Kaspersky: Immer mehr Angriffe auf industrielle Steuerungssysteme

Hacker richten ihre Angriffe immer öfter gegen industrielle Steuerungssysteme (ICS). Stuxnet und Co. waren nur der Anfang, warnen Sicherheitsexperten.

Zielgerichtete Attacken auf computergestützte industrielle Steuerungssysteme (ICS) sind die größte Bedrohung für die kritische Infrastruktur und finden regelmäßig statt. Zu diesem Ergebnis kommen die Sicherheitsexperten von Kaspersky Lab.

Solche Angriffe gelangen jedoch selten an die Öffentlichkeit. Das Ausmaß wurde jetzt deutlich, als das Sicherheitsunternehmen ein ICS, mit dem üblicherweise die nationale Infrastruktur gesteuert wird, als Köder präparierte. In einem einzigen Monat erfolgten 1.300 unbefugte Zugriffsversuche. „Davon waren 400 erfolgreich", sagt Andrey Nikishin, Leiter Spezialprojekte im Bereich Zukunftstechnologien bei Kaspersky Lab.

Die erfolgreichen Angriffe umfassten 34 Verbindungen zu integrierten (Software-) Entwicklungsumgebungen (IDEs), sieben Downloads von Firmware für programmierbare Logik-Controller (PLC) und ein Fall, in dem ein Hacker einen PLC mit seiner Software umprogrammierte, erklärte er auf einer Konferenz von Kaspersky Lab für ICS-Verantwortliche in London.

„Das ist besonders vor dem Hintergrund besorgniserregend, da wir eine Vielzahl von Beispielen gefunden haben, bei denen industrielle Steuerungssysteme mit dem Internet verbunden sind. Und das heißt, sie lassen sich hacken", fährt Nikishin fort.

Die erste Stufe für jeden zielgerichteten Angriff, so der Security-Fachmann, ist die Informationsgewinnung und Vorbereitung. „Die Angreifer durchforsten soziale Medien nach Informationen über ICS-Operator, die zum Ziel von perfekt gestalteten Phishing-Mails werden, um so Steuerungssysteme zu infizieren. Darüber hinaus bedienen sie sich auch anderer öffentlich verfügbarer Informationsquellen, zum Beispiel Fernsehdokumentationen und Fotos in Medien, die Hinweise zu Steuerungssystemen etwa bei Atomkraftwerken geben können", verrät Nikishin.

Zu den bekanntesten Fällen von zielgerichteten Attacken auf industrielle Steuerungssysteme gehören die Infektion einer iranischen nuklearen Anreicherungsanlage mit Stuxnet und der Shamoon-Angriff auf Saudi Aramco, den zurzeit größten Erdölförderer weltweit.

„Der Shamoon-Angriff war simpel. Er sollte auf infizierten Rechner alles löschen. Das ist wirklich gefährlich und die Art von Angriff, die die Öl- und Gasindustrie fürchtet", erläutert Nikishin. „Außerdem ist erst vor kurzem ans Licht gekommen, dass Stuxnet Funktionen enthielt, die es möglich machten, auf infizierten ICS-Computern riesige Datenmengen zu sammeln."

Unbeabsichtigte Infektionen und Insider-Bedrohungen

Obwohl zielgerichtete Attacken am gefährlichsten sind, müssen Operator von industriellen Steuerungssystemen ebenfalls vor versehentlichen Infektionen und Angriffen durch Insider auf der Hut sein.

„Zwar wurde Stuxnet entwickelt, um den Betrieb einer bestimmten Atomanlage zu stören, doch dabei hat der Computerwurm unbeabsichtigt zirka 300.000 industrielle Steuerungssysteme auf der ganzen Welt infiziert", sagt Nikishin.

Aufgrund meiner Erfahrung werde ich das Gefühl nicht los, dass die Situation sich wohl zunehmend verschlechtern wird.

Andrey Nikishin, Leiter Spezialprojekte im Bereich Zukunftstechnologien, Kaspersky Lab

Jeder dieser Infektionen konnte Informationen über das befallene System sammeln und sie zurück an die Malware-Programmierer senden. Überdies läuft jedes mit dem Internet verbundene ICS Gefahr, mit Ransomware wie Cryptolocker infiziert zu werden.

„Das bereitet vielen Verantwortlichen für industrielle Steuerungssysteme schlaflose Nächte, da sie fürchten, ihre Rechner könnten kryptografisch gesperrt und erst gegen Lösegeld wieder freigeschaltet werden", sagt Nikishin. „Spanair JK5022 ist ein Beispiel für eine zufällige Infektion, die dann fatale Konsequenzen hatte."

Im Jahre 2008 wurde einer der Bodencomputer der mittlerweile nicht mehr existierenden Fluggesellschaft mit einem Trojaner infiziert, aber nicht als Ergebnis eines gezielten Angriffs.

Allerdings wurde die Fehlfunktion des infizierten Computers nie als begünstigender Faktor für das Versagen der Warnsysteme ausgeschlossen. „Kritische Warnsysteme fielen vor dem Start aus, was dazu führte, dass ein Flugzeug verunglückte und dabei 154 Menschen an Bord ums Leben kamen", schildert Nikishin.

Zu guter Letzt sind industrielle Steuerungssysteme anfällig für Angriffe durch Insider, die aus Rache oder Geldgier handeln – oder weil sie erpresst werden. Nach Angaben von Nikishin kommen einige dieser Attacken nach relativ kurzer Zeit ans Licht, während andere wiederum jahrelang unentdeckt bleiben. 

Er fügt hinzu: „In einem Fall änderte ein Insider ein paar Zeilen Code für ein Steuerungssystem bei einer Öl- und Gasfirma, um etwas Treibstoff abzuzweigen. Doch nach drei Monaten kam man ihm auf die Schliche. In einem anderen Fall manipulierte bei einem russischen Bergbauunternehmen eine Hackerbande Code, um etliche Tonnen Eisenerz beiseitezuschaffen. Das brachte ihnen 50 Millionen US-Dollar Gewinn ein, bevor der Schwindel nach drei Jahren aufflog."

Leichte Ziele

Kaspersky Lab erwartet, dass der aufkommende Trend von Angriffen auf Subunternehmer weiter anhält und wächst. „Anbieter von kritischer nationaler Infrastruktur und Operator von industriellen Steuerungssystemen sind in der Regel gut geschützt, aber ihre Zulieferer und Subunternehmer sind allzu oft relativ leichte Ziele", berichtet Nikishin.

Analog dazu nimmt man an, dass Angreifer industrielle Steuerungssysteme ins Visier nehmen, weil industrielle Netzwerke potenziell einen einfacheren Weg bieten, um zu den besser geschützten IT-Systemen der Unternehmen durchzudringen.

Ebenso ist davon auszugehen, dass Angreifer ihr Augenmerk auf Remote-Control-Systeme richten und versuchen, sie zu kompromittieren. Das ist besonders dort eine wachsende Gefahr, wo man diese Systeme zur Kostenersparnis angeschafft und zugunsten des Bedienkomforts auf ausreichenden Schutz verzichtet hat.

„Alle möglichen Dinge, einschließlich öffentlicher Verkehrssysteme und sogar Kriegsschiffen, werden mit Remote-Control-Systemen ausgerüstet, die denkbar anfällig für eine Kompromittierung sind", warnt Nikishin.

Kaspersky Labs weist auch auf die Gefahr möglicher Angriffe auf Gebäudesteuerungssysteme hin, die für die Videoüberwachung, Klimaanlagen, Beleuchtung und Zugangskontrolle zuständig sind.

„Bei der Analyse von Malware sind Komponenten zur Steuerung von Eingangstüren aufgefallen. Angreifer könnten somit theoretisch den Zugang zu bestimmten Gebäuden sperren, was äußerst brisant sein kann", berichtet Nikishin und blickt eher sorgenvoll in die Zukunft: „Aufgrund meiner Erfahrung werde ich das Gefühl nicht los, dass die Situation sich wohl zunehmend verschlechtern wird."

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close