Honeynet-Projekt analysiert Gefahren für Industrie 4.0

Infrastrukturen und Produktionsstätten werden gezielt angegriffen, potenzielle Angreifer lauern überall. Den Nachweis dafür lieferte die Analyse der 60.000 Zugriffe auf eine virtuelle Infrastruktur, die der TÜV SÜD während der achtmonatigen Laufzeit seines Honeynet-Projektes verzeichnen konnte. Das Honeynet kombinierte reale Hardware und Software mit einer simulierten Umgebung eines kleineren Wasserwerks. Die Experten beobachteten Zugriffe von Servern aus der ganzen Welt, teilweise unter verschleierten IP-Adressen.

Besonders die zunehmende Digitalisierung und Vernetzung der Industrie - Stichwort Industrie 4.0 - macht Infrastrukturen und Produktionsstätten anfälliger für Angriffe. Die Erkenntnisse aus dem High-Interaction-Honeynet sollen Unternehmen aus den unterschiedlichsten Branchen dabei helfen, ihre Sicherheitsvorkehrungen an die realen Bedrohungen anzupassen. Die Sicherheitsvorkehrungen des simulierten Wasserwerks entsprachen dem industrieüblichen Niveau. Entwickelt und umgesetzt hatten die TÜV-SÜD-Experten den praxisnahen Aufbau des Systems zusammen mit Vertretern der Versorgungswirtschaft.

Auch unbedeutende Systeme werden ausgespäht

Der erste Zugriff erfolgte nahezu zeitgleich mit der Inbetriebnahme des Systems. Die während der Laufzeit registrierten 60.000 Zugriffe erfolgten aus 150 Ländern "Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird", sagt Dr. Thomas Störtkuhl, Senior-Security-Experte und Teamleiter Industrial IT Security bei TÜV SÜD. Die Hitliste der Zugriffe nach IP-Adresse führten China, die USA und Sürdkorea an, was allerdings nicht zwingend mit dem realen Standort der Angreifer übereinstimmen muss. Auch erfolgten die Zugriffe teilweise über verdeckte oder verschleierte IP-Adressen.

Zudem erfolgten die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus/TCP oder S7Comm. Letztere waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt. Daraus schlussfolgert Störtkuhl, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das könne entweder ein genereller Angriff auf bestimmte Strukturen und Geräte oder ein gezielter Angriff auf ein ausgewähltes System sein.

Warnsignal für Unternehmen

Nicht nur für die Betreiber von Infrastrukturen seien die Ergebnisse des Honeynet-Projekts ein Warnsignal, betont Störtkuhl, sondern auch für produzierende Unternehmen: "Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen". Sie könnten so zu Opfern einer Angriffswelle werden, selbst wenn sie nicht gezielt ausgesucht wurden. Denn wenn die Unternehmen durch solche Spähaktionen erst einmal auf den Monitor potenzieller Angreifer geraten seien, erleichtere das einen gezielten Angriff zu einem späteren Zeitpunkt. Das belegen die über unterschiedliche Protokolle erfolgten Angriffsversuche auf das simulierte Wasserwerk des TÜV SÜD: Dabei handelte es sich zum einen um eine weltweite Denial-of-Service-Attacke und zum anderen um zwei gezielte Angriffsversuche über zwei unterschiedliche Industrieprotokolle.

Da Systeme, Infrastrukturen und Produktionsstätten kontinuierlich ausgehorcht werden, mögen sie auch klein oder unbedeutend sein, sollten Unternehmen und Betreiber von Infrastrukturen ihre Sicherheitsvorkehrungen überprüfen und an die Risiken und Gefährdungslagen anpassen. Zu berücksichtigen sind nach den Erfahrungen des Honeynet-Projekts zwingend Industrieprotokolle. (ur)