Angreifer nehmen Industriesteuerungen im Internet aufs Korn

Das US-CERT warnt davor, dass Angreifer die spezielle Suchmaschine Shodan zum Aufspüren verwundbarer Überwachungssysteme (SCADA) für Industriesteuerungen benutzen.

In Pocket speichern vorlesen Druckansicht 57 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Das Industrial Control System Emergency Response Team (ICS-CERT) der US-Regierung warnt (PDF-Datei) davor, dass die Suche nach über das Internet erreichbaren SCADA-Systemen zugenommen hat. SCADA-Systeme (Supervisory Control and Data Acquisition) dienen der Überwachung und der Konfiguration von Industriesteuerungen, etwa für Pumpen und Motoren. Angreifer könnten gezielt versuchen, über bekannte Default-Passwörter oder Schwachstellen in die Systeme einzudringen und zu manipulieren. Das Ändern von Sollwerten könnte je nach Anwendungsfall zu Störungen oder einem Ausfall führen.

Zu den beliebtesten Zielen gehören offenbar Cisco-Systeme, Webcams und VoIP-Telefone

Grundlage der Einschätzung des ICS-CERT sind offenbar die auf der speziellen Suchmaschine Shodan benutzten Begriffe zum Aufspüren verwundbarer Systeme. Shodan wertet die Banner von Web-, FTP-, SNMP-, SSH- und Telnet-Servern weltweit aus; darin sind meist Angaben über das Produkt, die Version und diverse weitere Daten enthalten. Um beispielsweise einen OpenSSH-Server mit der Uralt-Version 3.7 zu finden, genügt es, auf Shodan als Suchbegriff "openssh 3.7" einzugeben; und prompt bekommt man eine Liste mit vermutlich verwundbaren Servern. Die Suche lässt sich verfeinern und etwa auf bestimmte Länder begrenzen. Neu ist die Suche nach SCADA-Systeme im Internet jedoch nicht, Shodan vereinfacht sie nur erheblich.

Laut ICS-CERT haben Angreifer über Shodan sowohl einzelne PCs als auch über dedizierte WANs erreichbare zentrale Systeme ausfindig gemacht und aufs Korn genommen. Man arbeite mit Herstellern und Dienstleistern daran, die betroffenen Betreiber über das Problem zu informieren. Das ICS-CERT empfiehlt in seiner Warnung unter anderem, alle SCADA-Systeme grundsätzlich nur über VPNs erreichbar zu machen, Standardkonten auf den Systemen zu löschen und sichere Passwörter zu verwenden.

Seit den Stuxnet-Angriffen häufen sich in den letzten Wochen Meldungen über die Sicherheit und Unsicherheit kritischer Infrastrukturen, in denen ebenfalls SCADA- und ICS-Systeme zum Einsatz kommen. Eigentlich ist das Thema ein alter Hut, bislang haben sich jedoch nur Spezialisten damit beschäftigt und seit Langem auf die Gefahr hingewiesen. Bis zu Stuxnet hat sie jedoch kaum einer wahrgenommen. So gesehen hatte Stuxnet auch etwas Gutes: Wie seinerzeit MS-Blaster und SQL-Slammer bei Windows ist Stuxnet mittlerweile der Weckruf für SCADA-Sicherheit. Schade nur, dass nun offenbar jeder versucht, auf den SCADA-Sicherheitszug aufzuspringen und Kapital daraus zu schlagen. (dab)