Attacken übers Internet

Der Feind in meiner Fabrik

16.10.2013 von Christof Kerkmann

Wenn Unbekannte aufs Firmengelände wollen, passt der Werkschutz auf. Der digitale Zugang ist dagegen oft schwach gesichert: Viele Industrie-Anlagen sind mit dem Internet verbunden - und bieten Hackern ein leichtes Ziel.

Ein Maschinenbauer in der schwäbischen Provinz: Als eine Stanzmaschine Feuer fängt, schieben die Ingenieure das erst auf ein fehlerhaftes Ersatzteil. Doch eine E-Mail, die kurz darauf eintrifft, zeigt: Erpresser haben sich in das Computer-Netzwerk des Mittelständlers eingeschleust und die Anlage sabotiert. Falls der Firmengründer nicht zahle, so die Drohung, werde bald die ganze Fabrik stillstehen.

Dieses Beispiel ist erfunden, aber realistisch. Denn immer mehr Industrie-Anlagen sind mit dem Internet verbunden. Für die Unternehmen bringt die Vernetzung mehr Komfort und weniger Kosten, etwa weil die Mitarbeiter aus der Ferne eine Maschine warten oder die Produktion überprüfen können. Viele Systeme sind jedoch nur schwach gesichert und damit anfällig für Attacken. Das betrifft nicht nur unbedarfte Mittelständler, sondern die gesamte deutsche Industrie: Kraftwerke, Kläranlagen und Pipelines, Telefonanbieter, Stahlkocher und Maschinenbauer sind in Gefahr.

Das Problem ist ein technologisches Erbe. In der Industrie kommen schon seit Jahrzehnten sogenannte Scada-Systeme zum Einsatz. Die Abkürzung steht für Supervisory Control and Data Acquisition, es geht also um die Überwachung und Steuerung von Prozessen.

Anatomie eines Angriffs

Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.

Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment.

Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen.

Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos.

Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie.

Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.

Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt.

Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.

Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.

Eine Vernetzung war ursprünglich jedoch nicht vorgesehen, wer nicht in die Leitzentrale der Fabrik kam, konnte auch nichts manipulieren. Schutz gegen Hacker bieten Scada-Systeme deswegen nicht. Doch die Vernetzung hat längst die Industrie erreicht. Immer häufiger schließen Unternehmen ihre Scada-Systeme ans Firmennetzwerk oder gar das Internet an, um die Anlagen aus der Ferne warten oder zentral steuern zu können.

Damit öffnen sie Angreifern Tür und Tor. Denn die eigene IT ist trotz Firewall und Virenschutz nicht hundertprozentig sicher - wenn beispielsweise ein Mitarbeiter einen virenverseuchten USB-Stick an seinen Rechner anschließt, kann er damit das gesamte Netzwerk infizieren. Und Fernwartungszugänge im Internet lassen sich häufig noch leichter angreifen. "Solche Systeme sind einfache Beute für Hacker, Cyberkrieger und Wirtschaftsspione", warnt der Sicherheitsforscher Volker Roth von der Freien Universität (FU) Berlin.

Auch moderne Produkte sind nicht unbedingt besser geschützt. "Viele Hersteller vernetzter Geräte konzentrieren sich auf ihr Produkt, aber nicht die Sicherheit", sagt Mark Rogers, Sicherheitsexperte bei der Software-Firma Lookout. "Ihnen fehlen oft auch die nötigen Kapazitäten dafür." Das gelte für alle vernetzten Produkte, beispielsweise auch Heizungen oder Insulinpumpen mit WLAN-Anschluss. Auf der renommierten Hackerkonferenz Defcon in Las Vegas war zu besichtigen, welche Geräte alle kompromittiert werden können, vom Auto bis zum Wasserhahn.

"Alles, was im Internet ist, wird angegriffen“

Wie oft es zu Manipulationen kommt, lässt sich kaum einschätzen, gibt doch kein Unternehmen öffentlich zu, Opfer einer Cyber-Attacke zu sein - ob aus Scham oder Image-Gründen. Doch es gibt Anhaltspunkte für das Ausmaß der Gefahr:

Das IT-Unternehmen Trend Micro hat einen Monat lang die virtuelle Attrappe eines Wasserwerks aufgestellt und die Angriffe untersucht. 39 teils ausgefeilte Attacken zählten sie. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanzierte Trend-Micro-Forscher Kyle Wilhoit.

Forscher der FU Berlin zeigen auf einer Karte an, wo mit dem Internet verbundene Industriesysteme zu finden sind. Die Daten stammen von der Spezialsuchmaschine Shodan, die solche Geräte auffindbar macht. Es wird sichtbar, dass auch in Deutschland viele solcher Anlagen online sind - und somit angreifbar. "Unser Datensatz ist unvollständig, wir haben nur nach bestimmten Anlagen gesucht. Wir gehen daher von einer hohen Dunkelziffer aus", sagt IT-Sicherheitsexperte Roth.

Mitarbeiter der IT-Fachzeitschrift c’t fanden hunderte ungesicherte Anlagen, darunter eine Brauerei und ein Gefängnis. Auch die Schließanlage eines Stadions mit 40.000 Sitzplätzen hätten sie fernsteuern können.

Ein Fall ist tatsächlich bekannt: Der US-Geheimdienst ließ nach einem Bericht der "New York Times" den Computerwurm Stuxnet aufwändig programmieren, um eine Uran-Anreicherungsanlage im Iran lahmzulegen. Der monatelange Einsatz hatte offenbar Erfolg - bis die Iraner den virtuellen Angriff entdeckten.

Nicht jede Anlage ist schutzlos. Und nicht jeder Angreifer kommt zum Ziel - "grundsätzlich sind, wie bei Angriffen auf Heim-PCs auch, kriminielle Energie und technischer Sachverstand nötig", erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Risiken sind indes immens: Was, wenn ein Konkurrent sich in die Fabrik einhackt und Chaos anrichtet? Oder wertvolle Informationen über die Produktion abzapft? Auch Erpresser und Saboteure könnten zuschlagen. Dafür müssen die Hacker längst nicht so einen großen Aufwand betreiben wie die Geheimdienstler. "Ein Angriff, der auf Erpressung ausgelegt ist, ist wesentlich einfacher umzusetzen als eine Attacke à la Stuxnet", betont Roth. Denn dafür ist fast egal, wer das Opfer ist.

Die Gefahr wird immer größer

Die Gefahr wird in den kommenden Jahren noch deutlich wachsen. Denn die Wirtschaft will die Produktion stärker vernetzen, von der Planung über die Herstellung bis zur Abrechnung - "Industrie 4.0" lautet das Schlagwort. Die Produktion wird damit flexibler, effizienter und individueller. Sichert man sie nicht ab, wird sie aber auch angreifbarer.

Was tun? Das Bewusstsein für IT-Sicherheit sei nicht in allen Firmen ausreichend verbreitet, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI): "Gerade in kleineren und mittleren Unternehmen fehlen jedoch häufig die erforderlichen finanziellen oder personellen Ressourcen, um ein ganzheitliches Sicherheitsprogramm aufzusetzen."

Die Behörde empfiehlt, zunächst eine Bedrohungsanalyse vorzunehmen: Welche Systeme sind besonders gefährdet? Dann sollten Unternehmen ein System zum Informationssicherheits-Management einrichten - Ziel sei, einen "ganzheitlichen Schutz" zu erreichen. "Sicherheit ist ein Prozess, der sich nicht durch sporadische Maßnahmen umsetzen lässt", betont das BSI.

Auch IT-Experte Rogers betont: "Es gibt Werkzeuge, um Produkte sicher zu gestalten" - etwa sichere Protokolle. "Die Erkenntnisse liegen vor, wir müssen sie aber auch nutzen." Noch wichtiger sei jedoch, dass IT-Sicherheit Teil der Unternehmenskultur werde: "Was heute sicher ist, ist es morgen vielleicht nicht mehr. Das muss konstant überprüft werden", fordert Rogers.

Die Politik könnte helfen, die Fabriken der Zukunft sicherer zu machen. "Es ist wichtig, überzeugende Referenzarchitekturen aufzubauen und auch zum Einsatz zu bringen", sagt Claudia Eckert, Professorin für IT-Sicherheit an der Technischen Universität (TU) München. Damit die IT-Firmen das Forschungsrisiko nicht alleine tragen müssten, sei eine Förderung sinnvoll, sagt die Forscherin, die am Fraunhofer-Institut AISEC mit mehr als 90 Mitarbeitern an sicheren Lösungen für die Industrie 4.0 arbeitet. "Wir haben wir die riesige Chance, in Deutschland unsere guten Sicherheitstechnologien und unser Qualitätsbewusstsein da reinzubringen."

Die Schwarzmarkt-Preise der Hacker

Kreditkarteninformationen
Vollständige Kreditkartendatensätze gibt es laut dem IT-Sicherheitsdienstleister Symantec im untersuchten Zeitraum von 2009 bis 2010 ab sieben Cent auf Untergrund-Servern von Cyber-Kriminellen. Dabei war die Preisspanne groß. Die Preise

für einen Datensatz bewegten laut Symantec sich zwischen sieben Cent und 100 Dollar. Der Handel mit Kreditkartenssätzen macht sind waren im Untersuchungszeitraum von 2009 bis 2010 die am häufigsten illegal angebotenen Daten. 2009 waren

19 Prozent der illegalen Angebote in den Hacker-Foren Kreditkartensätze, 2010 waren es 22 Prozent.

Online-Banking-Zugänge
Auch der Handel mit Online-Banking-Zugängen spielt eine wichtige Rolle: 16 Prozent der gehandelten Daten waren 2010 Zugangsdaten zu Banking-Accounts, ein Jahr zuvor waren es sogar 19 Prozent. Die Datensätze wurden im Schnitt zu deutlich

höheren Preisen angeboten als die Kreditkarteninformationen. 10 bis 900 Dollar erzielt Symantec zufolge ein Datensatz auf dem Schwarzmarkt.

E-Mail-Accounts
Der Zugang zu E-Mail-Account wurden mit Preisen zwischen einem und 18 Dollar gehandelt. 2009 bezogen sich sieben Prozent der illegalen Angebote auf E-Mail-Accounts, 2010 waren es zehn Prozent.

Attack-Programme
Programme zum Attackieren von Websites spielten 2009 noch kaum eine Rolle auf dem Schwarzmarkt: nur zwei Prozent der Angebote bezogen sich darauf. 2010 waren es aber schon sieben Prozent. Die Programme wurden für fünf bis 650 Dollar gehandelt.

E-Mail-Adressen
E-Mail-Adressen zum Versenden unerwünschter Werbung (Spam) sind in Hacker-Foren Dutzendware: Der Preis für E-Mail-Adressen berechnet sich pro Megabyte an Daten. Ein Megabyte enthält Zehntausende E-Mail-Adressen. Für ein Megabyte an

Adressdaten zahlten Spammer in Hacker-Foren zwischen einem Dollar und 20 Dollar. 2009 bezogen sich sieben Prozent der Angebote in den Hacker-Foren auf E-Mail-Adress-Listen, 2010 waren es fünf Prozent.

Gefälschte Kreditkarten
Falsche Kreditkarten mit echten Personen-Daten, sogenannte Credit Card Dumps, gibt es Symantec zufolge schon ab 50 Cent zu kaufen. Die teuersten Karten gingen für 120 Dollar pro Stück über den virtuellen Tresen. Das Angebot an

gefälschten Kreditkarten ist von 2008 auf 2009 kräftig gewachsen: von zwei auf fünf Prozent der gehandelten Waren. 2010 hielt blieb der Wert bei fünf Prozent stabil.

Komplette Identitäten
Name, Adresse, Geburtstag, Kontoverbindung - solche kompletten Datensätzen einer Person lassen sich von Cyber-Kriminellen beispielsweise für Bestellungen missbrauchen, die nie bezahlt werden. Vollständige Identitäten können die Betrüger

in Hacker-Foren kaufen - laut Symantec schon ab 70 Cent. Die teuersten Datensätze wurden für 20 Dollar gehandelt. Das Angebot stieg von 2008 auf 2009 von vier auf fünf Prozent der gehandelten Daten.

Shell-Skripte
Shell-Skripte sind einfache Programme, die bestimmte Aufgaben erledigen. Auch sie können zum Hacken genutzt werden, beispielsweise, indem ein Shell-Programm sämtliche Wörter eines Wörterbuchs als Passwort ausprobiert. Für die kleinen

Programme wollten Hacker zwischen zwei und sieben Doller haben. Das Angebot an Shell-Skripten ging von 2009 auf 2010 zurück: von sechs auf vier Prozent der gehandelten Waren.

Quelle: Handelsblatt