Angriffe auf die Schnittstellen

Das größte Risiko für industrielle IoT-Umgebungen liegt nach Aussage von Martin Grauel, Pre-Sales Manager EMEA bei One Identity, bei den Schnittstellen zwischen Mensch und Maschine (Human Machine Interfaces, HMI). Sie ermög­lichen es den Mitarbeitern, eine Maschine zu überwachen und in laufende Prozesse einzugreifen. Viele HMIs sind mit SCADA-Überwachungssystemen (Supervisory Control and Data Acquisition) verbunden. Oft handele es sich bei HMIs aber um „schlecht programmierte Software, die auf einem alten, ungepatchten System läuft“, die in einem nicht durch Segmentierung geschützten Netzwerk erreichbar sei.

Ein Beispiel für eine Malware, die es gezielt auf SCADA- und andere Steuerungssysteme abgesehen hat, ist Industroyer. Sie wurde unter anderem von dem slowakischen Sicherheitsanbieter Eset analysiert. Nach Angaben von Senior Malware Researcher Anton Cherepanov wurde Industroyer möglicherweise auch bei dem Cyberangriff auf das ukrainische Stromnetz 2016 eingesetzt. Damals gingen in
Kiew vorübergehend die Lichter aus. Laut Cherepanov kann Industroyer Schalter in Umspannwerken und Überstromeinrichtungen manipulieren.

Vergleichbare Einrichtungen würden außerdem in Verkehrsleitsystemen und anderen kritischen Infrastrukturen etwa für Wasser und Gas verwendet. Eine Störung solcher Systeme und Komponenten könne deswegen - direkt oder indirekt - das Funktionieren von lebenswichtigen Diensten beeinträchtigen.

Die immer noch für diese Anlagen verwendeten Industrieprotokolle wurden teilweise schon vor Jahrzehnten entwickelt. Damals waren die industriellen Systeme aber noch von der Außenwelt abgeschnitten. Mit dem industriellen IoT ist das heute nicht mehr der Fall. Um Schaden anzurichten, müssen „Cyberkriminelle nicht nach Sicherheitslücken im Protokoll suchen, sondern ihrer Malware lediglich die Protokollsprache beibringen“, erläutert Anton Cherepanov.

Industroyer ist nach den Erkenntnissen von Eset modular aufgebaut und kann deswegen leicht um weitere Funktionen ergänzt werden. Die Kernkomponente der Schad-Software ist eine Backdoor, die sie auf in­fizierten Systemen einrichtet. Über diese kommuniziert Industroyer mit dem Steuer-Server der Angreifer. Außerdem lassen sich neue Komponenten über die Hintertür herunterladen und installieren. Eset ist es gelungen, mehrere dieser Bestandteile abzufangen und zu untersuchen. Sie richten sich meist gegen bestimmte Kommunikationsprotokolle, die in industriellen Umgebungen verwendet werden. Andere dienen dazu, Daten auf dem verseuchten System zu löschen, oder um weitere potenzielle Ziele im jeweiligen Netzwerk zu identifizieren und anzugreifen.

Sogar für DDoS-Angriffe (Distributed Denial of Service) lässt sich Industroyer nach Aussage von Cherepanov einsetzen. Wer hinter der Malware steckt, ist immer noch unklar. Industroyer gilt als eine der größten Gefahren für kritische Infrastrukturen und industrielle Anlagen seit Stuxnet. Der Stuxnet-Wurm infizierte 2010 unter anderem SCADA-Systeme von Siemens, die zur Steuerung von Frequenzumrichtern in iranischen Atomanlagen gedient haben. Nach Informationen des Whistleblowers Edward Snowden und des Aktivisten Jacob Appelbaum wurde Stuxnet gemeinsam von den USA und Israel entwickelt.

„Ein erfolgreicher Angriff auf Systeme, die physikalische und technische Prozesse steuern, beeinträchtigt unter Umständen die Funktionsfähigkeit der gesamten Anlage“, erläutert Will Stefan Roth, Regional Director DACH & EE bei Nozomi Networks. Das Unternehmen ist auf die Absicherung von Steuerungs- und SCADA-Systemen spezialisiert und hat Standorte in den USA und der Schweiz. „Die aus einem erfolgreichen Angriff resultierende Ausfallzeit hat verheerende wirtschaftliche Auswirkungen“, so Roth. Zahlreiche in der Industrie und von Versorgern eingesetzte Anlagen und Systeme stammen nach seinen Angaben noch aus der Vor-Internet-Ära, und seien damals nach dem Prinzip der physischen Nähe konzipiert worden. Inzwischen habe sich die Arbeitsweise jedoch stark geändert. „Heute sind diese historisch gewachsenen Systeme mit IT-Netzwerken oder mit der Außenwelt verbunden, um Prozesse zu steuern und zu überwachen.“