Der TÜV SÜD testet mit Honeynet, wie anfällig kleine Infrastrukturen für Hacker-Angriffe sind und deckt ein hohes Gefährdungspotenzial auf.
Kleinere Infrastrukturen sind für Hacker nicht interessant. Mit dieser Überzeugung wiegen sich viele Versorgungsunternehmen und Kommunen in Sicherheit. Das ist trügerisch. In einem Honeynet-Projekt hat der TÜV SÜD nachgewiesen, dass auch kleine Infrastrukturen im Netz ausgeforscht und angegriffen werden.
„Ein Honeynet ist ein System, das Angreifer anlocken und damit die genaue Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll“, sagt Dr. Armin Pfoh, Vice President Innovation Management bei TÜV SÜD. Für das Testprojekt kombinierte das High-Interaction-Honeynet von TÜV SÜD reale Hardware und Software mit der simulierten Umgebung eines kleineren Wasserwerks. Während des achtmonatigen Projekts wurden mehr als 60.000 Zugriffe aus 150 Ländern verzeichnet. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, erklärt Dr. Thomas Störtkuhl, Teamleiter Industrial ITSecurity bei TÜV SÜD. Ein Teil der Zugriffe erfolgte über verdeckte bzw. verschleierte IP-Adressen.
Gerade die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7COMM erfolgten, ist für die Betreiber von Versorgungsinfrastrukturen von erheblicher Bedeutung. Für Dr. Störtkuhl ist damit klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme anfällig für mögliche Angriffe sind.
Systeme ohne aktuelle Schutzvorrichtungen machen sich akut angreifbar
Die Ergebnisse des TÜV SÜD-Projekts sind ein deutliches Warnsignal. „Auch kleine und vermeintlich unauffällige Infrastrukturen werden gesehen, weil ständig Ausspähaktionen im Internet laufen“, betont Dr. Störtkuhl. Damit können die Betreiber zum Opfer einer Angriffswelle werden, auch wenn sie nicht gezielt ausgeforscht wurden. Haben potenzielle Angreifer eine Infrastruktur bereits auf den Schirm, macht das einen gezielten Angriff zu einem späteren Zeitpunkt umso leichter.
Solche Angriffe können gewaltigen Schaden anrichten – von der Ausspähung von Informationen bis zur Sabotage einer kompletten Infrastruktur.
„Unser Honeynet-Projekt zeigt, dass sich viele Betreiber von Versorgungsinfrastrukturen in trügerischer Sicherheit wiegen“, warnt Dr. Armin Pfoh. „Sie gehen ein hohes Risiko ein, wenn sie ihre Schutzmaßnahmen nicht anpassen.“
Wesentliche Bestandteile dieser Maßnahmen sind ein gezieltes Monitoring und die Einführung eines Information Security Management Systems (ISMS) nach einem anerkannten Standard, wie ISO/IEC 27001.
Autor:
Dr. Thomas Störtkuhl & Dr. Armin Pfoh,
TÜV SÜD Rail GmbH, München