Experten der deutschen Internetwache Polizei Berlin haben über mehrere Monate hinweg Steuerungs- und Kontrollsysteme von einigen europäischen Industrieanlagen und einem sogenannten Smart House in Israel auf die IT-Sicherheit hin überprüft. Den Experten war dabei in vielen Fällen der Zugriff auf die Kontrollsysteme der Anlagen und sogar auf die jeweiligen Gebäudesteuerungen möglich. Es gelang ihnen dabei offenzulegen, dass Betreiber von öffentlichen Infrastrukturen wie Fernwärmeheizwerken, Wärme- und Heizblockkraftwerken sowie Wasserwerken, nicht genügen Maßnahmen ergreifen oder bereithalten, um solche kritischen Infrastrukturen vor unbefugtem Eindringen und Hackerangriffen abzusichern.

Nach einem Bericht des deutschen IT Nachrichtenblatts Golem, stießen die Experten der Internetwache Polizei Berlin bei ihren Nachforschungen auf bestimmte Muster in den http-Headern. Nach dem anschließenden Programmieren eines Python-Scripts und der Verwendung des zmap Tools, wurden diese Muster dann durchgetestet. Und bereits nach ein paar Versuchen hatten die Forscher tatsächlich ungehinderten Zugang zur Administrationsoberfläche eines Wasserwerks in Deutschland.

Demnach ist der Beweis gelungen, dass bekannte Szenen von manipulierbaren Gebäude- und Industrieanlagensteuerungen, wie sie in modernen Actionfilmen vorkommen, gar nicht so realitätsfern und auch nicht an den Haaren herbeigezogen sind.
Zu einem späteren Zeitpunkt wurden die Betreiber aller getesteten Anlagen auf die offensichtlichen Schwachstellen und Gefahren hingewiesen. Doch zum Erstaunen der Forscher waren sich die Verantwortlichen gar nicht über die eminente Gefahr bewusst, obwohl laut dem Bericht in den meisten Fällen nicht einmal eine besondere Authentifizierung für den Zugriff nötig gewesen war.

Es konnten nicht nur Daten ausgelesen werden, manche Systeme gestatteten den Experten sogar die volle Gewalt über wichtige Kontrollen. Nicht auszudenken, was für Folgen es hätte, wenn Unbefugte mit den Kontrollreglern von Heizkraftwerken herumspielen oder die Sicherheitslücken bewusst ausnutzen würden, um terroristische Anschläge durchzuführen mit höchster Gefahr für Leib und Leben vieler Menschen.

Im Fall des Luxus-Apartmentgebäudes in Israel, das mit allerneuester Smarttechnologie ausgestattet ist, konnten die Forscher ebenfalls auf die gebäudetechnischen Automatisierungssysteme zugreifen. Das völlig unzureichend gesicherte System erlaubte ihnen die Manipulation von Aufzügen und Klimaanlagen und sämtlicher anderer wichtiger Haustechnik. Sie waren sogar in der Lage die gesamte Haustechnik komplett zu deaktivieren. Selbst eine Kontrolle über die Alarmanlagensysteme des Gebäudes stellte kein Problem für die Forscher dar.

Im Großen und Ganzen mussten die Experten am Schluss feststellen, dass die Hälfte der geprüften Systeme über gar keine Authentifizierungsschritte verfügten. Weitere gefundene Probleme gab es im Bereich Cross-Site-Scripting-Fehler und HTTP-Injection-Schwachstellen. Angesichts der Schwere ihrer Funde meldeten die Experten ihre Erkenntnisse sogleich dem Bundesamt für Sicherheit in der Informationstechnik – BSI. Das BSI, das Teil des CERT-Bund ist, sah sich veranlasst, die Softwarehersteller über die gefundenen Schwachstellen zu informieren. Auch alle betroffenen Betreiber der Anlagen wurden benachrichtigt und gebeten, den Zugang zu den Systemen für unbefugte Dritte möglichst kurzfristig zu unterbinden. Interessanterweise lief die Umsetzung jedoch nur sehr schleppend an.

In einem Interview sagte Nick Wilding, Geschäftsführer bei Axelos, zu diesem Thema, dass Kontrolle und Überwachung bei allen Investitionen in komplexe Technologien entscheidend sind für die Sicherheit gegen die allgegenwärtigen Internetgefahren. Es muss außerdem sichergestellt werden, dass alle Mitarbeiter, unabhängig ihrer Hierarchie im jeweiligen Unternehmen, sich den Internetgefahren bewusst sind und Bedrohungen identifizieren können, noch bevor sie entstehen. Laut Wilding sind Mitarbeiter ein wichtiger Faktor in Sachen Sicherheit – sowohl im positiven wie auch im negativen Sinne. Daher sei effektives Lernen hier ebenfalls sehr wichtig.

Insgesamt sind derartige Angriffe auf industrielle Steuerungssysteme seit einigen Jahren weltweit auf dem Vormarsch. Eine spezielle CERT-Abteilung – das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) hat festgestellt, dass 2015 allein in den USA fast 300 derartige Vorfälle gemeldet wurden. Und obwohl diese hochmodernen Steuerungssysteme generell von Haus aus mit einer ganzen Palette von bekannten Schwachstellen daher kommen, wie zuvor beschrieben, ist dies immer noch nicht in das Bewusstsein der Hersteller und der Anwender vorgedrungen. Dazu kommen dann noch Sicherheitsrisiken wie gemeinsame Nutzerkonten, Remote-Zugänge und Netzwerkverbindungen in alle Richtungen, die Tür und Tor öffnen für Außenseiter mit bösartigen Absichten.

Siehe auch:

• Chinesische Spione sammeln Sicherheitslücken kritischer Infrastruktur
• Hackerangriff bei US-amerikanischem öffentlichen Versorgungsbetrieb
• Kritische Fehler in tausendfach genutzten industriellen Kontrollsystemen
• Brisbanes Verkehrsleitsystem nicht genügend gesichert
• Schadsoftware in bayerischem AKW Grundremmingen entdeckt
• Der Pipeline-Angriff und Konsequenzen für Schutzmaßnahmen
• Angriff auf türkische Öl-Pipeline geht Stuxnet voraus

Artikel von scmagazineuk.com, 18.07.2016: Critical infrastructure in Europe exposed to hackers