Ransomware für Industriekontrollsysteme: Forscher legen Proof-of-Concept vor

SicherheitSicherheitsmanagement

Sie wollen so vor Gefahren für sogennante “kritische Infrastrukturen” warnen. Dazu skizzieren sie einen Angriff auf eine simulierte Wasseraufbereitungsanlage über speicherprogrammierbare Steuerungen (SPS). Sie nutzen Lücken aus, um Ventile zu steuern und falsche Anzeigen im Display darstellen zu lassen.

Um auf die zunehmenden Gefahren für vernetzte Industriesysteme hinzuweisen, haben Sicherheitsforscher des Georgia Institute of Technology eine Studie vorgelegt, in der geschildert wird, wie sich dafür spezielle Erpressersoftware erstellen und über Lücken in speicherprogrammierbare Steuerungen (SPS) einschleusen lässt.

Der auf der Sicherheitskonferenz RSA in San Francisco vorgestellte Forschungsbericht beschreibt stellvertretend für andere für die tägliche Versorgung benötigte Einrichtungen einen Angriff auf eine simulierte Wasseraufbereitungsanlage. Die Forscher untersuchten zunächst die Sicherheitsvorkehrungen von drei Modellen hinsichtlich Passwortsicherheit und Schutz vor Manipulationen. Die analysierten SPS verbanden sie anschließend mit Pumpen, Rohren und Tanks, um eine Wasseraufbereitungsanlage zu simulieren.

fabrik-industrie (Bild: Shutterstock)

Mit ihrem Ransomware-Angriff gelang es ihnen, das gesamte Kontrollsystem der Aufbereitungsanlage lahmzulegen. Auf die Gefahr solcher, rein destruktiver Angriffe hatte Trend Micro allerdings in einer gemeinsam mit der Organisation amerikanischer Staaten (OAS) schon 2015 vorgelegten Untersuchung hingewiesen. Die Forscher des Georgia Institute of Technology gingen nun einen Schritt darüber hinaus und untersuchten, wie Kriminelle sich die Lücken zunutze machen könnten, um von den Betreibern Geld zu erpressen.

Dazu legten sie dar, dass Erpresser etwa mit der unkontrollierten Zugabe von Chlor zum Trinkwasser drohen könnten, die sich über die Anlage steuern lässt. Das Wasser würde dadurch ungenießbar und könnte zu Chlorvergiftungen bei den Kunden führen. Durch den Zugriff auf die SPS konnten sie aber nicht nur Ventile steuern, sondern auch die Displayanzeigen manipulieren. Dass dies keine rein theoretische Möglichkeit ist, hatte Kaspersky schon vor einigen Jahren erklärt: Anlass war damals die Manipulation von Abfüllanlagen in Raffinerien zugunsten der abholenden LKWs.

Bei ihren Arbeiten fanden die Forscher auch 1400 Exemplare eines bestimmten SPS-Typs, die leicht über das Internet angreifbar waren. Viele der Geräte befanden sich zwar hinter einer Unternehmens-Firewall, aber die bietet nur Schutz, solange das Netzwerk nicht kompromittiert ist.

Ausgewähltes Whitepaper

Wege zu zukunftsfähiger Daten- und Prozessintegration in Unternehmen

Für Unternehmen aller Branchen kann der Wert von Daten heute eigentlich gar nicht mehr hoch genug eingeschätzt werden. Diese Erkenntnis hat sich allgemein durchgesetzt. Unklar ist oft dagegen noch, wie man diesem neuen Paradigma in der eigenen Firma gerecht werden soll.

Neu an der Arbeit der Forscher aus Georgia ist vor allem der Dreh, aus dem Zugriff auf die Anlagen Geld erpressen zu können. Dass derartige Anlagen durch die früher nicht vorgesehen Vernetzung und die unzureichende Absicherung der Einzelkomponenten gefährdet sind, ist Experten schon länger klar. Außerdem weisen auch zahlreiche Hersteller von IT-Sicherheitsprodukten seit Jahren darauf hin. Zu nennen sind hier insbesondere Symantec, Kaspersky, das erst kürzlich mit KasperskyOS ein eigenen Angaben zufolge “sicheres Betriebssystem” vorgestellt hat, das auch in solchen Anlagen zum Einsatz kommen könnte, McAfee sowie Trend Micro

In Deutschland wurde federführend vom Bundesministeriums des Inneren die “Nationale Strategie zum Schutz Kritischer Infrastrukturen” (KRITIS-Strategie) entwickelt. Dazu wurde schon 2005 gemeinsam mit Sicherheitsexperten aus der Wirtschaft und dem Bundeskriminalamt ein Basisschutzkonzept erstellt. 2009 hat das Ministerium dann Richtlinien für die Betreiber sogenannter “kritischer Infrastrukturen” erarbeitet. Mit der Kooperation UP KRITIS sollen die im “Nationalen Plan zum Schutz der Informationsinfrastrukturen” (NPSI / PDF) von der Bundesregierung festgelegten Ziele mittels konkreter Maßnahmen und Empfehlungen ausgestaltet werden.

Mehr zum Thema

Siemens stellt seinen Plan für die digitale Zukunft vor

Mit seiner Digitalisierungsstrategie sieht sich Siemens für den Wettbewerb um lukrative neue Marktsegemente gut gerüstet. Diese Strategie und die weiteren Pläne präsentierte der Hersteller jetzt in München auf einer Veranstaltung. silicon.de fasst sie zusammen und gibt einen Überblick.

2015 ist dann das IT-Sicherheitsgesetz in Kraft getreten. Es verpflichtet Betreiber Sicherheitsvorfälle zu melden. Außerdem enthält das umstrittene IT-Sicherheitsgesetz ein vom BSI festgelegtes Mindestniveau an IT-Sicherheit. Bei Verstößen drohen Strafen von bis zu 100.000 Euro. Im Vergleich zu den ab Mai drohenden Strafen bei Verstößen gegen die EU-Datenschutzgrundverordnung sind die aber immer noch recht niedrig – zumal wenn man bedenkt, welcher Schaden nachlässige Sicherheitsmaßnahmen in Infrastruktureinrichtungen nach sich ziehen könnte.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen