Betreibern ihren Zugang über das Internet abzusichern. Egal ob nur Informationen abgerufen werden können und eine Steuerung ausgeschlossen ist. „In den Anlagen selbst sind Sicherheitsvorkehrungen, die einen Schaden, insbesondere von Menschen, abhalten sollen. Diese Vorkehrungen können nicht über die Bedienterminals beeinflusst werden.“, erklärt ein Sprecher des BSI. Ob solche Systeme manuell in einem Werk über einen roten Knopf gesteuert oder automatisch eingreifen ist nebensächlich. Hauptsache Anlagen können bei Gefahr für Menschen abgeschaltet werden bzw. werden heruntergefahren. Solche Systeme „sollten nicht über das Internet erreichbar sein“ sagt das BSI und hat bisher auch noch keine entdecken können.

Völlig unbekannt ist die Problematik nicht. Auch gibt es öfter Angriffe auf Anlagen als gemeinhin bekannt ist. Bereits vor einem Jahr berichtete der Spiegel über eine betroffene Keksfabrik. Noch vor dem Angriff war für die Konstrukteure der kanadischen Keksfabrik die größte Sorge einen „versalzenen Keksteig“ zu bekommen. Der größte mögliche Schaden war in ihren Augen eine verlorene Tagesproduktion an Keksen. Weit gefehlt, sollte sich herausstellen.

Als Unbekannte in das System eindrangen, haben die Angreifer eine Software zur Analyse eingespeist. Diese beeinflusste den Steuerungscomputer der Keksfabrik und die SPS reagierte chaotisch. Es kam zum Zusammenbruch der Produktion und der vorproduzierte Teig steckte in den Leitungen der Fabrik. Dieser wurde dann so hart, dass die Rohre herausgeschnitten werden mussten. Ob das in der Absicht der Angreifer lag oder ein unglücklicher Nebeneffekt der Spionage mit der Analyse-Software, konnte der auf Industriesteuerungsanlagen spezialisierte IT-Experte Jason Larsen nicht sagen. Er geht jedoch davon aus, dass Millionen von Dollar an Erpressungsgelder an Cyberkriminelle geflossen sind, die damit drohen die Anlagen stillzulegen.

Solche Geschichten dringen selten an die Öffentlichkeit. Dies wird in der Regel im stillen und im kleinen Kreis diskutiert, wenn überhaupt. Die Interessen der Angreifer können unterschiedlich sein. So wurden Produktionsnetzwerke von Öl- und Gasunternehmen infiltriert und Informationen über den Stand der jeweiligen Vorräte und Produktion gesammelt. Anhand der Veränderungen haben die Spione bzw. deren Auftraggeber einen entscheidenden Vorteil über die Entwicklung der Rohstoffpreise gehabt und als Spekulanten Profite gemacht.

In die Öffentlichkeit gelangen solche Attacken laut Jeff Moss, Gründer der Hackerkonferenzen Black Hat und Def Con sowie Berater der US-Heimatschutzbehörde, weil die Unternehmen einen Imageschaden vermeiden wollen. „Die gehen nur dann an die Öffentlichkeit, wenn sich der Ausfall nicht verbergen lässt - weil es beispielsweise eine Explosion gab“, so Moss. Immer noch haben IT-Experten und Produktionsfachleute bei ihren Risikoanalysen hauptsächlich Fehlfunktionen im Fokus und unterschätzen die Gefahr von Manipulationen von außen. Meist haben Angreifer auch nicht die Absicht Schaden anzurichten. Mit Drohung einer Stilllegung und Erpressung oder Sammeln von Informationen und Industriespionage lassen sich große Summen erzielen.

Auf der Sicherheitskonferenz Black Hat 2015 demonstrierten Johannes Klick und Stephan Lau von der Freien Universität Berlin wie sorglos Unternehmen bei dem Thema Sicherheit für ihre Systeme sind. Die beiden konnten darlegen, dass 28.000 SPS-Systeme für jedermann völlig ungesichert über das Internet abrufbar waren. Sie zeigten zudem ein Programm, mit dem sie eine eigene Software in diese Systeme einschleusen konnten. Für Cyberkriminelle wäre es ein Kinderspiel die Systeme zu steuern und komplette Anlagen zu manipulieren. Solche sogenannten SPS-Rootkits sind im Dark Web oder Deep Web seit zehn Jahren bekannt und verfügbar.

Das Angriffe auf Industrieanlagen nicht noch weiter Verbreitet sind hat für Marina Krotofil von der Technischen Universität Hamburg noch einen weiteren Grund. Solche Anlagen haben meist komplexe Prozesse, wie ihr simulierter Angriff auf eine Fabrik zur Herstellung von Vinylacetat zeigte. Hier braucht es neben dem IT Wissen auch Fachkenntnisse beim Produktionsprozess. Vor allem wenn keine Sichtbarer Schaden entstehen soll. In die Steuersysteme einzugreifen ist da noch der einfachste Teil, aber um gezielte Manipulationen durchzuführen sind Kenntnisse der jeweiligen Produktions- und Prozesstechnik nötig. Für das Beispiel der Vinylacetat-Produktion müsste ein Chemiker mit von der Partie sein. „Die Kontrolle zu erlangen heißt nicht, auch Kontrolle zu haben“, so Krotofil.

Trotzdem spielt das Thema von Terror-Attacken eine immer wichtigere Rolle. Zurzeit wäre es einfach eine Anlage zum Stillstand zu bringen, die allerdings meist keinen menschlichen Schaden anrichten würde. Bei einem Terrorangriff, bei dem eine Industrieanlage explodieren soll, die Rezeptur von Medikamenten oder das Trinkwasser manipuliert werden sollen, sind mehr als nur IT Kenntnisse nötig. Auch nach Ansicht von Jason Larsen ist die Wahrscheinlichkeit derzeit eher gering, weil Terroristen meist das explizite Fachwissen fehlt. Deshalb fordert er, dass es zur Pflicht wird Cyberattacken zu melden und die Absicherung von Industrie-Steuerungsanlagen schnellstens verbessert werde. Würde weiterhin das Thema unter den Teppich gekehrt, ist es nur eine Frage der Zeit bis schlimmeres passiert als ein eingetrockneter Keksteig.

Wie ein aktueller Fall zeigt, nehmen Behörden die Gefahr vor Terror-Cyber-Angriffen zunehmend ernster. Das BSI hat das Nationale Cyber-Abwehrzentrum über eine potenzielle Gefahr informiert. Über das Nationale Cyber-Abwehrzentrum koordinieren Bundesbehörden wie Verfassungsschutz und Bevölkerungsschutz die Abwehr digitaler Angriffe. Ein anonymer Islamist hat über soziale Netzwerke behauptet sich gut mit Steuerungsanlagen auszukennen. „"Ich kann dir garantieren, dass es Wege gibt, diese Systeme anzugreifen", schrieb er und verschickte IP-Adressen inklusive Passwörter. Die Ermittler nahmen das ernst und sie prüfen nun, ob dies ernst sein könnte und die Anlagen angegriffen werden können oder es sich nur um einen Bluff handelt.

Comments powered by CComment' target='_blank'>CComment