Kaspersky-Studie zu Cybersicherheit 91,6 % industrieller Steuersysteme potenziell gefährdet

Moderne Industrieanlagen werden immer häufiger extern gesteuert.
Moderne Industrieanlagen werden immer häufiger extern gesteuert.

Eine lahmgelegte Stromversorgung, ein beschädigter Hochofen - Cyberangriffe auf die Industrie richten auch in der Realität Schaden an. Kaspersky Lab hat analysiert, wie gut Industrieanlagen weltweit vor Cyberangriffen geschützt sind.

Es ist der 23. Dezember 2015. 700.000 Haushalte in der Ukraine sind im Dunkeln – die Hackergruppe „BlackEnergy APT“ hatte es geschafft, Schadsoftware über ein gefälschtes Word-Dokument auf den Computern des Stromversorgers zu installieren.

Zu Zeiten der Industrie 4.0 und der immer stärkeren Vernetzung von industriellen Steuersystemen und dem Internet wird es immer wichtiger, diese Systeme vor Angreifern zu schützen. Sonst kann nicht nur virtueller, sondern auch physischer Schaden entstehen. Besonders schützenswert ist die so genannte kritische Infrastruktur, zu der Bereiche wie Energie- und Wasserversorgung, Gesundheit, Verkehr, Transport und Staat gehören. Wenn diese ausfallen, besteht die Gefahr von Versorgungsengpässen oder der Störung der öffentlichen Sicherheit.

Oft sind aber die verwendeten Systeme, die für den Einsatz in einer isolierten Anlage ohne externe Verbindung entwickelt wurden, nicht gegen moderne Gefahren gerüstet. Das zeigt eine kürzlich veröffentlichte Studie des Cybersicherheit-Unternehmens Kaspersky Lab, die beschreibt, wie groß die Bedrohung in den letzten Jahren geworden ist. Bei der 2015 durchgeführten Analyse wurden weltweit 188.019 Hosts für industrielle Steuersysteme gefunden, die über das Internet ferngesteuert wurden. 30,5 % davon befanden sich in den USA, Deutschland lag mit 13,9 % an zweiter Stelle. Damit einher stieg aber auch das Interesse für Sicherheitslücken in den verwendeten Komponenten. Wurden 2010 noch 19 Schwachstellen öffentlich aufgedeckt, so waren es 2015 schon 189 – das Zehnfache. Am häufigsten wurden Pufferüberläufe (9 %), hartkodierte Zugangsdaten (7 %) und Cross-Site-Scripting (7 %) entdeckt. Diese zumeist kritischen (49 %) oder mittelschweren (42 %) Lücken können schon seit Jahren von der Öffentlichkeit unentdeckt in den Komponenten stecken.

Die meisten der gefunden Lücken wurden inzwischen geschlossen (85 %) oder zumindest teilweise für einzelne Produkte oder Versionen gefixt (5 %). Die verbliebenen 19 Schwachstellen sind weiterhin ungepatcht, etwa weil das Produkt veraltet oder nicht mehr auf dem Markt ist. Dies stellt aber ein großes Risiko dar. 14 der Lücken wurden sogar als hochriskant eingestuft. Auf insgesamt 11.882 Hosts (6,3 % der untersuchten Hosts mit externer Verbindung) konnten verwundbare Komponenten gefunden werden. Am meisten verbreitet waren die hartkodierten Zugangsdaten bei Sunny-WebBox-Komponenten.

Ein weiteres Problem ist, dass viele Besitzer von industriellen Steuersystemen diese als „Black Box“ ansehen und davor zurück scheuen, Änderungen daran vorzunehmen. So werden häufig die Standard-Zugangsdaten verwendet und keine sicherheitsrelevanten Einstellungen vorgenommen.

91,6 % der von Kaspersky untersuchten Komponenten verwendeten zudem unsichere Protokolle, um mit der Außenwelt zu kommunizieren. Am verbreitetsten war das HTTP-Protokoll; nur ein Bruchteil der Komponenten verwendete die sichere Variante HTTPS. Dies erhöht das Risiko für Man-in-the-Middle-Attacken, bei denen Angreifer den Datenverkehr zwischen Steuersystem und Betreiber auslesen und sogar manipulieren können.

Auch große Unternehmen, die meist zur kritischen Infrastruktur gehören, verwenden extern steuerbare Systeme. Von 13.698 gefundenen Hosts enthielten 91,1 % Schwachstellen, 3,3 % waren besonders gefährlich – obwohl dazu sogar Hosts zu kritischen Branchen wie der Energieversorgung, dem Transport und der Lebensmittelherstellung gehören.

Dass Hackerangriffe durch industrielle Steuersysteme physische Schäden ausrichten können, zeigt ein Fall aus dem Juni 2014. Wie das Bundesamt für Sicherheit in der Informationstechnik in seinem Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt, konnten Angreifer den Ausfall einzelner Steuerkomponenten in einem deutschen Stahlwerk bewirken. Dadurch war es nicht mehr möglich, einen Hochofen geregelt herunterzufahren. Die Anlage wurde infolgedessen massiv beschädigt.In der heutigen Zeit ist es kaum mehr möglich, industrielle Systeme vollständig von der Außenwelt und dem Internet zu isolieren. Nicht zuletzt aufgrund ihrer hohen Bedeutung, vor allem in der kritischen Infrastruktur, müssen sie besonders geschützt werden. Dazu gehört einerseits eine Sensibilisierung der Besitzer, damit sie sicherheitsrelevante Einstellungen tatsächlich vornehmen, aber auch ein guter Support der Hersteller, um kritische Sicherheitslücken schnellstmöglich zu schließen.