Hacker sind in der Lage, über ungeschützte Steueranlagen Züge
entgleisen zu lassen
Hacker sind in der Lage, über ungeschützte Steueranlagen Züge
entgleisen zu lassen.(Foto: Sophos)
Mittwoch, 18. März 2015
Erschreckendes Cebit-Projekt Hacker lassen Zug entgleisen
Von Klaus Wedekind
Viele deutsche Unternehmen und Infrastruktureinrichtungen sind
Cyberangriffen fast schutzlos ausgeliefert. Sie sind leichtsinnig oder
knausern an falscher Stelle. Wie Sophos auf der Cebit demonstriert,
riskieren sie dabei auch Menschenleben.
Auf dem Cebit-Stand des Sicherheitsanbieters Sophos steht in diesem Jahr
eine Modelleisenbahnanlage. Sie ist nicht besonders groß, sehr schlicht,
ohne die üblichen Berge, Städtchen oder andere Verzierungen. Trotzdem
ist sie außergewöhnlich, denn Sophos demonstriert mit dem "Honeytrain",
was passieren kann, wenn ein Schienennetz schlecht oder gar nicht
gesichert mit dem Internet verbunden ist. Der Name Honeytrain lehnt sich
am Begriff "Honeypot" (Honigtopf) an, womit Computer oder Server
bezeichnet werden, die zu Analysezwecken ein völlig schutzloses System
und das Verhalten leichtsinniger Nutzer simulieren.
Der Honeytrain ist ein Projekt, das Sophos zusammen mit Koramis
durchführt, einem Spezialisten für Industrie-IT-Sicherheit. Es simuliert
das ungeschützte Steuerungssystem eines öffentlichen Transportsystems,
beispielsweise eines S-Bahn-Netzes. Hacker erkennen nicht, dass ein
Angriff nur eine Modelleisenbahn stilllegt, zum Entgleisen oder auf
Kollisionskurs bringt. Denn unter der Oberfläche arbeiten echte
Industrie-Steuersysteme, originale Hard- und Software-Komponenten aus
der Automatisierungs- und Leittechnik. Sophos und Koramis können so
nachvollziehen, wie Hacker solche Anlagen angreifen und entsprechende
Gegenstrategien entwickeln. In der Realität könnte eine Attacke auf
einen Verkehrsbetrieb Menschenleben fordern.
Hacker stürzen sich auf Honeytrain
Wer glaubt, Angriffe auf Infrastruktureinrichtungen kämen selten vor,
täuscht sich gewaltig. Hacker scannen und durchsuchen das Internet
ständig nach verwundbaren Systemen. Tiefere Kenntnisse sind dafür nicht
unbedingt nötig, unter anderem mit der Google Hacking Database finden
sie dafür kostenlose Tools im Internet. So ist es zu erklären, dass
Koramis-Mitarbeiter Marco Di Filippo schon wenige Stunden nach
Aktivierung des Honeytrain mehrere Tausend Angriffe registrierte. Ein
Großteil davon erfolgte aus China und den USA, aber auch aus Frankreich
wurden viele Zugriffe durchgeführt.
Besorgniserregende Echtzeit-Grafiken zeigen verwundbare Systeme in
Google Earth. Di Filippo kann sie nach Hersteller und Typ sortieren,
beispielsweise gefährdete Unternehmen und Anlagen, die Siemens-Technik
verwenden. In allen Industrieländern gibt es hunderte, tausende Treffer.
Deutschland ist so von Markierungen bedeckt, dass seine Grenzen erst
sichtbar werden, als Di Filippo näher heranzoomt. Ein Klick auf die
Markierungen zeigt nicht nur an, ob ein System offen ist, sondern auch,
für welche Exploits es anfällig ist. In einer kleinen Stichprobe findet
sich neben Firmen und Kulturbetrieben auch schnell ein Verkehrsbetrieb.
Offensichtlich nehmen zahlreiche Unternehmen, Institutionen und
Infrastruktureinrichtungen die IT-Sicherheit immer noch nicht ernst
genug oder sie sparen an der falschen Stelle, obwohl der
Cyber-Sicherheitsrat den jährlichen Schaden durch Cyberattacken für die
deutsche Volkswirtschaft auf bis zu 50 Milliarden Euro schätzt. Di
Filippo vermutet, dass Verantwortliche Aufwand und Kosten einer
umfassenden Sicherung scheuen. In den vergangenen Monaten sei das
Interesse an den Diensten seiner Firma allerdings stark gestiegen, sagt
er.
Unternehmen investieren mehr
Die NSA-Spähaffäre und spektakuläre Hackerangriffe im vergangenen Jahr
haben den Sinn für die Gefährdung von Wirtschaft und Infrastruktur durch
fremde Mächte und Kriminelle wahrscheinlich geschärft. Das bestätigt
auch eine Studie, die die Nationale Initiative für Informations- und
Internet-Sicherheit (NIFIS) im vergangenen Dezember veröffentlichte.
Demnach rechnet etwa die Hälfte der deutschen Unternehmen damit, dass
2015 die Ausgaben für IT- und Informationssicherheit um die Hälfte
zunehmen werden. 15 Prozent erwarten eine Verdreifachung, 17 Prozent
eine Verdopplung. Mit weniger Ausgaben rechnet keine der befragten 100
Firmen, lediglich 19 Prozent gehen von unveränderten Ausgaben aus.
Noch aber finden Hacker in Deutschland jede Menge Unternehmen, deren
Geheimnisse leichte Beute für sie sind. Und ihre Zahl könnte noch
deutlich steigen. Denn viele Firmen würden ihre Produktion vernetzen,
ohne die Sicherheit dabei genügend zu berücksichtigen, sagt Sophos-Mitarbeiter
Sascha Pfeiffer. "Ganz einfach, weil es möglich ist." Auch viele für
Infrastruktur und Versorgung lebensnotwendige Einrichtungen und
Unternehmen sind für Angriffe aus dem Internet nach wie vor sehr
verwundbar. Dazu gehören die Bereiche Energieversorgung, Verkehr,
Gesundheitswesen sowie Banken und Versicherungen.
Gesetz noch nicht verabschiedet
Die beim Honeytrain registrierten Zugriffe aus China, den USA,
Frankreich und anderen Ländern könnten Maßnahmen eines kalten
Cyberkrieges sein. Staatlich beauftragte Hacker könnten Munition für den
Ernstfall sammeln, in dem ein geballter Angriff die Infrastruktur eines
Landes lahmlegt und vielleicht größeren Schaden als Bombenangriffe
anrichtet. Deutschland wäre darauf noch nicht vorbereitet. Ein
IT-Sicherheitsgesetz, das unter anderem den Schutz der "kritischen
Infrastruktur" stärken soll, liegt erst als Entwurf vor.
Eine überfällige Maßnahme darin sieht vor, dass die Betreiber einen
Mindeststandard an IT-Sicherheit einhalten müssen. Vorfälle sind an das
Bundesamt für Sicherheit in der Informationstechnik zu melden. Das BSI
soll sie auswerten und die Ergebnisse den Betreibern "schnellstmöglich"
zur Verfügung stellen. Außerdem will die Regierung die "Warnbefugnisse"
des BSI erweitern. Sascha Pfeiffer würde einen größeren Druck auf die
Unternehmen begrüßen. Er könnte sich beispielsweise
öffentlichkeitswirksame Zertifikate vorstellen, die das BSI nur gut
abgesicherten Unternehmen verleihen könnte. Aufklärung und freiwillige
Selbstverpflichtungen sind für ihn nicht ausreichend.
Quelle: n-tv.de
http://www.n-tv.de/technik/Hacker-lassen-Zug-entgleisen-article14728321htmll