Dienstleister hackt sich in Anlagen des US-Stromnetzes
Bei Penetrationstests will der Sicherheitsdienstleister ISS nach eigenen Angaben mehrfach "die Hand über dem Ausknopf" für Anlagen gehabt haben. Die sichere Trennung von Office- und Produktionsnetzen sei ein Mythos.
Der jüngst auf der Black-Hat-Konferenz gehaltene Vortrag des Sicherheitsdienstleisters Internet Security Systems wirft ein äußerst schlechtes Bild auf die IT-Sicherheit kritischer Infrastrukturen und Industrieanlagen insbesondere der USA. Bei Penetrationstests will ISS nach eigenen Angaben unter anderem mehrfach "die Hand über dem Ausknopf" für Anlagen gehabt haben, die etwa der Kontrolle und Regelung von Stromnetzen dienten. Dabei habe das XForce-Team von ISS keine besonderen Techniken wie Zero-Day-Exploits für Lücken, für die es noch keine Patches gibt, angewandt. Vielmehr habe man sich auf herkömmliche Weise in die Netze der Anlagen gehackt.
Bei den Tests habe sich auch gezeigt, dass die sichere Trennung von Office- und Produktionsnetzen ein Mythos sei. Zwar würde für die in den Anlagen eingesetzten Steuer- und Messeinheiten (Supervisory Control and Data Acquisition, SCADA) meist ein separates Netz geplant und gebaut, in der Realität würden sich aber schnell undokumentierte Verbindungen zum Verwaltungsnetz etablieren. Sei man erst einmal in das Verwaltungsnetz eingebrochen, beispielsweise über einen offenen WLAN-Access-Point, sei es einfach, zu den SCADA-Systemen vorzudringen und sie zu manipulieren. Laut ISS sind die Hürden zum Einnehmen dieser Systeme besonders niedrig, da sie oftmals keine oder nur schwache Funktionen zur Authentifizierung besäßen. Auch würden derartige Systeme und die dazugehörigen Leit-Rechner nur selten oder gar nicht gepatcht. So hatte auf einem Solaris-Rechner ein zehn Jahre alter Exploit funktioniert.
Nicht immer ist die räumliche Nähe zur angegriffenen Anlage erforderlich. So gelang es dem XForce-Team, sich über den Webserver eines Stromerzeugers bis in dessen Anlagensteuerung durchzuhangeln. Dazu korrumpierte es zunächst die mit dem Server kommunizierende Datenbank mittels SQL-Injection und etablierte anschließend einen VPN-Tunnel in das Backend. Ein Cyberterrorist hätte damit nach Darstellung des Teams große Teile der Stromversorgung lahmlegen können.
Angesichts der Tatsache, dass es bereits relativ dumme Würmer wie SQL-Slammer und Nimda in die Netze von Krafwerken schafften, verwundert der Bericht über den Erfolg der gezielten Attacken nicht. Würmer stellen aber auch weiterhin eine Bedrohung für Industrieanlagen und die Infrastruktur dar. So schilderte ISS den Fall eines per Notebook eingeschleppten Lovsan-Wurms, der die Produktion einer Ölbohrinsel lahmlegte und durch den Ausfall einen Schaden in Millionenhöhe verursachte.
Bleibt zu hoffen, dass es um die IT-Sicherheit der kritischen Infrastukturen in Deutschland besser bestellt ist. Noch im September 2003 stellte der Verband der deutschen Netzbetreiber gegenüber c't fest, dass es für Cyber-Attacken auf kritische Infrastrukturen hierzulande keinen Ansatzpunkt gebe. Ähnliche Sätze hörte ISS allerdings auch bei den Vorgesprächen mit seinen Auftraggebern.
Siehe dazu auch:
- SCADA Security and Terrorism, Präsentation von ISS
- War der Wurm drin? IT-Sicherheit in der US-Stromversorgung c't-Artikel 18/03, Seite 34
(dab)
