Angriffe von Hackern auf Kritische Infrastrukturen wie das Stromversorgungsnetz häufen sich – und sie werden immer gefährlicher. So können Cyberattacken Generatoren und Transformatoren massiv beschädigen. Stromversorgungsunternehmen und Stadtwerke müssen daher Vorkehrungen treffen.
Ohne Strom nichts los. Diese unerfreuliche Erfahrung mussten Einwohner der Ukraine bereits zwei Mal machen: Am 23. Dezember 2015 und ein Jahr später, 17. Dezember 2016. Allerdings waren in beiden Fällen nicht technische Probleme die Ursache, dass Hunderttausende von Menschen im Dunkeln saßen, Heizungen ausfielen und weder Fernsehen noch das Telekommunikationsnetz funktionierten. Vielmehr hatten sich Hacker Zugang zu Rechnern von Energieversorgungsunternehmen verschafft und über diesen Weg SCADA-Systeme (Supervisory Control and Data Acquisition) lahmgelegt.
Vom Angriff im Jahr 2015 waren mehr als 220.000 Bürger der Ukraine betroffen. In diesem Fall gelang es den Angreifern, die Workstations des Betriebspersonals zu kapern und 27 Substationen von drei Energieversorgungsunternehmen vom Netz zu nehmen. Die Attacke vom Dezember 2016 zielte dagegen auf die Hauptstadt Kiew und einen dort ansässigen Stromversorger. Die Hacker verschafften sich Zugang zu den Fernbedienungsterminals, über die das Bedienpersonal die Trennschalter steuert. Durch die Abschaltung der Terminals verursachten die Angreifer einen einstündigen Stromausfall.
Profis am Werk
IT-Sicherheitsfachleute gehen davon aus, dass in beiden Fällen Profis am Werk waren, keine Gelegenheitshacker. Denn es bedurfte einer monatelangen Vorbereitung, um Sicherheitsschwachstellen in den IT- und SCADA-Systemen sowie der Netzwerk-Infrastruktur der Stromversorger zu finden. Die Anzeichen deuten daher auf professionelle Hacker hin, die möglicherweise sogar auf die Hilfe von Geheimdiensten und staatlichen Stellen zurückgreifen konnten.
Angriffsfläche wird größer
Solche oder ähnliche Angriffe auf Stromversorgungseinrichtungen und andere „Kritische Infrastrukturen“(Kritis) wie die Wasserversorgung, wichtige Industrieunternehmen, Kliniken, den Finanzsektor, das Telekommunikationsnetz und öffentliche Verkehrssysteme fanden in den vergangenen Jahren mehrfach statt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland 2016“ unter anderem das Beispiel eines Atomkraftwerks an. Während der Vorbereitungen zu Revisionsarbeiten wurden dort Schadprogramme auf einem Rechner zur Darstellung und Aufzeichnung von Handhabungsvorgängen an der Brennelement-Lademaschine (Visualisierungsrechner) entdeckt. Vermutlich gelangte die Malware über einen infizierten USB-Stick auf das System. Zwar entstand dadurch im AKW kein Schaden, doch musste der Betreiber Zeit und Geld in die Analyse des Vorfalls investieren sowie die betroffenen Systeme und Datenträger reinigen.
Maßgeschneiderte Werkzeuge für Attacken auf Energieversorger
Doch die Aktivitäten von Cyberkriminellen zielen nicht nur auf die IT-Infrastruktur in den Büros von Stromversorgungsunternehmen ab. Erst vor wenigen Monaten ging den Sicherheitsforschern des europäischen Security-Software-Herstellers ESET ein Trojaner ins Netz, der es speziell auf Industrieanlagen und die Systeme von Energieversorgern abgesehen hat. Die Schadsoftware mit dem Namen „Industroyer“ (eine Kombination aus „Industry“ und „Destroyer“, also „Zerstörer“) ermöglicht es Cyberkriminellen, industrielle Steuerungssoftware (SCADA) von Umspannwerken anzugreifen.
Die Auswirkungen können beträchtlich sein: von der Unterbrechung der Stromversorgung bis hin zu physischen Schäden an Komponenten. Die Malware ist beispielsweise in der Lage, Schalter in Umspannwerken und Überstromschutzeinrichtungen zu beeinflussen. Dafür werden Kommunikationsprotokolle verwendet, die in Steuerungs- und Kontrollsystemen genutzt werden. Diese Protokolle sind nicht nur in der Stromversorgungsinfrastruktur im Einsatz, sondern auch in Verkehrskontrollsystemen und in anderen Kritischen Infrastrukturen.
Die Schalter und Schutzeinrichtungen sind digitale Äquivalente von analogen Schaltern. Eine Störung solcher Systeme und Komponenten kann weitreichende Folgen haben – vom Abschalten der Stromverteilung über kaskadenförmige Netzzusammenbrüche bis hin zu Schäden an der Hardware. Der Schweregrad der Schäden kann zudem je nach Umspannstation unterschiedlich ausfallen.
Alte Protokolle treffen auf junge Hacker
Ein Problem ist, dass die Protokolle, auf die Industroyer zurückgreift, vor Jahrzehnten entwickelt wurden. Damals waren industrielle Systeme weitgehend von der Außenwelt abgeschnitten. Konzepte wie Industrie 4.0 und Smart Metering, bei denen Maschinen, Stromzähler und Steuerungen über das Internet miteinander „sprechen“, existierten bestenfalls in den Köpfen von Forschern. Cyberkriminelle müssen also gar nicht nach Sicherheitslücken in einem Protokoll suchen, sondern ihrer Malware lediglich die Protokollsprache beibringen. Angreifer könnten die Malware außerdem mit geringem Aufwand an jede Umgebung anpassen – und das macht sie extrem bedrohlich.
Es ist unwahrscheinlich, dass eine solche Malware ohne Zugriff auf die Steuerungen oder SCADA-Komponenten geschrieben und getestet werden kann, die in einem Kraftwerk oder einer Fabrik verwendet werden. Die Autoren von Industroyer mussten demnach über spezielle Kenntnisse der industriellen Kontrollsysteme verfügen. Die ESET Forscher gehen davon aus, dass im Fall des Angriffs auf die Ukraine Ende 2016 das Netzwerk des Energieversorgers Ukrenergo infiltriert wurde. Die Hacker sammelten anschließend monatelang Daten über die Anlagen des Unternehmens. Diese Informationen übermittelte Industroyer anschließend über das Tor-Netzwerk an die Cyberkriminellen. Tor ist ein spezielles Netz, mit dem sich Nutzer anonym im Internet bewegen können.
Die Fähigkeit, sich unbemerkt über Wochen und Monate hinweg in einem System einzunisten und den Betrieb von Industrie-Hardware direkt zu stören, macht Industroyer nach Einschätzung von ESET zur gefährlichsten Bedrohung für die industrielle Infrastruktur seit Auftreten des berüchtigten Computerwurms Stuxnet. Dieser manipulierte ab 2007 unter anderem die Steuerungssysteme von Uranmühlen im Iran. Im Gegensatz zu Stuxnet lässt sich Industroyer jedoch flexibel an unterschiedliche Kritische Infrastrukturen anpassen, etwa an Steuerungsanlagen, die in Kraftwerken eingesetzt werden.
Übliche Schutzmechanismen sind nicht genug
Die große Herausforderung im digitalen Zeitalter besteht darin, dass es nur eingeschränkt möglich ist, Steuerungssysteme und Rechner in Kritis zu schützen. Viele dieser Komponenten verfügen über zu wenig Rechenleistung und Arbeitsspeicher oder veraltete Betriebssysteme, um eine Schutzsoftware einsetzen zu können. Deshalb gilt es, die Netzwerke besser gegen Angriffe zu sichern.
Im ersten Schritt ist es wichtig, das Büronetzwerk und die darin integrierten Server, PCs, Notebooks und Smartphones vor Angriffen zu schützen. Das heißt beispielsweise, solche Systeme mit einer umfassenden Endpoint-Lösung, die über einen klassischen Virenscanner hinausgeht, auszustatten und regelmäßig Updates von Betriebssystemen und Applikationen durchzuführen. So lief auf dem Visualisierungsrechner im deutschen AKW, das laut dem Bericht des BSI Opfer eines Angriffs wurde, eine veraltete Betriebssystem-Version. Nur aus diesem Grund konnte er mit einer ebenfalls veralteten Schadsoftware infiziert werden.
Daher ist es entscheidend, die Mitarbeiter für die Gefahr durch Cyberangriffe zu sensibilisieren. Denn als „Türöffner“ nutzen Hacker häufig Phishing-E-Mails mit manipulierten Anhängen. Öffnet der Empfänger eine solche Nachricht, infiziert er seinen Rechner. Wichtig ist daher neben einer effektiven Schutzsoftware ein gesundes Maß an Misstrauen, wenn eigenartige E-Mails von Kollegen im Postfach landen.
Gemeinsame Schutzkonzepte notwendig
Die größte Herausforderung stellt allerdings die unterschiedliche Ausgangslage der einzelnen Kritischen Infrastrukturen dar: Bisher verfügbare Lösungen zur IT-Sicherheit sind oftmals unzureichend auf die Bedürfnisse der Betreiber zugeschnitten. Das heißt, eine spezielle Sicherheitslösung für Energieversorger gibt es noch nicht. Daran arbeiten derzeit das BSI und UP KRITIS – eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.
In Branchen- (BAK) und Themenarbeitskreisen (TAK) erstellen Kritis-Betreiber, Behörden und Verbände seit 2007 gemeinsame Schutzkonzepte. Der erste Sicherheitsstandard für den Sektor Wasser wurde vom BSI im August 2017 zertifiziert. Weitere Normen, etwa im Bereich „Strom“, werden folgen.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.