Artikel-Schlagworte: „SCADA“

Kein Cyberterrorismus (diesmal)

Samstag, 3. Dezember 2011

Die Meldung klang dramatisch: Hacker hätten Zugriff auf das Kontrollsystem eines örtlichen Wasserwerks erhalten und dort eine Pumpanlage zerstört.

Ob solche Angriffe möglich bzw. ob sie wahrscheinlich sind, mit welcher Intention sie ausgeführt werden und wie häufig dies in der Vergangenheit bereits der Fall gewesen ist, darüber wird sowohl in der akademischen Community als auch in Regierungskreisen weltweit seit vielen Jahren erbittert diskutiert.

Angriffe auf kritische Infrastruktur

Einigkeit dürfte zumindest dahingehend bestehen, dass viele Kontrollsysteme (sog. Supervisory Control and Data Acquisition Systems, kurz SCADA) inzwischen über das Internet angebunden sind. Die Gründe hierfür liegen häufig in finanziellen Einsparungen begründet, die dadurch entstehen sollen, dass die Administration von Industrieanlagen nicht mehr vor Ort, sondern zentral von einer Stelle aus durchgeführt werden kann. In anderen Fällen sitzt zwar Personal vor Ort, gewährt aber Wartungsfirmen einen Online-Zugriff, damit deren Personal nicht aufwändig (und kostenträchtig) anreisen muss, sondern die notwendigen Anpassungen aus der Ferne vornehmen kann. Wenn ein solcher Online-Zugriff grundsätzlich möglich ist, bietet er ein attraktives Ziel für Hacker, die weltweit versuchen können darauf zuzugreifen und dann nicht nur digitale Schäden anrichten, sondern, indem sie auf die Industrieanlage zugreifen können, auch ganz reale Belästigungen oder sogar Schäden anrichten können. Horror-Szenarien, die immer wieder diskutiert werden, sind z.B. der Zugriff auf elektronisch zu öffnende Schleusentore (um so, die dahinterliegenden Gegenden zu überfluten), die Veränderung lebenswichtiger Parameter in Krankenhäusern oder die Herbeiführung ferngesteuerter Unfälle von Flugzeugen, Eisenbahnen oder sogar Satelliten. Angesichts der aufgezeigten Möglichkeiten würden Angriffe auf SCADA-Systeme auch ein spannendes Ziel für (Cyber-)Terroristen abgeben. Ob derartige Angriffe tatsächlich bereits erfolgt sind, darüber kann man trefflich streiten – insbesondere, da die Angreifer in der Regel nicht verraten, warum sie ein bestimmtes Ziel angegriffen haben und welches Fernziel sie damit verfolgen wollten.

Im eingangs erwähnten Fall wurde zunächst bekannt, dass im SCADA-System der Wasserwerke in der Stadt Springfield, Illinois ein Pumpsystem dabei war, sich ständig an- und wieder abzuschalten, worauf dieses System endgültig kaputt ging. Dies klang ganz ähnlich wie der gegen iranische Zentrifugen eingesetzte Stuxnet-Virus, der durch Veränderungen der Umdrehungszahlen dafür gesorgt hatte, dass sich die Lebenserwartung der angeschlossenen Geräte drastisch verringert hatte. Nachdem ein Wasserwerk in Illinois staatliche Aktionen eher nicht provoziert haben dürfte, lagen kriminelle oder sogar terroristische Motive nahe.

Kein Cyberterrorismus…

Eine nähere Untersuchung des SCADA-Systems ergab, dass Online-Zugriffe aus Russland erfolgt waren. Das U.S.-“Statewide Terrorism and Intelligence Center” verfasste anschließend einen “Public Water District Cyber Intrusion” Report, der an die Öffentlichkeit geriet. Danach wurde der Zugriff als Hacking-Angriff gewertet. Die Meldung verbreitete sich wie ein Lauffeuer. In On- und Offlinemedien wurde spekuliert, wer aus welchen Gründen den ersten SCADA-Zwischenfall nach Stuxnet herbeigeführt haben könnte.

Zwischenzeitlich liegt die – eher profane – Auflösung des mysteriösen Zwischenfalls vor: Die Pumpe hat ihren Geist aufgegeben, wie es Pumpen nun einmal von Zeit zu Zeit tun. Ein schlichter mechanisch-elektrischer Fehler war offenbar der Grund. Und auch der Zugriff von der russischen IP-Adresse konnte aufgeklärt werden. Anders als zunächst angenommen, handelte es sich um keinen Hacker, sondern um den verantwortlichen Mitarbeiter der Wartungsfirma, der sich gerade zum Urlaub in Russland aufhielt, als er darüber informiert wurde, dass es im SCADA-System ein Problem gebe. Er wählte sich – legal und durchaus erwünscht – ein und untersuchte den Vorgang (ebenso wie später auch einmal per Mobiltelefon aus Deutschland) aus der Ferne. Da nicht bekannt war, dass er sich zum Zeitpunkt des Anrufs gerade in Russland aufhielt und sich von da aus einwählte, galt diese IP-Adresse als wichtigstes Indiz für die weitere Untersuchung des Falles. Nachdem sie in Verbindung mit dem Username des Mitarbeiters in den Logfiles auftauchte, lag die Vermutung nahe, dass ein Angreifer sich dieser Daten bemächtigt hatte, um von Russland aus auf das SCADA-System zuzugreifen. Interessanterweise kam jedoch niemand auf die Idee, einmal bei dem betreffenden Mitarbeiter nachzufragen, von wo aus er sich eingeloggt hatte oder ob es eine andere plausible Erklärung für den Login-Vorgang gab. Andernfalls hätte sich die gesamte Geschichte innerhalb von fünf Minuten aufklären können, statt diverse Strafverfolgungs- und Anti-Terrorbehörden sowie die Presse zu beschäftigen.

Interessanterweise scheinen die im “Statewide Terrorism and Intelligence Center” zusammengeschlossenen Behörden ihren Fokus bei der aktuellen Aufklärung des Falles nicht darauf zu legen, warum ein Report ohne Hinweis auf seine Vorläufigkeit der Einschätzung erfolgt ist, oder warum niemand auf die naheliegende Idee gekommen ist, den Betroffenen zu kontaktieren. Auch keine Frage scheint es zu sein, warum überhaupt ein Report zusammengestellt worden ist, nachdem sich herausgestellt hat, dass die Fehlfunktion der Pumpe mit dem SCADA-System überhaupt nichts zu tun hatte, sondern es sich offenbar um eine elektrisch-mechanische Fehlfunktion gehandelt hat. Ziel Nummer eins ist es ganz offiziell stattdessen herauszufinden, wie es sein kann, dass der Report des Centers einem Unbefugten in die Hände gefallen ist. Spätestens seit Wikileaks sollte das eigentlich nichts ganz Ungewöhnliches mehr sein…

… aber auch keine Entwarnung

Ist mit der Auflösung dieses Falles die Gefahr gebannt? Eher nicht. Der ganze Vorfall zeigt, dass auch in sensiblen Bereichen der sog. kritischen Infrastruktur Zugriffe über das Internet möglich sind. Zumindest in einigen Fällen sind SCADA-Systeme nur unzureichend gesichert und verfügen zum Beispiel über festkodierte Passwörter. Angriffe werden damit übermäßig leicht gemacht. Dies versucht offenbar auch der Hacker “Pr0f” zu beweisen, der vier Screenshots von Steuerungsanlagen veröffentlicht hat, um zu zeigen, dass auch andere SCADA-Systeme anfällig für Angriffe sind. Einige Systeme sollen von Passwörtern geschützt sein, die lediglich aus drei Zeichen bestanden, was Angreife übermäßig erleichtern würde.

Derartige Einfallstore belasten nicht nur die Unternehmen selbst oder (bei kritischer Infrastruktur) auch die Kunden bzw. die Bevölkerung, sondern sie sind auch relevant für die Verteidigung eines Staates. Cyber-Komponenten sind bei militärischen Auseinandersetzungen kaum noch wegzudenken und sind daher nicht nur für Hacker oder Terroristen, sondern auch für fremde Staaten ein interessantes Angriffsziel. Die am Donnerstag abgeschlossene deutsche länderübergreifende Krisenmanagement-Übung “LÜKEX” war aus diesem Grund auch darauf ausgerichtet, ein Angriffsszenario auf die IT-Infrastruktur zu simulieren. Wie in Deutschland auf einen derartigen Fall reagiert würde, wird allerdings erst Mitte 2012 feststehen, wenn die Auswertung der LÜKEX 2011 abgeschlossen ist. So lange wird die Auswertung der 18 Monate lang geplanten Aktion dauern.

Virtueller Mord

Mittwoch, 13. Oktober 2010

Mit Hilfe des Internets können alle möglichen Straftaten begangen werden. Eigentlich, so liest man zum Teil, gäbe es keine “klassische” Straftat, die sich nicht auch mit Hilfe des Internet verwirklichen ließe. Als Paradebeispiel wird dann oft der “virtuelle Mord” genannt.

Abgesehen davon, dass der Mord in der Regel sehr real und nur die Tötungsmethode virtuell ausgeführt wird (Ausnahmen bestätigen die Regel), scheinen viele Fälle eher zweifelhaft. Da gibt es zum Beispiel die Kontaktanbahnung über das Internet mit anschließendem echten Treffen. Mit “virtuellem Mord” hat dieser modus operandi allerdings ebenso viel zu tun wie bei den Fällen, bei denen das Internet lediglich irgendeine Rolle für das Motiv des Täters spielt. Über Fälle, bei denen die Tötung tatsächlich über das Internet vollzogen wird, liest man hingegen eher selten.

Ein Beispiel, das von Zeit zu Zeit genannt wird, ist der Zugriff auf lebenserhaltende Systeme im Krankenhaus. So soll das Oberhaupt einer italienischen kriminellen Gruppe mit einer Schusswunde in ein Krankenhaus eingeliefert worden sein. In der Nacht sollen sich seine Gegner elektronisch Zugang zu dem Rechner verschafft haben, der die Medikamention des Patienten steuert. Dort, so wird berichtet, haben seine Gegner die Zusammensetzung der Injektion verändert und – nachdem der Gangsterboß daran verstorben war – alles wieder auf die Ursprungswerte zurückgesetzt, um ihre Spuren zu verwischen.

Dieser Fall klingt allerdings zu “gut”, um wahr zu sein. Zwar, das zeigt Stuxnet, ist ein Zugriff auf industrielle Steuerungsanlagen tatsächlich möglich. Nach glaubwürdigen Aussagen passiert das auch nicht wirklich selten. Grundsätzlich erscheint es daher nicht ausgeschlossen, dass auch Krankenhauscomputer angegriffen und die darüber gesteuerten Instrumente manipuliert werden.

Meist steckt jedoch ein großer Aufwand hinter solchen Angriffen. Zudem benötigt auch ein guter Programmierer in der Regel viel Zeit, um derartige Attacken vorzubereiten. Dass nun eine italienische Mafia (?) Gruppierung innerhalb von 24 Stunden in ein Krankenhaussystem eindringt, dieses zufälligerweise auch noch für die Medikamention des Gesuchten verantwortlich ist, es sich gerade so manipulieren lässt, dass die Dosis letal wirken kann, alles so durchgeführt wird, dass andere lebensüberwachende Instrumente nicht anschlagen und das Ableben nicht rechtzeitig bemerkt wird und die Geschichte später von einer Zeitung nebenbei berichtet werden kann (übrigens ohne weitere Quellenangabe), erscheint in der Summe doch etwas zu viel. Insbesondere erscheint es nicht schlüssig, dass, wenn es lediglich auf das schnelle Ableben des Mafia-Bosses ankommt, nicht einfach ein ganz einfacher Mord, etwa durch Erschießen im Krankenhaus, in Auftrag gegeben wird, statt sich aufwändig in Hacking-Manövern zu verstricken.

Gleichwohl besteht die grundsätzliche Gefahr, dass derartige Taten zukünftig zu beobachten sein werden. Wahrscheinlicher erscheint allerdings, dass Hacker möglicherweise gar nicht erkennen, wo sie gelandet sind und eher aus Versehen als mit Absicht Patienten vom Leben zum Tod befördern. Fälle, bei denen Angreifer unabsichtlich auf schlecht gesicherten Krankenhausrechnern gelandet sind, wurden jedenfalls schon glaubhaft geschildert.

Neues von Stuxnet

Dienstag, 28. September 2010

Der erste Wurm, der nicht nur Computer, sondern auch Steuerungsanlagen für Industriemaschinen (sog. SCADA-Systeme) befällt, bekommt in der letzten Zeit immer mehr öffentliche Aufmerksamkeit. Sogar die FAZ widmet ihm einen großen Artikel. Inzwischen soll er 14 Industrieanlagen in den USA, Südkorea, dem Vereinigten Königreich sowie dem Iran befallen haben.

Neueren Analysen zufolge verschafft das Programm seinen Erstellern einen Fernzugriff auf das System. Diese können dann Steuerfunktionen online austauschen. Sogar eine Rootkit-Funktionalität, die verhindern soll, dass die SCADA-Betreiber die Manipulationen bemerken, ist implementiert. 70 neue oder veränderte Funktionen soll Stuxnet mitbringen, wobei aber nicht ganz klar ist, welche Funktionen der Code enthält. Symantec berichtet über einen historischen Fall, bei dem eine Ventilsteuerung durch einen Trojaner so manipuliert wurde, dass der Druck in einer Pipeline bis zum Bersten erhöht wird.

Wer hinter Stuxnet steckt und welche Zwecke damit verfolgt werden ist nach wie vor offen. Zum Teil wird vermutet, Stuxnet sei eigentlich auf den Iran ausgerichtet gewesen, da dort eine signifikant höhere Infektionsrate bei SCADA-Systemen zu verzeichnen sei. Ob das wirklich der Fall ist, wird sich nicht ohne weiteres klären lassen. Bestätigt worden ist inzwischen jedenfalls, dass tatsächlich Anlagen in Iran, darunter auch des Atomkraftwerks Buschehr, betroffen sind. Bedenkenswert scheinen in diesem Zusammenhang Hinweise zu sein, nach denen das Programm nicht wahllos alle Siemens Steueranlagen angreift, sondern lediglich bestimmte Konfigurationen. Die ohnehin schon geringe Anzahl potentieller Opfer wird dadurch nochmals eingeschränkt, was die Vermutung nahelegt, dass dies eher nicht das “Von-der-Stange” Werk eines 08/15-Programmierers war, sondern sehr spezialisierte Kenntnisse und Zielwünsche dahinter standen. Ein staatlicher Auftraggeber oder sogar Ersteller ist damit zumindest nicht fernliegend.

Die schiere Existenz eines solchen Programms zeigt in jedem Fall, dass die Gefahr für cyberterroristische Angriffe und Auswirkungen reiner Cyberkriege nicht auf die virtuelle Welt beschränkt sind, sondern mit einem Mausklick auf die “echte” Welt übergreifen können.

EDIT:  Bei Wired ist inzwischen ein interessanter Artikel mit vielen weiteren Hintergrundinformationen, auch zum Aufbau des Codes, der Verbreitung des Wurms und weiteren Spekulationen zu den Urhebern erschienen.

Festkodierte Passwörter

Sonntag, 1. August 2010

Dass Malware inzwischen versucht, auf alle möglichen Informationen zuzugreifen ist kein Geheimnis. Dass sie gezielt auf so genannte SCADA-Systeme ausgerichtet ist, ist hingegen vergleichsweise neu. SCADA, die Abkürzung steht für Supervisory Control and Data Acquisition System, sind Systeme, die für die Steuerung von Industrieanlagen genutzt werden, z.B. Kraftwerke oder Versorgungseinrichtungen aus dem Bereich der kritischen Infrastruktur. Aufgrund der angeschlossenen Anlagen haben SCADA-Systeme besondere Bedeutung für die Risikoabschätzung im Bereich des Cyberterrorismus’ sowie für Cyberkriege. Vor kurzem ist nun bekannt geworden, dass eine neu entdeckte Malware gezielt derartige Systeme angreift. Besonders leicht wird dieses Vorgehen gemacht durch ein fest in die Kontroll-Software einkodiertes Passwort. Es handelt sich dabei um das von Siemens genutzte Simatic WinCC SCADA System.

Das Passwort soll bereits seit dem Jahr 2008 bekannt sein, als es kurzzeitig in einem Produkt-Forum auftauchte. Dort wurde es angeblich kurz nachdem der Eintrag entstand wieder gelöscht. In einem weiteren Produktforum soll es jedoch über mehrere Jahre hinweg online verfügbar gewesen sein. Siemens wollte sich hierzu nicht näher äußern. Nach Berichten von Anwendern soll es fast unmöglich sein, das fest vorgegebene Passwort überhaupt zu ändern, da daraufhin andere Systeme nicht mehr wie gewünscht arbeiteten.

Nach Aussage von Joe Weiss, dem Autor von “Protecting Industrial Control Systems from Electronic Threats” soll es sich bei dem fest kodierten Passwort nicht um einen bedauerlichen Einzelfall, sondern eher um eine regelmäßige Erscheinung handeln. “Über 50 Prozent” der Anbieter derartiger Systeme sollen seiner Ansicht nach solche Passwörter in Firmware oder Software einsetzen.