32C3: Automatische Zugsicherung und vernetzte Bahntechnik im Hackervisier
Eine Hackergruppe, die sich auf Industrieanlagen konzentriert, hat diverse Angriffsflächen rund um vernetzte Systeme zur Zugkontrolle ausgemacht. Veraltete Software sowie unsichere Passwörter seien dort "überall" zu finden.
Vor Sicherheitslücken in vernetzten Systemen zur automatischen Zugkontrolle (ATC), in computer-basierten Stellwerken sowie anderer im Eisenbahnwesen verstärkt eingesetzter Informations- und Unterhaltungstechnik hat die russische Hackergruppe Scada Strangelove gewarnt, die sich auf Industrieanlagen spezialisiert hat. Es gebe dort zahlreiche Angriffsvektoren, erklärten Abgesandte des Teams am Sonntag auf dem 32. Chaos Communication Congress (32C3) in Hamburg. Diese reichten von einfachen Möglichkeiten, die physikalische Sicherheit für zentrale Rechner zu umgehen, über veraltete Software bis hin zu Standard-Passwörtern.
Allein der Eurostar habe sieben automatische Systeme an Bord, fĂĽhrte der Hacker Sergey Gordeychik aus. Dabei handle es sich nicht nur um relativ harmlose Unterhaltungsanlagen fĂĽr die Reisenden. Viele davon arbeiteten vielmehr mit computer-basierten Stellwerken zusammen oder verfĂĽgten ĂĽber Schnittstellen fĂĽr Ăśberwachungskameras oder Solarstationen entlang der Strecken.
Die Anforderungen insbesondere für die Stellwerke und die gesamte Zugsicherung seien zwar standardisiert, formalisiert und recht strikt gehalten, in Deutschland etwa in der Eisenbahn-Bau- und Betriebsordnung. Die Bedrohungsmodelle für Angriffe in der industriellen Welt gingen aber auch deutlich weiter als etwa bei Heimgeräten: sollte es einem Unbefugten gelingen, Signale und Weichen zu manipulieren und so Züge auf Kollisionskurs zu bringen, wäre dies wirklich ein Desaster, konstatierte der Tüftler. Aber auch hoher wirtschaftlicher Schaden sei unabhängig davon denkbar, wenn ein Hacker die Frachteffizienz beeinflussen könnte.
Laut Gordeychik sind schon die Workstations und Server im Bahnbetrieb, die vermehrt auch für die Zugkontrolle eingesetzt werden, vergleichsweise einfach zugänglich: "Die physikalische Sicherheit ist grauenhaft", will er schon anhand Google-Recherchen ausfindig gemacht haben. So fänden sich etwa Bilder mit Notizzettel an den zentralen Rechnern, auf denen selbst einfachste Login-Namen und Passwörter wie "operator" notiert seien.
Noch Windows NT4
"Veraltete Software findet man überall", beklagte der Experte weiter. So seien diverse Workstations für "Windows NT4 mit Service Pack 6 und höher" freigegeben. Dass die Computersysteme redundant angelegt seien, sei in Punkto IT-Sicherheit auch nicht immer hilfreich, da so alle Komponenten zeitnah mit Updates versorgt werden müssten.
Wenn man IT-Verantwortliche bei der Eisenbahn auf die Probleme anspreche, erwiderten diese, dass dies alles virtuelle Lücken seien, die nur im Labor ausgenutzt werden könnten. Die Rechner selbst seien doch mit der "Air Gap"-Technik von anderen Computern oder Netzen logisch oder physisch getrennt. Sicherheitsforschern ist es aber bereits gelungen, auch von derlei vermeintlichen "Offline-Rechnern" Daten zu entwenden. Gezielte Recherchen mit der Suchmaschine Shodan, die auf das Internet der Dinge ausgerichtet ist, führten zudem direkt etwa zu Hostnamen einer Bahnstation in Delhi.
Das speziell für das European Train Control System (ETCS) entwickelte Mobilfunksystem GSM-R, das andere Sicherheitsforscher schon seit Längerem skeptisch beäugen, hält Gordeychik dagegen für relativ sicher. Zumindest sei die Verschlüsselung gut, befand er. Man könne aber etwa "Jamming" probieren, um die Verbindung der Mobiltelefone zur Basisstation zu unterbinden. In einem solchen Fall werde ein Zug automatisch gestoppt. Es gebe zudem Funktionen, um das Handy mit einer SMS zu konfigurieren oder aus der Ferne drahtlos auf den neuesten Firmware-Stand zu bringen. Diese seien genauso leicht zu missbrauchen wie etwa ebenfalls teils vorhandene USB-Schnittstellen.
Viele der in modernen Zügen enthaltenen IT-Systeme kommunizierten über einen Kanal und könnten ferngesteuert werden, ergänzte "repdet". Generell lasse das "Stux(rail)net" grüßen, zumal die vom Hersteller gelieferten Login-Daten häufig nicht verändert würden. Um die Ausrüster und Anwender davon abzubringen, mit Standard-Passwörtern zu hantieren, haben die Hacker eine einschlägige Liste für 37 Anbieter einschlägiger Gateways, Switches, Server oder drahtloser Kontroll-Lösungen im Rahmen ihres Vortrags veröffentlicht.
(as)