- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Sicherheitsmängel in Industrieanlagen gravierend


PSW Group fordert besseren Schutz kritischer Infrastrukturen: Sicherheitsforschern gelingt Hack im Klärwerk
Es war für die beiden Forscher ein Leichtes, das Passwort zu erraten und vollen Zugriff auf das Web-Interface zu erlangen

- Anzeigen -





Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

Die Warnung des IT-Sicherheitsexperten erfolgt nicht grundlos: Zwei Sicherheitsforschern gelang es, via Web die komplette Steuerung eines Klärwerks zu übernehmen. Das eingesetzte Prozessleitsystem zur Steuerung der Anlagen war über das Internet erreichbar. Über ein Web-Interface wurden die technischen Details der Industrieanlagen nicht nur abgebildet, sondern sie ließen sich auch kontrollieren und steuern.

"Solche Systeme sollten aus dem Internet nicht zu erreichen sein. Denn so können Unbefugte Zugriff auf die Administrationsoberfläche erlangen. Zudem sind die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das macht sie empfindlich für DDoS-Angriffe, bei denen die Rechner übers Internet mit Anfragen überhäuft werden. Sie könnten schnell unter dieser Last zusammenbrechen", warnt Christian Heutger. Das viel schwerwiegendere Problem im aktuellen Falle aber war, dass die Applikation mit vorausgefülltem Nutzernamen arbeitete – WW stand da für "Wasserwerk".

Es war für die beiden Forscher ein Leichtes, das Passwort zu erraten und vollen Zugriff auf das Web-Interface zu erlangen: Spaßeshalber gaben sie "WW” auch als Passwort ein – und staunten nicht schlecht, als sie Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern erhielten. Durch Zugriff auf die Nutzerverwaltung wäre es ihnen zudem ein Leichtes gewesen, die Passwörter der User zu ändern und sie so auszusperren. Auch die Bereitschafts-Optionen der Mitarbeiter konnten mit dem Admin-Zugriff geändert werden.

"Durch derartige Zugriffe auf Versorgungsunternehmen, egal ob nun Wasser, Strom oder Telekommunikation, lassen sich umfangreich Daten aus Sensoren auslesen, im Einzelfall könnten Soll-Werte verändert werden, was direkte Auswirkungen auf den eigentlichen Produktions- bzw. Steuerungsprozess hat. Und im schlimmsten Falle könnten Kriminelle die Versorgung einer Stadt oder einer Region unterbrechen", macht Heutger das Ausmaß solcher Sicherheitslücken noch einmal deutlich.

Glücklicherweise handelte sich um einen Test durch Sicherheitsforscher. Diese meldeten ihren Fund dem Bundesamt für Sicherheit in der Informationstechnik (BSI), welches den Anlagenbetreiber informierte. Binnen 48 Stunden waren sämtliche Zugänge geschlossen. Der Software-Hersteller gab ein Softwareupdate heraus, welches einige der Kritikpunkte beseitigen konnte. Nun existiert unter anderem eine Passwortrichtlinie, um ein Mindestmaß an Passwortsicherheit garantieren zu können.

"Es ist jedoch nicht nur der Softwarehersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen sind die meisten Hersteller inzwischen technisch gut aufgestellt. Die Schwachstelle ist oftmals der Mensch selbst. Denn leider setzen die meisten Betreiber von Klär- und Wasserwerken auf Einfachheit und Komfort. Das sind zwei Attribute, die die Systeme nicht gerade sicher machen. Oftmals zählt für die Anwender solcher Software Bequemlichkeit mehr als Sicherheit", mahnt Christian Heutger.

Von Wasser- und Klärwerken sind Millionen von Menschen abhängig. Kostendruck, aber auch Bequemlichkeit und leider häufig auch Ahnungslosigkeit sorgen dafür, dass vielfach auf ein hohes Maß an Sicherheit verzichtet wird. Natürlich müssen Software-Anbieter für ein gewisses Maß an Sicherheit sorgen. Die Angebote dieser Software-Anbieter müssen jedoch auch durch die Betreiber kritischer Infrastrukturen angenommen werden.

"Das Thema Sicherheit von Prozessleitsystemen wird zu oft noch stiefmütterlich behandelt. Das verwundert allerdings kaum, denn zahlreiche Wasserversorgungsunternehmen stehen unter personellem und finanziellem Druck", schätzt Heutger die Lage ein. Immerhin findet nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern, aber auch durch die Aufgeklärtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS wird dieses Umdenken anhalten und die Sicherheitsstandards verbessern. (PSW Group: ra)

eingetragen: 06.05.19
Newsletterlauf: 20.05.19

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • IT-Security 2019: die Zwischenbilanz

    Die erste Halbzeit ist vorbei: Wie lautet der Zwischenstand für das Jahr 2019 im Bereich IT-Sicherheit? Dies soll aus fünf Perspektiven betrachtet werden: Datenschutz-Verletzungen, Cloud Computing, Domain Name System (DNS), mobile Geräte und Bots. Durch Cyberangriffe, Ransomware und Datenschutz-Verletzungen wurden von Januar bis April 2019 etwa 5,9 Milliarden Datensätze offengelegt. Fast jeder Privatnutzer erhält inzwischen Erpressungs-Mails von Cyberkriminellen, weil sie im Besitz seines Passworts oder der E-Mail-Adresse seien. Ob Gesundheitswesen, Automobilbranche, öffentliche Hand, Einzelhandel oder IT-Sektor: Auch Unternehmen jeder Branche werden heute angegriffen.

  • Angreifer erhalten erhebliche Angriffsfläche

    Mit bis zu 6 Millionen betroffenen Bürgern war die Attacke der SamSam-Gruppe auf Atlanta im Jahr 2018 der wohl bisher folgenreichste Ransomware-Angriff auf eine einzelne Stadt. Auch andere Großstädte wie Cincinnati oder Baltimore waren bereits Opfer von Ransomware-Angriffen. Deutlich häufiger jedoch sind derartige Attacken laut Radware auf kleinere Gemeinden, Kreise oder Bezirke.

  • Cyber-Werkzeuge und Darknet-Marktplätze

    Die Cyberkriminellenszene wandelt sich stetig. Nicht nur die Angriffsmethoden werden cleverer, auch die Cyberkriminellen selbst verändern sich. Michael Veit, Security Evangelist aus Deutschland, Gabor Szappanos, Principal Malware Researcher der SophosLabs in Ungarn, Andrew Brandt, Principal Researcher der SophosLabs, USA, sowie Chester Wisniewski, Principal Research Scientist bei Sophos in Kanada, haben gemeinsam einen Blick auf die Entwicklungen in der Szene geworfen. Ihre wichtigsten Überzeugungen: Der Trend in der Cykerkriminalität geht zu Zusammenarbeit und Spezialisierung. Es gaunert sich dabei zunehmend professionell, es ist ein lukratives Geschäft und es ist (immer noch) einfach. Es gibt gut betuchte, gut ausgebildete Cyberkriminelle auf der einen, Hacker mit einfachen Schadwarebausätzen aus dem Darknet auf der anderen Seite. Die Branche setzt dabei stark auf Service - was man selbst nicht schafft, kauft man dazu. Dazu gehört auch das Fachwissen um menschliche Schwächen: Die Manipulation von Menschen ist den vier Experten zufolge eine ausgeprägte Angriffsstrategie der Cyberkriminalität. Auch zu deren Ursachen sind sich die IT-Security-Experten einig. In ihren Augen haben neben dem finanziellen Anreiz auch Armut und mangelnde Strafverfolgung einen bedeutenden Anteil am florierenden, illegalen Geschäft mit den Daten.

  • Wissen, das geschützt werden muss

    Mit der wachsenden Zahl immer ausgefeilterer Cyberattacken stellt sich nicht mehr die Frage, ob, sondern eher wann ein Unternehmen Opfer eines Angriffs wird. Viele Organisationen konzentrieren ihre Sicherheitsbemühungen immer noch auf Techniken zur Absicherung von Perimetern und investieren große Summen in den Versuch, Angreifer von ihren Netzwerken, Servern und Anwendungen fernzuhalten. Doch sollte der Sicherheitsfokus heutzutage auch auf den sensiblen Unternehmensdaten liegen und nicht nur auf den immer anfälligeren Schutzmauern, die sie umgeben - denn auf lukrative Daten haben es Angreifer zumeist abgesehen. Deshalb verlagern immer mehr Unternehmen ihre Security-Strategie hin zu einer optimierten Identifizierung, Kontrolle und Absicherung ihrer sensiblen Datenbestände.

  • Wachsendes Risiko der Cyberkriminalität

    Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken. Deutschen Unternehmen ist in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro durch Datenspionage und Sabotage entstanden. Das bezifferte der Branchenverband Bitkom in seinem Report im letzten Jahr. Besonders kleine und mittlere Unternehmen waren nach Angaben der Bitkom von den Angriffen betroffen; die Zahl der Phishing-Attacken ist dabei stark gewachsen. Laut der Studie "Annual Cost of Cybercrime 2019" des Beratungshauses Accenture benötigen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld. Demnach verändern sich die heutigen Cyberangriffe auf vielfältige Weise: von den Unternehmen, die im Visier der Kriminellen sind, über Angriffstechniken, bis hin zu den Arten von Schäden, die sie anrichten. Im letzten Jahr gab es laut der Studie durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmenssysteme eingedrungen sind. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. Und nicht nur die Zahl der Angriffe selbst steigen, sondern auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt auf ca. 13 Millionen Dollar pro Unternehmen. Das sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.