Schweizer Regierungsexperten warnen vor Blackout wegen IoT-Geräten
IT-Security-Experten der Schweizer Regierung warnen vor Risiken im Internet der Dinge: Viele IoT-Haushaltsgeräte seien für einen Stromausfall missbrauchbar.
(Bild: pixabay.org)
Die Melde- und Analysestelle Informationssicherung (Melani) der Schweizer Regierung hat ihren aktuellen Halbjahresbericht zur Cyber-Bedrohungslage veröffentlicht. Erörtert werden darin wieder die wichtigsten Attacken und Risiken der zweiten Jahreshälfte 2018 im In- und Ausland.
Das Bedrohungsszenario, dass mit dem Internet der Dinge (Internet of Things; IoT) die Lichter ausgehen könnten, bereitet Melani besonderes Kopfzerbrechen. Die Sorgen der eidgenössischen IT-Securityexperten gründen auf einer 2018 publizierten Studie der amerikanischen Princeton University.
In den beschriebenen Angriffsszenarien werden Stromausfälle nicht durch Beeinträchtigung der Energieproduktion oder Übertragung verursacht, sondern die Verbraucherseite ins Visier genommen. Demnach bergen allerlei IoT-Geräte im Smart Home, die für deren Fernsteuerung ans Internet angeschlossen sind, gewisse Risiken. Es wäre durchaus möglich, dass böswillige Akteure offen erreichbare oder ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, etwa für einen Stromausfall, missbrauchen könnten, betont Melani.
Instabiles Stromnetz herbeiführen
Die Meldestelle geht davon aus, dass Endgeräte der Abnehmer vielfach nur marginal geschützt sind. Sie befürchtet weiter, dass dann Botnetze aus IoT-Geräten mit hoher Leistungsaufnahme wie Klimaanlagen, Heizungen und Waschmaschinen aufgebaut werden könnten, und falls deren Leistungsaufnahme geografisch koordiniert und in großem Ausmaß unerwartet beeinflusst würden, sich sodann ähnliche Instabilitäten im Stromnetz herbei führen ließen, wie dies 2003 bei einem schließlich erfolgten Blackout in Italien der Fall war. Diese Vorgehensweise wird "Manipulation of demand via IoT (MadIoT)" genannt, schreibt Melani.
(Bild: Usenix.org)
Security-Forscher vergleichen das Vorgehen mit einem DDoS-Angriff (Distributed Denial-of-Service), wo zu einem Botnetz zusammengeschaltete ungeschützte Computer eine Website mit Anfragen überfluten. MadIoT-Attacken müssen nicht unbedingt gleich im totalen Stromausfall enden – doch Schutz vor derart ebenfalls provozierten Frequenzinstabilitäten, Leitungsüberlastungen und kaskadierenden Fehlfunktionen, könnten die Betriebskosten für Energieversorgungsunternehmen anschwellen lassen.
Melani erwähnt den 2017 demonstrierten Versuch von Sophos, dem britischen Hersteller von Sicherheits-Software, der zeigte, dass exponierte IoT-Geräte in Smart Homes in kurzer Zeit von vielen Seiten angegriffen werden können. Dabei stellte der Sicherheitsdienstleister auch eine hohe Konzentration von solchen exponierten IoT-Geräten in der Schweiz fest. Melani befürchtet, dass das Internet of Things somit zu einer Bedrohung der kritischen Infrastrukturen in der Schweiz werden könnte.
Tausende Angriffe auf Wasserversorgung
Auf eine weitere kritische Infrastruktur starteten Hacker aus London und Korea bereits zahllose Angriffe, berichtet Melani in ihrem Halbjahresbericht – jedoch ohne Erfolg. Im vergangenen Herbst wurde mehrere tausend Mal versucht, ins Netzwerk der autonomen Betriebssteuerung der Wasserversorgung in der Gemeinde Ebikon einzudringen. Das gerade kurz zuvor neu installierte System konnte die Attacken abwehren. Als Konsequenz wurde die Sicherheitsstufe erhöht.
Es habe sich um Einbruchsversuche ins Netzwerk gehandelt, das etwa Pumpen steuere, Reservoire überwache und bei Wasserdiebstahl Alarm schlage, schrieben regionale Medien damals. Dank einer sehr guten Verschlüsselung hätten die Angreifer keinen Erfolg gehabt. Der Systembetreiber habe die IP-Adressen der Hacker zurückverfolgen und so auch den Ursprungsort ermitteln können, hieß es.
Die Antivirenhersteller entwickeln zunehmend Produkte, die sich nicht nur um die klassische vernetzte Hardware wie PCs und Tablets kümmern, sondern um den gesamten IoT-Gerätezoo im Haushalt. Ein großer Scan offenbart, dass das sehr notwendig ist.
Weitere Schwerpunkte setzen die IT-Security-Ermittler des Bundes mit der Frage, wie Staaten auf IT-Hersteller Einfluss nehmen. Dazu schreibt Melani, dass heute der IT-Markt klar von US-Unternehmen dominiert werde, China aber auf der Überholspur sei, zusammen mit vereinzelten globalen Mitspielern im Bereich Hard- und Software, beispielsweise aus Korea, Russland oder Deutschland. Der potenzielle Zugriff auf Hersteller durch die jeweiligen Sitzstaaten führe zu Fragen über den richtigen Umgang mit diesen Risiken.
Lukrative Erpressungsversuche per Mail
Ein dem Melani wichtiges Thema waren außerdem die Erpressungsversuche durch sogenannte "Fake Sextortion". Seit März 2018 kursieren unzählige "Fake Sextortion"-E-Mails, in denen Cyberkriminelle behaupten, sie würden über kompromittierendes Bildmaterial verfügen, das die Empfänger beim Konsum pornografischer Websites zeigt. Als "Beweis" für die Echtheit der Behauptung werden in der E-Mail oft Passwörter oder Handy-Nummern genannt, die aus früheren Datenlecks stammen. Wer keine Bitcoins überweisen will, dem wird laut Melani neuerdings auch schon mal ein Säure- oder Bombenanschlag angedroht.
Gemäß dem Bericht von Melani lohnt sich das Geschäft, auch wenn eigentlich eher kleinere Beträge gefordert werden. Basierend auf der Analyse der Bitcoin-Adressen in den E-Mails, die Melani gemeldet wurden und auf die das Lösegeld bezahlt werden sollte, sind in der zweiten Jahreshälfte 2018 fast 100 Bitcoins einbezahlt wurden. Das entspricht einem Gegenwert von rund 360.000 Franken (rund 316.000 Euro), schreibt Melani. (tiw)
