Technik
Hacker sind in der Lage, über ungeschützte Steueranlagen Züge entgleisen zu lassen.
Hacker sind in der Lage, über ungeschützte Steueranlagen Züge entgleisen zu lassen.(Foto: Sophos)

Erschreckendes Cebit-Projekt: Hacker lassen Zug entgleisen

Von Klaus Wedekind

Viele deutsche Unternehmen und Infrastruktureinrichtungen sind Cyberangriffen fast schutzlos ausgeliefert. Sie sind leichtsinnig oder knausern an falscher Stelle. Wie Sophos auf der Cebit demonstriert, riskieren sie dabei auch Menschenleben.

Auf dem Cebit-Stand des Sicherheitsanbieters Sophos steht in diesem Jahr eine Modelleisenbahnanlage. Sie ist nicht besonders groß, sehr schlicht, ohne die üblichen Berge, Städtchen oder andere Verzierungen. Trotzdem ist sie außergewöhnlich, denn Sophos demonstriert mit dem "Honeytrain", was passieren kann, wenn ein Schienennetz schlecht oder gar nicht gesichert mit dem Internet verbunden ist. Der Name Honeytrain lehnt sich am Begriff "Honeypot" (Honigtopf) an, womit Computer oder Server bezeichnet werden, die zu Analysezwecken ein völlig schutzloses System und das Verhalten leichtsinniger Nutzer simulieren.

Der Honeytrain ist ein Projekt, das Sophos zusammen mit Koramis durchführt, einem Spezialisten für Industrie-IT-Sicherheit. Es simuliert das ungeschützte Steuerungssystem eines öffentlichen Transportsystems, beispielsweise eines S-Bahn-Netzes. Hacker erkennen nicht, dass ein Angriff nur eine Modelleisenbahn stilllegt, zum Entgleisen oder auf Kollisionskurs bringt. Denn unter der Oberfläche arbeiten echte Industrie-Steuersysteme, originale Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik. Sophos und Koramis können so nachvollziehen, wie Hacker solche Anlagen angreifen und entsprechende Gegenstrategien entwickeln. In der Realität könnte eine Attacke auf einen Verkehrsbetrieb Menschenleben fordern.

Hacker stürzen sich auf Honeytrain

Wer glaubt, Angriffe auf Infrastruktureinrichtungen kämen selten vor, täuscht sich gewaltig. Hacker scannen und durchsuchen das Internet ständig nach verwundbaren Systemen. Tiefere Kenntnisse sind dafür nicht unbedingt nötig, unter anderem mit der Google Hacking Database finden sie dafür kostenlose Tools im Internet. So ist es zu erklären, dass Koramis-Mitarbeiter Marco Di Filippo schon wenige Stunden nach Aktivierung des Honeytrain mehrere Tausend Angriffe registrierte. Ein Großteil davon erfolgte aus China und den USA, aber auch aus Frankreich wurden viele Zugriffe durchgeführt.

Besorgniserregende Echtzeit-Grafiken zeigen verwundbare Systeme in Google Earth. Di Filippo kann sie nach Hersteller und Typ sortieren, beispielsweise gefährdete Unternehmen und Anlagen, die Siemens-Technik verwenden. In allen Industrieländern gibt es hunderte, tausende Treffer. Deutschland ist so von Markierungen bedeckt, dass seine Grenzen erst sichtbar werden, als Di Filippo näher heranzoomt. Ein Klick auf die Markierungen zeigt nicht nur an, ob ein System offen ist, sondern auch, für welche Exploits es anfällig ist. In einer kleinen Stichprobe findet sich neben Firmen und Kulturbetrieben auch schnell ein Verkehrsbetrieb.

Offensichtlich nehmen zahlreiche Unternehmen, Institutionen und Infrastruktureinrichtungen die IT-Sicherheit immer noch nicht ernst genug oder sie sparen an der falschen Stelle, obwohl der Cyber-Sicherheitsrat den jährlichen Schaden durch Cyberattacken für die deutsche Volkswirtschaft auf bis zu 50 Milliarden Euro schätzt. Di Filippo vermutet, dass Verantwortliche Aufwand und Kosten einer umfassenden Sicherung scheuen. In den vergangenen Monaten sei das Interesse an den Diensten seiner Firma allerdings stark gestiegen, sagt er.

Unternehmen investieren mehr

Die NSA-Spähaffäre und spektakuläre Hackerangriffe im vergangenen Jahr haben den Sinn für die Gefährdung von Wirtschaft und Infrastruktur durch fremde Mächte und Kriminelle wahrscheinlich geschärft. Das bestätigt auch eine Studie, die die Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS) im vergangenen Dezember veröffentlichte. Demnach rechnet etwa die Hälfte der deutschen Unternehmen damit, dass 2015 die Ausgaben für IT- und Informationssicherheit um die Hälfte zunehmen werden. 15 Prozent erwarten eine Verdreifachung, 17 Prozent eine Verdopplung. Mit weniger Ausgaben rechnet keine der befragten 100 Firmen, lediglich 19 Prozent gehen von unveränderten Ausgaben aus.

Noch aber finden Hacker in Deutschland jede Menge Unternehmen, deren Geheimnisse leichte Beute für sie sind. Und ihre Zahl könnte noch deutlich steigen. Denn viele Firmen würden ihre Produktion vernetzen, ohne die Sicherheit dabei genügend zu berücksichtigen, sagt Sophos-Mitarbeiter Sascha Pfeiffer. "Ganz einfach, weil es möglich ist." Auch viele für Infrastruktur und Versorgung lebensnotwendige Einrichtungen und Unternehmen sind für Angriffe aus dem Internet nach wie vor sehr verwundbar. Dazu gehören die Bereiche Energieversorgung, Verkehr, Gesundheitswesen sowie Banken und Versicherungen.

Gesetz noch nicht verabschiedet

Die beim Honeytrain registrierten Zugriffe aus China, den USA, Frankreich und anderen Ländern könnten Maßnahmen eines kalten Cyberkrieges sein. Staatlich beauftragte Hacker könnten Munition für den Ernstfall sammeln, in dem ein geballter Angriff die Infrastruktur eines Landes lahmlegt und vielleicht größeren Schaden als Bombenangriffe anrichtet. Deutschland wäre darauf noch nicht vorbereitet. Ein IT-Sicherheitsgesetz, das unter anderem den Schutz der "kritischen Infrastruktur" stärken soll, liegt erst als Entwurf vor.

Eine überfällige Maßnahme darin sieht vor, dass die Betreiber einen Mindeststandard an IT-Sicherheit einhalten müssen. Vorfälle sind an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Das BSI soll sie auswerten und die Ergebnisse den Betreibern "schnellstmöglich" zur Verfügung stellen. Außerdem will die Regierung die "Warnbefugnisse" des BSI erweitern. Sascha Pfeiffer würde einen größeren Druck auf die Unternehmen begrüßen. Er könnte sich beispielsweise öffentlichkeitswirksame Zertifikate vorstellen, die das BSI nur gut abgesicherten Unternehmen verleihen könnte. Aufklärung und freiwillige Selbstverpflichtungen sind für ihn nicht ausreichend.

Quelle: n-tv.de

Empfehlungen