Ein großes öffentliches US-Versorgungsunternehmen fiel einer Cyberattacke zum Opfer. Mit einem Brute-Force-Angriff umgingen die Hacker die Sicherheitsmaßnahmen und infiltrierten die Systeme. Der Vorfall wurde vom Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) der Homeland Security-Behörde veröffentlicht. In einem Bericht über die Aktivitäten des ersten Quartals 2014 steht, dass das Team mit dem betroffenen Unternehmen zusammenarbeitet, um den Typ der Attacke und die genutzten Methoden zu analysieren und Schäden zu lindern.

„Nachdem das ICS-CERT von dem Vorfall erfuhr, stellte es fest, dass die Verwaltungssoftware der Kontrollsysteme durch Internethosts zugänglich war“,

so der Bericht.

„Die Systeme waren für einen Fernzugriff konfiguriert, unter Nutzung eines einfachen Passwort-Mechanismus. Die Authentifizierungsmethode war leider anfällig für Standard-Brute-Force-Techniken.“

Darüber hinaus fanden die Spezialisten „frühere Einbruchsaktivitäten“, auch wenn dazu keine weiteren Details bekannt gegeben werden. Die Organisation gibt nun Ratschläge, wie man sich besser gegen solche Vorfälle schützen könne.

„Das ICS-CERT führte im Rahmen des Vorfalls eine Untersuchung der Onsite-Cybersicherheit durch, um mit den Betreibern die Sicherheit ihrer Infrastruktur zu analysieren. Außerdem lieferte das ICS-CERT praktische Empfehlungen für eine Umstrukturierung und mehr Sicherheit des Steuerungs-Netzwerkes.“

Neben diesem Vorfall berichtet das CERT-Team auch von einem zweiten Vorfall, bei dem ein Scada-System infiltriert wurde. Auch hier wurde ein kaum geschütztes, Internet-verbundenes System Opfer des Angriffs.

„Das Gerät war direkt aus dem Internet zugänglich und nicht durch eine Firewall oder Authentifizierungskontrollen geschützt. Zum Zeitpunkt des Vorfalls war das Steuerungssystem mechanisch von dem Gerät zur geplanten Wartung getrennt. ICS-CERT stellte fest, dass der Angreifer über einen längeren Zeitraum hinweg Zugriff hatte, sowohl über HTTP als auch das SCADA-System.“

Weitere Analysen ergaben, dass kein Versuch unternommen wurde, das System zu manipulieren oder nicht autorisierte Programme durchzuführen.

Das CERT-Team empfiehlt allen Organisationen dringlich, auf umfangreiche Sicherheitsmaßnahmen zu achten, um derartigen Vorfällen vorzubeugen.

Normalerweise veröffentlicht das ICS-CERT solche Vorfälle nicht, damit Unternehmen weiterhin mit der Behörde zusammenarbeiten. Diesmal sollte die Veröffentlichung jedoch auch dazu dienen, mehr Aufmerksamkeit auf das Thema zu lenken, um die Bedrohung zu verdeutlichen.

Die Kosten von Datenlecks und Systemeinbrüchen können sich aufsummieren. Dem US-Händler Target wurden rund 70 Millionen Kundendaten gestohlen, was den CEO den Job kostete. Kürzlich veröffentlichte Daten aus Großbritannien beziffern die Kosten solcher Vorfälle auf rund 1,15 Millioen Pfund pro Vorfall.

Artikel von reuters.com, 21.05.2014: U.S. utility’s control system was hacked, says Homeland Security
Artikel von v3.co.uk, 21.05.2014: US public utility compromised by brute-force cyber attack