IoT-Sabotage

Wer Aufzug fährt, der lebt gefährlich

| Redakteur: Jürgen Schreier

Der Verfassungsschutz hält einen Angriff auf den Zentralrechner eines Aufzugbetreibers für denkbar, um die Lifte in einer deutschen Großstadt still stehen zu lassen.
Der Verfassungsschutz hält einen Angriff auf den Zentralrechner eines Aufzugbetreibers für denkbar, um die Lifte in einer deutschen Großstadt still stehen zu lassen. (Bild: Pixabay / CC0)

Aufzüge stehen still, wenn der böse Hacker es will. Diese und andere "hybride Bedrohungen" wurden kürzlich im Rahmen eines Verfassungsschutz-Symposiums in Berlin thematisiert. Welches Ungemach Betreibern kritischer Energieinfrastrukturen droht und was dagegen zu tun ist, kommentiert Will Stefan Roth von Nozomi Networks.

"Abwärts": Mit diesem Thriller - die Hauptrolle spielte übrigens der geniale Götz George - sorgte er deutsche Filmemacher Carl Schenkel 1984 für Gänsehaut in deutschen Kinos. Die Handlung - so simpel wie spannend: An einem Freitagabend bleibt der Aufzug eines Frankfurter Bürohochhauses stecken. Rasch entwickelt sich zwischen den Eingeschlossenen ein Psychokrieg mit (teilweise) letalem Ausgang.

Abwärts 4.0 - Aufzugbetreiber under attack

Nur Spiel? Von wegen! So etwas könnte jederzeit wieder geschehen - auch wenn heute wahrscheinlich Hacker ihre Finger im bösen Spiel haben dürften und die vielfach IoT-fähigen Aufzugsysteme per Crimeware zum Stillstand bringen. Vor solchen und anderen Gefahren auf kritische Infrastrukturen warnte dieser Tage Verfassungsschutz-Präsident Hans-Georg Maaßen in einem Gespräch mit dem rbb Inforadio anlässlich des 15. Symposiums des Bundesamtes für Verfassungsschutz.

Deutschland sei im Fokus von ausländischen Nachrichtendiensten, so der oberste Verfassungsschützer, "mit dem Ziel, bei uns sabotagevorbereitende Maßnahmen durchzuführen." Deutschland biete eine besonders große Angriffsfläche, weil fast alles miteinander vernetzt sei und dem Angreifer eine einzige Schwachstelle reiche, um komplette Systeme zu infiltrieren. Denkbar sei beispielsweise ein Angriff auf den Zentralrechner eines Aufzugbetreibers, um die Lifte in einer deutschen Großstadt (Frankfurt am Main?) still stehen zu lassen.

Als Ziel solcher Bedrohungen, so Maaßen, sei ein politisches und müsse im politischen Kontext gesehen werden. Der Angreifer bleibe damit deutlich unterhalb der Schwelle einer kriegerischen Auseinandersetzung - könnte aber zu diesem Mittel greifen, wenn er auf diplomatischem Wege nicht mehr weiterkomme. Experten sprechen in diesem Zusammenhang von hybriden Bedrohungen.

Fakt statt Fiktion: Energieversorgung infiltriert

Auch die Energieversorgung in Deutschland ist Gegenstand solcher hybriden Bedrohungen. Recherchen von Till Krause und Hakan Tanriverdi (Süddeutsche Zeitung) haben ergeben, dass die digitalen Attacken zunehmend aggressiver werden und eine der gefährlichsten Hackergruppierungen auch Deutschland ins Visier genommen hat. Der Anlass für die Nachforschungen ist aktuell: "Dieselbe Hackergruppe, die für den Stromausfall in Kiew sorgte, hat auch in Deutschland Netzwerke von mindestens zwei Energieversorgern infiltriert. Das haben drei voneinander unabhängige Quellen dem SZ-Magazin bestätigt. Den Hackern gelang es anscheinend, sich in den internen Netzwerken auszubreiten. Doch der Angriff fiel im Sommer 2017 auf, vermutlich in der Frühphase.“ Soweit der SZ-Wortlaut aus dem Beitrag vom 3. Mai 2018.

Was tun? Empfehlungen eines Experten für ICS-Cybersecurity

Will Stefan Roth, Regional Director des Cybersecurity-Spezialisten Nozomi Networks, kommentiert diese Geschehnisse bzw. Gefahren:

„Wenn es um Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder von kritischen Infrastrukturen (KRITIS). Es sind Systeme, ohne die unsere Gesellschaft und unser Gemeinwesen nicht funktionieren. Heute sind diese historisch gewachsenen Systeme mit IT-Netzwerken oder der Außenwelt verbunden. Die Konnektivität der Netze hat für die Betreiber viele Vorteile. Die Kosten sinken, die betriebliche Effizienz steigt, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen.

Aber die untereinander und mit dem Internet verbundenen Geräte haben die Angriffsfläche für Cyberattacken deutlich vergrößert. Dabei fungiert die IT nicht selten als Einstiegspunkt für Angreifer, die es auf die OT-Netzwerke – also die Operations Technology-Netzwerke - abgesehen haben. Der direkte Einstieg in das OT-Netzwerk über schwach abgesicherte W-LAN Infrastrukturen oder auch die Infektion über direkt an den OT-Geräten angeschlossenen externen Datenspeichern für Firmware-Updates, bergen hier zusätzliche Risiken.

Angriffe auf kritische Infrastrukturen, wie auf die beiden deutschen Stromversorger (wo nach Angaben der SZ-Quellen ebenfalls die Hackergruppierung Sandworm ihre Fingerabdrücke hinterlassen hat) erinnern an die vorhandenen Schwachstellen sowohl in der IT als auch in der OT. Auch und gerade für diese Umgebungen gilt, dass ein Netz nur so sicher ist wie das schwächste Glied in der Kette. Erfolgreiche Attacken und Malware-Varianten werden oftmals speziell für Angriffe gegen die betreffenden kritischen Infrastrukturen entwickelt.

BlackEnergy, verantwortlich für die hochkarätigen Attacken auf das ukrainische Stromnetz 2015 und 2016, wurde allerdings nicht extra für diese Angriffe entwickelt. Es gab bereits vorher Angriffe beispielsweise auf Banken und Nachrichtensender, die BlackEnergy verwendet haben. Der letztendlich entscheidende Schritt beim Angriff auf das Stromnetz der Ukraine wurde über das vorhandene ICS-Equipment durchgeführt. Dazu kommen Malware-Infektionen á la DragonFly und Stuxnet.

Stuxnet - schlägt der Iran jetzt zurück?

Cyber-Sicherheit

Stuxnet - schlägt der Iran jetzt zurück?

12.05.18 - Der Ausstieg der USA aus dem Atomabkommen mit dem Iran ist beschlossene Sache. Cybersicherheits-Fachleute rechnen nun damit, dass iranische Hacker auf diesen Schritt mit Cyberattacken - quasi mit einer Stuxnet-Retourkutsche - reagieren könnten. lesen

Diese Beispiele zeigen, dass sich die Bedrohungen längst aus dem Bereich des technisch Möglichen in die Realität verlagert haben. Cyberbedrohungen haben sich inzwischen von Desktop oder Serverraum in die Anlagenkontrollräume ausgeweitet. Angreifer versuchen nun, aktiv Fuß zu fassen und diese sensiblen Netze zu „knacken“. Black-Hat-Aktivisten und Hacker in staatlichem Auftrag nutzen frei zugängliche Daten und Informationen, um technisch möglichst genau über das anvisierte Ziel Bescheid zu wissen. Auf dieser Basis wird ein maßgeschneiderter Angriff gestartet.

Gemeinsam abwehrbereit: Staat und Wirtschaft müssen Hand in Hand arbeiten

Es ist nicht damit zu rechnen, dass Angreifer in ihren Bemühungen nachlassen, bessere Angriffsmethoden und –strategien zu entwickeln und einzusetzen. Attacken auf Chemieanlagen und Stromnetze haben das Potenzial für wirtschaftliche Instabilität zu sorgen und die physische Sicherheit zu gefährden. Das übergreifende Management von Cyberrisiken muss deshalb auf der Prioritätenliste ganz nach oben. Staat und Privatwirtschaft sind aufgerufen, Hand in Hand zu arbeiten und zielgerichtet in präventive Maßnahmen zu investieren. Maßnahmen, die die Resilienz der Netze deutlich verbessern. Inzwischen haben die viel zitierte künstliche Intelligenz und das maschinelle Lernen für den nötigen technologischen Fortschritt auch an dieser Stelle gesorgt. Insbesondere deren Fähigkeit, prädiktive Modelle zu erstellen und selbst hoch komplexe Netzwerke und kritische physikalische Prozesse transparent zu überwachen.

Energieversorger und Netzbetreiber sollten zeitgemäße Sicherheitsmaßnahmen umsetzen und neuartige Ansätze bei der Implementierung in Betracht ziehen. Man muss allerdings einräumen, dass sich trotz aller Unkenrufe die deutschen Unternehmen und Betreiber der Lage sehr wohl bewusst sind und damit begonnen haben, Budgets in weit größerem Ausmaß als noch vor Kurzem für Cybersicherheitsprojekte in den beschriebenen Bereichen bereitzustellen.“

Über Nozomi Networks

Das US-Unternehmen Nozomi Networks ist Spezialist für ICS-Cybersecurity (ICS = Industrial Control Systems) und betreibt eine umfassendsten Plattform für Echtzeit-Cybersecurity und betriebliche Transparenz. Seit 2013 setzt das Unternehmen auf maschinelles Lernen und Künstliche Intelligenz, um den Betrieb kritischer Infrastrukturen zu sichern. Auf fünf Kontinenten in Hunderten der weltweit größten Industrieanlagen eingesetzt, profitieren Kunden von fortschrittlicher Cybersecurity, verbesserter Betriebssicherheit und einfacher IT/OT-Integration.

Nozomi Networks bietet eine Lösung mit Echtzeit-ICS-Überwachung, hybrider Bedrohungserkennung, industrieller Netzwerk-Visualisierung, Bestandsaufnahme und Schwachstellenanalyse. Seinen Hauptsitz hat das Unternehmen in San Francisco (Kalifornien). Die europäische Zentrale befindet sich im schweizerischen Mendrisio.

Hybride Bedrohungen

Das Verteidigungsministerium bezeichnet eine Kombination aus klassischen Militäreinsätzen, wirtschaftlichem Druck, Computerangriffen bis hin zu Propaganda in den Medien und sozialen Netzwerken als "hybride Taktik" oder "hybride Kriegsführung".

Als "hybrid" gilt eine Bedrohung laut Europäischer Kommission, wenn konventionelle und unkonventionelle Methoden durch staatliche und nichtstaatlich Akteure in koordinierter Weise eingesetzt werden, ohne dass die Schwelle eines offiziell erklärten Krieges erreicht wird. Ziel sei dabei "nicht nur, unmittelbaren Schaden anzurichten, sondern auch Gesellschaften zu destabilisieren und Entscheidungsfindung zu behindern." Die Täter operieren dabei entweder anonym oder bestreiten Beteiligungen an Vorfällen und Konflikten.

Über die Ziele hybrider Bedrohungen und deren Abwehr referierte Hans-Georg Maaßen auf dem 15. Symposium des Bundesamtes für Verfassungsschutz am 14. Mai 2018. Sehr aufschlussreich ist auch die Rede von MI5 Director General Andrew Parker im Rahmen der gleichen Veranstaltung.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45304180 / Security)