"Das lässt große Angriffsflächen entstehen"

Winkler, Präsident der Internet Security Advisors Group, Buchautor und ehemaliger Mitarbeiter des US-Geheimdienstes NSA, führte auf der RSA-Sicherheitskonferenz im April ein viel beachtetes Angriffsszenario auf ein Stromkraftwerk vor.

Technology Review: Herr Winkler, wie würden Sie die derzeitige Sicherheitslage im US-Stromnetz beschreiben, was die Gefahr von elektronischen Angriffen anbetrifft?

Ira Winkler: Der Schutz ist aufgrund der vielen verschiedenen Stromunternehmen, die Teil des Netzes sind, eher inkonsistent. Das habe ich so auch schon vor Sicherheitsfachleuten auf der RSA-Konferenz gesagt, und es wurde später in einem Bericht der Kongress-Aufsichtsbehörde GAO bestätigt. Das Problem ist, dass die Kontroll- und Geschäftsnetzwerke vieler Stromfirmen inzwischen eng miteinander verwoben sind. Das lässt große Angriffsflächen entstehen.

TR: In früheren Zeiten waren Kraftwerks- und Stromnetz-Kontrollsysteme vollständig vom Internet getrennt. Man konnte die Infrastruktur gar nicht von außen erreichen. Warum hat man das geändert?

Winkler: Die Firmen wollten Geld sparen. Der Unterhalt zweier separater Netzwerke war ihnen zu viel – ebenso wie die Tatsache, dass die Leute immer zwei Rechner auf ihren Schreibtischen brauchten, um verschiedene Dinge zu erledigen. Die Firmen begannen also damit, die Funktionalitäten von Business- und Kontroll-PCs zu kombinieren – in dem Glauben, dass man ja keine Verbindung nach außen entstehen lassen wird. Dann begannen die Unternehmen schließlich damit, auch das Internet in ihren geschäftlichen Netzwerken verfügbar zu machen. Und plötzlich waren dann auch die Kontrollnetzwerke über verschiedene Wege online.

TR: Auf der RSA-Konferenz haben Sie ein Experiment vorgeführt, bei dem sie die Besatzung eines Kraftwerks so austricksten, dass sie Ihnen ihre Rechner öffneten. Sind solche Menschen wirklich anfällig für Methoden aus dem Bereich des Social Engineering? Werden sie nicht darauf trainiert, solchen Versuchen zu widerstehen?

Winkler: Erst einmal – ausgetrickst habe ich die Leute nicht. Die Maschinen waren aufgrund der Netzwerkarchitektur offen, nicht dank Social Engineering. Ich benutzte einen zielgerichteten Phishing-Angriff, um die Nutzer auf eine Website zu locken, auf der sie sich dann Malware auf den Rechner herunterluden. Das Problem dabei war, dass sich das Netzwerk als offen genug erwies, dass das auch wirklich klappte. Es gab keine Einbruchserkennungssoftware, die die von uns speziell angefertigte Malware hätte abwehren können. Die Leute werden manchmal durchaus auf so etwas trainiert. Manchmal aber auch nicht. Doch unser Angriff war ziemlich überzeugend, weil die passenden technologischen Abwehrmaßnahmen fehlten.

TR: Vor einem Jahr tauchte ein Demonstrationsvideo auf, in dem gezeigt wurde, wie die so genannte Aurora-Lücke ausgenutzt wird. Dabei konnten Angreifer von außen den Generator eines Kraftwerks abschalten. Ist so etwas wirklich realistisch?

Winkler: Die Aurora-Lücke existiert auch heute noch. Das Video war ziemlich schlecht und gab dem Problem auch kaum einen Kontext. Ich wollte deshalb versuchen, solche Angriffe genauer zu zeigen und zu erläutern, wie sich so etwas auch über das Internet bewerkstelligen lässt.

TR: Wie sah die Aurora-Attacke konkret aus? Lässt sich so etwas tatsächlich ins "Real Life" übertragen?

Winkler: Hinter Aurora stehen Software-Lücken in SCADA-Systemen, mit denen Kraftwerke kontrolliert werden. Darunter fällt auch der Generator. In meiner Untersuchung wollte ich zeigen, wie eine Phishing-Attacke verwendet werden kann, um ähnliche Kontrollanlagen von außen anzugreifen.

TR: Kraftwerkssysteme in den USA und anderswo laufen inzwischen längst auch unter Windows. Wie werden diese Plattformen in Sachen Updates und Sicherheit gepflegt?

Winkler: Oft erstaunlich schlecht, weil die Administratoren es hassen, solche Maschinen zu modifizieren. Es könnte ja zu unbeabsichtigten Ausfällen durch fehlerhafte Software-Aktualisierungen kommen. [In den USA gab es erst kürzlich einen solchen Vorfall in einem Atomkraftwerk, Anm. d. Red.] Und deshalb nutzen sie das auch nicht genug.

TR: Sieht es in Europa besser aus?

Winkler: Da kenne ich mich nicht so gut aus. Ich habe aber einen CIA-Analystenbericht gelesen, in dem stand, dass ein europäischer Stromkonzern neulich erpresst wurde.

TR: Der US-Kongress führte gerade ein Hearing zum Thema Kraftwerkssicherheit durch. Viele dieser Probleme scheinen schon länger bekannt zu sein. Warum passiert dennoch so wenig?

Winkler: Theoretisch müssen die Firmen alle selbst dafür sorgen, dass ihre Systeme abgesichert sind. Es gibt für sie aber zu wenig Anreize. Es kostet sie stets Geld, und es können dabei Fehler entstehen, die zu Ausfällen der Infrastruktur führen. Solange sie nicht gesetzlich gezwungen werden, die Situation zu beheben, wird sich nicht viel tun.

TR: Wie viel Hype steckt noch in solchen Cyberwar-Szenarien? Bis vor Kurzem hätte man Kraftwerkshacks eher in den Bereich von Hollywood-Filem gerückt.

Winkler: Natürlich gibt es viel Hype, aber es gibt eben auch viele Sicherheitsprobleme, die eine böswillige Partei ausnutzen könnte. Das Potenzial, dass es zu ernsten Schäden kommen könnte, halte ich für durchaus real. Die einzige Antwort darauf ist, dass die US-Regierung damit beginnt, Sicherheitsmaßnahmen zu regulieren und sie gesetzlich zu erfordern.

Entsprechende Bitten an die Industrie gibt es schon seit mehr als einem Jahrzehnt – die Behörden fragen freundlich nach. Laut Heimatsicherheitsminister Michael Chertoff soll das auch künftig so weitergehen. Wenn jemand immer wieder das gleiche tut und dabei stets unterschiedliche Resultate erwartet, erfüllt das die typische Definition von Verrücktheit. Geht man danach, muss man Chertoff also für verrückt erklären. (bsc)