Cyber-Crime: (keine) Räubergeschichten zum Sonntag

Heute mal ein Blog-Beitrag, der schon seit ca. 3 Monaten bei mir schlummert. Es geht um Cyberkriminalität, Heroinbriefchen an einen Sicherheitsblogger, Stahlwerks-Hacks, Angriffe auf Stromnetze etc. und die Frage, wie wir von Lobbygruppen und gewissenlosen Managern in die Katastrophe geritten werden.


Anzeige

Wenn Hacker Stahlwerke angreifen …

Ich wurde letzten Oktober von diesem Bloomberg-Artikel, der sich mit russischen Cyberangriffen auf Einrichtungen des Westens befasst, aufgescheucht. Dabei sprang mir auch der Hinweis ins Auge, dass ein Werk der Thyssen Krupp AG angegriffen wurde. Ein Krupp-Sprecher negierte den Angriff, aber eine Recherche von mir ergab folgendes Bild. Bei Stahl-Online-de gibt es diesen Beitrag über einen Angriff:

Unbekannte sind ins Netzwerk eines nicht bekannten Stahlwerks eingedrungen und haben die Anlage beschädigt. Die Ausfälle hätten dazu geführt, dass ein Hochofen nicht geregelt heruntergefahren werden konnte, so das Bundesamt für Sicherheit in der Informationstechnik.

N-tv.de hat die Story in mehr Details im Dezember 2014 gebracht – und die dort bekannt gewordenen Details lassen mir die "Haare zu Berge stehen".

Dem Bericht zufolge haben sich die Angreifer zunächst mit auf Mitarbeiter zugeschnittene Fake-E-Mails Zugriff auf das Büro-Netzwerk der Anlage verschafft und sich von dort aus sukzessive bis in die Produktionsnetze vorgearbeitet. Das BSI bewertet die Kenntnisse der Hacker in diesem Fall als "sehr fortgeschritten" und geht davon aus, dass deren Wissen weit über die Kenntnisse der klassischen IT-Sicherheit hinaus ging und Fachwissen über die eingesetzten Industriesteuerungen und Produktionsprozesse mit einschließt.

Durch den Angriff fielen zunächst einzelne Komponenten aus, letztendlich war der Hochofen nicht mehr zu kontrollieren und befand sich in einem "undefinierten Zustand". Die Angestellten des Stahlwerks konnten den Hochofen nicht mehr herunterfahren und die gesamte Anlage wurde schwer beschädigt …

Ja liebe Leute, geht's noch. Da spielt die Sekretärin Moorhuhn – und über eine Backdoor oder Spear-Phishing können die Angreifer ins Netzwerk und auf die Mess- und Regeltechnik der Produktion zugreifen? Ok, ok, als (noch) Mitglied des "Vereins deutscher Ingenieure" bekomme ich die Broschüren diverser Verbände, in denen Führungskräfte in Worthülsen von Industrie 4.0 schwafeln und mit bunten Bildchen die Sicherheit des Ganzen, was bis zur Klospülung vernetzt sein muss, beschwören. Ich bin über 22 Jahre aus der Industrie raus – aber diesbezüglich hat sich nix geändert.

Angriffe auf die Wirtschaft sind Realität

Sehr aufschlussreich ist der Artikel im Der Westen, der auch auf Informationen aus dem Kompetenzzentrums Cybercrime beim NRW-Landeskriminalamt zurückgreift. Auch dort wird der Stahlwerks-Angriff thematisiert. Was mich alarmiert ist die Aussage: Reputation ist für viele Betriebe ein noch höherer Wert als Anlagensicherheit. Im Klartext: Wir wurden gehackt, unsere Anlage ist den Bach runter gegangen, aber Gott sei Dank hat es keiner da draußen gemerkt – na prima.

Im WAZ-Bericht ist auch der Fall vermerkt, dass in Österreich eine "falsche Steuerung des Gasnetzes" stattfand. Dadurch kam es in Süddeutschland fast zu einem Energie-Blackout bei der Gasversorgung. Eine Schadsoftware mit dem Namen Havex hat mehrere Dutzend deutsche Unternehmen infiziert. Die Schadsoftware stiehlt Informationen über Produktionsanlagen, die sich für Angriffe verwenden lassen.

Diverse Medien widmeten sich im Februar 2015 diesem Phänomen, welches im Bewusstsein der Öffentlichkeit noch nicht wirklich angekommen ist. Je enger Industrieanlagen ins "Internet der Dinge" eingebunden und vernetzt werden, umso angreifbarer wird das alles. Geschildert wird ein Fall des Curran-Gardner-Wasserwerks in Springfield im US-Bundesstaat Illinois. Dort übernahmen Hacker 2011 das Steuerungssystem und schalteten eine Wasserpumpe ständig ein und aus. Glück im Unglück: Die Pumpe wurde überlastet und der Motor brannte durch. Die Hacker kamen über die Fernwartungsschnittstelle des SCADA-Systems in die Steuerung.

Da ist es nur ein kleiner Sprung zur Meldung (bei heise.de), dass Hacker Teile des US-Stromnetzes infiltriert haben. Besonders süffisant an der heise.de-Meldung vom letzten Dezember: Die Anlagen und Netzwerke vieler US-Stromversorger laufen mit Windows 95 und ohne Virenschutz. Und nun sollen diese in ein Smart-Grid eingebunden werden. Und ich bin mich nicht sicher, dass das für Deutschland wirklich negiert werden kann. Irgendwo dümpelt bei mir die Information herum, der von Windows NT-Rechnern in bestimmter Infrastruktur spricht. Es ging um die Infrastruktur zur Zugsicherung und Vernetzung der Bahntechnik – die nach diesem Artikel bei heise.de ein weiteres Angriffsziel ist.

Auch dieser heise.de-Artikel vom November 2015 thematisiert, dass die "Gas- und Öl-Industrie: Leichte Ziele für Hacker" ist. Auch hier sind die SCADA-Systeme (Supervisory Control and Data Acquisition) das Angriffsziel. Das Dokument SAP Cybersecurity for Oil and Gas von der Blackhat-Konferenz verrät Details.


Anzeige

Wer ein wenig Erfahrung im Anlagenbau hat, weiß auch, dass das nicht sicher zu bekommen ist. Da ist immer irgendwo eine Komponente, die vor 20 Jahren mit alter Technik eingebaut worden ist und als Insellösung gut funktionierte. Aber bei der Netzwerkeinbindung wird ein großes Sicherheitsloch aufgerissen – ein Ersatz der Technik ist aus Kosten- und Aufwandsgründen nicht vorgesehen – da laufen Mess- und Regelkomponenten 25 bis 30 Jahre und länger. Und selbst wenn alles modernisiert wurde, ein Passwort 123 oder ein Putzkolonne, die frei im Kontrollraum fuhrwerken kann, macht das alles zunichte.

Das kann uns nicht passieren – oh doch: TIPP macht's möglich

Jetzt kann sich ein "Firmenlenker" doch hinstellen und behaupten "das ist bei uns nicht möglich". Da wird getrennt und verschlüsselt, was das Zeugs hält. Aber abseits der Erkenntnis, dass technische Lösungen immer ihre Schwachstellen haben, gibt es noch eine weitere beunruhigende Entwicklung. Ich gebe mal den Alu-Hut-Träger – obwohl es den in diesem Umfeld so nicht mehr gibt – die Wirklichkeit hat uns alle überholt.

Vor ein paar Tagen gab es im Spiegel Online den Artikel Studie zu TTIP: Die Lobbyistenträume sind längst Wirklichkeit, der auf den Infos der Studie der  Nichtregierungsorganisation Corporate Europe Observatory (CEO) beruhen. Dort ist bereits ruchbar geworden, dass vor Abschluss des Freihandelsabkommens TTIP die Industrie bei Gesetzgebungsverfahren mit am Tisch sitzt und bestimmte Vorhaben im Vorfeld kippt. Zitat:

Doch bereits jetzt nutzt die Industrie den transatlantischen Dialog ganz offenbar dafür, EU-Gesetze zu verwässern, zu verzögern oder gar zu verhindern. "Schon in der Vergangenheit gelang es der Großindustrie im Rahmen des transatlantischen Wirtschaftsdialogs, ihre Interessen auf Kosten des Gemeinwohls durchzusetzen", sagt Max Bank von LobbyControl.

Konkret wird die Elektroschrott-Richtlinie der EU angeführt, die hier im Blog auch schon Gegenstand war (siehe dieser Blog-Beitrag und die Antwort der EU-Kommission auf eine meiner Beschwerden – ja, ich bin gelegentlich ein Krakeler, der die EU-Kommission angeht). Das ist alles so wachsweich formuliert, dass es für die Industrie passt. Aber das ist hier im Beitrag nicht der Punkt. Es geht um die Anlagensicherheit, die ggf. in Zukunft durch TTIP verhindert wird.

In den neunziger Jahren war der Export von Krypto-Technologie aus den USA verboten. Was weiß ich, was in ein paar Monaten an Nonsense in den USA beschlossen wird. Stell dir vor, die EU will dann ein Gesetz zur Verbesserung der Sicherheit von Industrieanlagen oder zur Verschlüsselung von Kommunikation einführen, welches der US-Industrie nicht passt? Das wird mit Sicherheit vorher von Lobbyisten gekippt (Google und Apple machen es aktuell vor, wenn CEOs bei der EU-Kommission vorbei schauen, um Wettbewerbsverfahren – siehe z.B. EU will Google zerschlagen – zu beeinflussen). Sollte ein Land ein eigenes Gesetz verabschieden, kann die Industrie auf Schadensersatz klagen – dank Gabriel sind Schiedsgerichte ja wahrscheinlich.

Die hier geäußerte Befürchtung, dass russische Schiffe und U-Boote Untersee-Kommunikationskabel beschädigen, haben Experten "glaubhaft" widerlegt. Es wäre ein viel leichteres, die Kabel an den Übergabestellen an Land zu sabotieren …

Heroinbriefchen für Brian Krebs …

Kommen wir zur letzten Räuberpistole, die eigentlich der Aufhänger für diesen Blog-Beitrag war (den ich seit Oktober 2015 vor mir her schiebe). Brias Krebs ist ein Sicherheitsblogger, der unter Krebs on Security über Hacks und Datenlecks berichtet. Im Oktober bin ich bei ihm im Blog auf den Artikel Hacker Who Sent Me Heroin Faces Charges in U.S. gestoßen. Krebs bekam in einem Untergrundforum mit, dass ein Hacker mit dem Namen Fly, den er im Blog thematisierte, wohl Heroin bestellt – Lieferadresse war Brian Krebs. Der Hacker plante, das FBI nach Eintreffen der Sendung zu informieren, um Krebs aus dem Verkehr zu ziehen.

Krebs informierte das FBI und dokumentierte den Fall. Es gelang ihm, die wahre Identität des russischen Hackers herauszufinden. Da dieser zwischenzeitlich in Italien weilte, konnte der Hacker festgenommen und an die USA ausgeliefert werden. Wer gut Englisch kann, findet im Blog-Post von Krebs eine wahre Räuberpistole. Aktuell wurde die Story wieder hoch gespült, weil der Ukrainer Sergey Vovnenko, der Hacker Fly, bei seiner Anhörung vor der US-Justiz sich des Kreditkartenbetrugs, des Identitätsdiebstahls und andere Straftaten schuldig bekannte. Zwischenzeitlich hat es auch heise.de mitbekommen und die letzten Wirrungen in diesem Beitrag auf Deutsch thematisiert.

Puh, jetzt kann ich einen dicken Haken unter "Artikel zu Cyber-Security und Stahlwerkshack samt Brians Heroin-Story schreiben" auf meinem Schmierzettel für Blog-Beiträge machen sowie eine Menge Bookmarks löschen. Und die Sonntagslektüre ist für euch gesichert – viel Spaß – und falls ihr eure Meinung kund tun wollt, der Kommentarbereich ist offen.

Ähnliche Artikel:
EU will Google zerschlagen
Daten aus Europa sicher vor US-Behördenzugriffen?
Einheitliche EU-Ladeschnittstelle für Smartphones & Tablets
Volksentscheid und EU Lobby-Register
EU plant Strafe für Microsofts Verstoß gegen Auflagen
Kaufen für die Müllhalde: Stoppt endlich Apple!
Geplante Obsoleszenz: Kaufen für die Müllhalde


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Cyber-Crime: (keine) Räubergeschichten zum Sonntag

  1. Pingback: Anonymous

  2. der_Puritaner sagt:

    Es ist mir bis heute unverständlich wieso Hunderten Industrieanlagen in Deutschland übers Internet zum teil durch ungeschützte kritische Lücken aus erreichbar sind.
    Kann mir das mal irgendwer erklären?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.