Im Dezember 2014 kamen Berichte über einen Cyber-Angriff auf eine türkische Pipeline zutage, der im Jahr 2008 stattfand. Ein staatlich gesponserter Hacker erlangte Zugriff auf die Server zum Betrieb der Pipeline, was letztendlich zu einer Explosion führte. Dieser Angriff auf sogenannte kritische Infrastruktur fand noch vor Stuxnet statt und stellt somit einen der ersten dieser Art dar.

SANS ICS-Abteilung hat den Vorfall genauer untersucht und nun einen neunseitigen Bericht dazu veröffentlicht. Demzufolge ist nicht klar, welcher Staat als Sponsor hinter dem Angriff steckt, auch wenn russische Akteure dahinter vermutet werden. Vermutlich drangen die Hacker über eine Schwachstelle ein, die keine Authentifizierung erforderte. Dazu liefen sie schlichtweg die Pipeline in einem zugänglichen Bereich ab und suchten nach Netzwerken. Über ein IP-basiertes Kamerasystem zur Überwachung der Pipeline erlangten sie schließlich Zugriff. Über dieses gelangten sie ins Steuerungssystem der Pipeline und konnten somit Alarme in Bezug auf die Pipeline ausstellen und Druckregulatoren sowie die Überwachungssysteme beeinflussen.

SANS leitet aus dem Vorfall einige Lehren für Cybersicherheit ab. So sollte man sich darüber im Klaren sein, was alles mit dem Netzwerk verbunden ist und somit eine Angriffsfläche darstellen könnte – wie in dem Fall der Pipeline die IP-Kameras. Auch derartige Geräte sollten in IT-Sicherheitsplänen berücksichtigt werden.

Ebenso spielt die IT-Architektur eine entscheidende Rolle. Wäre das Kamera-Netzwerk nicht mit dem Steuerungssystem verbunden gewesen, wäre den Hackern der Zugriff auf dieses wesentlich schwerer gefallen. Besteht keine Notwendigkeit der Verknüpfung der Systeme, kann dafür ein separates Netzwerk genutzt werden.

Auch die physische Angreifbarkeit der Anlagen sollte in Betracht gezogen werden. Bei Stuxnet waren es USB-Sticks, über die die Infizierung stattfand. Haben Angreifer physischen Zugriff auf die Anlagen, bedeutet dies ein erhöhtes Risiko in Kombination mit Cyber-Attacken und sollte unbedingt mit in Erwägung gezogen werden. Wird ein physischer Einbruch untersucht, sollte man wenigstens die Möglichkeit einer Kompromittierung der Systeme bedenken.

Weiterhin gilt es, bei allen Sicherheits-Updates und Systemchecks nicht nur die Kernsysteme, sondern auch periphere Systeme wie in diesem Fall die Kameras zu überprüfen. Eine Schwachstelle hier kann ausreichen, um Angreifern Zugriff zu verschaffen. Auch das interne Netzwerk sollte kontinuierlich überprüft werden, um Unregelmäßigkeiten schnell zu entdecken und nachverfolgen zu können.

Allgemein raten die SANS-Experten dazu, sich beim Design von Schutzmaßnahmen und IT-Infrastruktur auch in die Position des Angreifers zu versetzen, um so mögliche Schwachstellen zu identifizieren.

Siehe auch:

• Angriff auf türkische Öl-Pipeline geht Stuxnet voraus

Artikel von SANS.org, 20.12.2014:Media report of the Baku-Tbilisi-Ceyhan (BTC) pipeline Cyber Attack (pdf)