Noch ein Nachtrag von dieser Woche. Das BSI warnte, dass ein Angriff auf deutsch Stromversorger stattgefunden habe. Im Rückblick einige Informationen, was genau passiert ist.
Anzeige
Eine BSI-Pressemitteilungen …
In einer Pressemitteilung Cyber-Angriffe auf deutsche Energieversorger warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Angriffen auf Energieversorger. Zitat aus der Pressemitteilung des BSI:
Deutsche Unternehmen aus der Energiewirtschaftsbranche sind Ziel einer großangelegten weltweiten Cyber-Angriffskampagne. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet intensiv an einer Vielzahl von Verdachtsfällen, analysiert gemeinsam mit betroffenen Unternehmen das Vorgehen der Angreifer und weist auf nötige Schutzmaßnahmen hin. Demnach nutzen die Angreifer unterschiedliche Methoden, die ihnen in einigen Fällen Zugriff auf Büro-Netzwerke der Unternehmen ermöglicht haben. In mehreren Fällen konnten zudem Spuren der Angreifer nachgewiesen werden, die auf Angriffsvorbereitungen zur späteren Ausnutzung hindeuten. Derzeit liegen keine Hinweise auf erfolgreiche Zugriffe auf Produktions- oder Steuerungsnetzwerke vor.
Diese Meldung gibt nicht so viel her. Die Redaktion von heise.de hat das Thema im Artikel BSI: großflächige Angriffe auf deutsche Energieversorger aufgegriffen. Es ist die Rede davon, dass Angreifer es geschafft hätten, in die Büronetzwerke betroffener Firmen einzubrechen. Ein Übergriff auf die Systeme zur Laststeuerung ist aber wohl nicht erfolgt.
(Quelle: Pexels Pixabay CC0 License)
Nun ja, gelegentlich kommen hier auch schon mal Phishing-Mails mit angehängtem Virus an. Diese werden ungelesen gelöscht. Ein paar Details mehr hätte ich mir vom BSI oder heise.de gewünscht.
Etwas mehr Details
Der Deutschlandfunk hat sich glücklicherweise der Thematik angenommen und ein Interview mit dem Digitalexperten Peter Welchering geführt. Dort erfährt man etwas mehr an Details. Hier die Kernpunkte:
- Im Grunde sind solche Angriffe nichts neues, sondern erfolgen seit vielen Jahren. Der Stromausfall in der Ukraine im Dezember 2015 und die Warnmeldungen des Koordinators der EU für die Terrorismusbekämpfung haben die Politik aufgeschreckt.
- In den Büronetzwerken von gleich mehreren Energieversorgungsunternehmen ist Schadsoftware gefunden worden. Viele davon weisen Ähnlichkeiten zu einer bekannten Schadsoftwarefamilie namens "CrashOverride" auf.
- Verteilt wurde die Schadsoftware über zwei Angriffsvektoren. Sachbearbeiter der Energieversorgungsunternehmen haben Mail mit virenverseuchten Anhängen bekommen. Und die Schadsoftware war auf Web-Servern hinterlegt, auf denen auch die Angebote von Branchendienstleistern gehostet worden. Beim Aufruf einer solchen Webseite eines Brancheninformationsdienstes wurde die Schadsoftware unbeabsichtigt auf die Windows-Systeme heruntergeladen.
- Virenscanner waren teilweise nutzlos, das die Angriffssoftware mit den Werkzeugen der "CrashOverroide"-Familie sehr individuell zusammengebaut werden kann. Dafür gibt es dann keine hinterlegten Virensignaturen. Entdeckt werden kann solche Schadsoftware nur über eine Verhaltensanalyse, also Sicherheitssoftware, die ständig kontrolliert, ob irgendwelche Prozesse auf den Computern des Büronetzwerkes ungewöhnlich sind.
- Die gefundene Schadsoftware setzt an den Übergängen von den Verwaltungsnetzen der Stromversorger zu den Computersystemen der Netzwarten an. Diese Übergänge vom Büronetzwerk zu den Netzwerken, an denen auch die Lastverteilungsrechner hängen, die sind in einigen Fällen wohl nicht so abgesichert, wie das eigentlich erforderlich wäre.
- Es ist bisher kein aktueller Fall bekannt, bei Lastverteilungsrechner mit Schadsoftware infiziert wurde. Trotzdem macht die Situation den Sicherheitsexperten, wegen der unzureichend abgesicherten Schnittstellen und Übergänge von den Büronetzwerken zu den Produktivsystemen, Kopfzerbrechen. Denn beim Stromausfall in der Ukraine im Dezember 2015 ist die Angriffssoftware über die Büronetzwerke in die Steuerungsrechner für die Lastverteilung eingedrungen.
Auf die Frage, warum es überhaupt Übergänge zwischen Verwaltungsnetzen und dem Netzwerk der Lastverteilungsrechner gibt, lautet die einfache Antwort: Wegen des hohen Verwaltungskomforts, wodurch viele Stellen wegrationalisiert werden konnten. Jetzt wird über eine bessere Absicherung dieser Netzwerke nachgedacht. Es gibt folgende Überlegungen:
- Daten nur von den Produktivsystemen in die Büronetzwerke fließen zu lassen und nicht umgekehrt.
- Mit manuellen Datenfreigaben zu arbeiten, die erst erfolgen können, nachdem Daten in einer geschützten Umgebung mehreren Sicherheitskontrollen unterzogen wurden.
Das Problem: Dies verlangsamt die Arbeitsabläufe und erhöht als Folge die Personalkosten. Interessant ist auch die Frage, inwieweit die (auch in privaten Haushalten) einzuführenden Smartmeter für Angriffe verwendet werden können. Bei den ersten Smartmeter-Gateways konnten sehr leicht tausende Haushalte vom Stromnetz genommen werden. Die daraus resultierenden Stromschwankungen könnten dazu führen, dass die Energieversorgung großflächig zusammen bricht.
(Quelle: Pexels Pixabay CC0 License)
Anzeige
Nun wird versprochen, dass die Smartmeter-Gateways neuerer Generationen dies verhindern sollen – also 'hackersicher' seien. Problem: Es ist noch keines dieser Wunder Smartmeter-Gateways der neuen Generation vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert worden. Der 'Fortschritt Digital' muss in diesem Bereich also noch ein bisschen warten. Aber wir haben ja auch keine FDP am Ruder, die schon mal mit Wahlkampf-Slogans (siehe hier und hier) 'Digital first – Bedenken second' aufgetreten ist.
Ergänzung: Eigentlich kann es jedes Unternehmen treffen
Beim Erstellen des Beitrags habe ich vergessen, dass mir noch ein Statement von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Securitye vorlage. Dieser weist darauf hin, dass solche Angriffe sich nicht nur auf Energieerzeuger beschränken.
Die neue Angriffswelle verdeutlicht, dass Unternehmen jeglicher Branche, auch im Bereich KRITIS, Cyberangriffen ausgesetzt sein können und es für diese Angriffe oftmals keinerlei Vorwarnung gibt. Aufgrund der vielen möglichen Angriffsszenarien ist ein effektiver Schutz essentiell.
Gute Sicherheit fängt bei den Menschen im Unternehmen an: zuallererst muss die Bedrohung kommuniziert werden bevor im zweiten Schritt eruiert werden kann, was diese tun können. In solch einem Falle ist es weiterhin sinnvoll, eine Person oder eine Gruppe innerhalb des Betriebs zu haben, die der potentiellen Bedrohung auf den Grund geht – dies muss allerdings umgehend erfolgen.
Phishing E-Mails, die an Unternehmems-Accounts geschickt werden und schadhafte Anhänge (embedded Malware) enthalten, sind oftmals das Mittel der Wahl, doch häufig wird auch lediglich ein einfacher Link verschickt, welchen der Mitarbeiter im Idealfall anklicken soll. Nicht selten werden auch persönliche Accounts der Mitarbeiter zur Zielscheibe. Hierbei hoffen die Angreifer auf ein Öffnen der privaten E-Mails während der Arbeitszeiten.
Es existieren bereits verschiedene Technologien, welche sehr einfach und schnell auf E-Mail- und Web-Gateways implementiert werden können. Am effektivsten sind hier Lösungen zur Dokumentbereinigung. Diese entfernen alle aktiven Inhalte (einschließlich Malware) bei jeglicher eingehender Kommunikation; sei es bei Geschäfts-E-Mails, persönlichen E-Mails oder Downloads aus dem Internet, und greifen somit der Bedrohung vor. Darüber hinaus können Links in E-Mails bereinigt werden, um sicherzustellen, dass durch sie keine Malware-Infektion hervorgerufen wird.
Im Falle einer offensichtlich schadhaften E-Mail gibt es also eine Vorwarnung, doch generell sind diese Bedrohungen immer präsent. Firmen müssen deshalb gut vorbereitet sein, indem sie ihre Mitarbeiter ausreichend schulen, Richtlinien und Abläufe für den Ernstfall etablieren sowie eine Lösung implementieren, die Ihnen hilft, diese durchzusetzen. Durch die Befolgung dieser drei Punkte sichern Unternehmen Ihre Mitarbeiter und Ihre Daten und schützen sich somit vor dem Verlust Ihres geistigen Eigentums.
Ähnliche Artikel
Realer Irrsinn Deutschland: Intelligente Stromzähler
Neue Locky-Trojaner-Welle und weitere Sicherheitsthemen
Open Smart Grid-Protokoll enthält Sicherheitslücken
2015
Bei dieser Meldung fällt mir sofort ein Roman von Marc Elsberg ein: "Blackout" (ISBN: 9783764504458) – das ist zwar keine Reportage über ein bislang (m.W.) real stattgefundenes Ereignis, schildert aber sehr eindrücklich, was uns im Falle eines Falles drohen könnte und vor allem, wie schnell dann auch viele zivilisatorische Errungenschaften wert- und wirkungslos werden (können).
Eine unbedingte Leseempfehlung – besonders für alle, die in immer weiterreichender Digitalisierung nur Fortschritts-Chancen sehen…
Wobei, andererseits: Will man eine intelligente Lastverteilung beim Stromverbrauch erreichen, muss es irgendwie zentrale Steuerungsmöglichkeiten geben. Warum soll meine Waschmaschine unbedingt dann loslaufen, wenn der Gesamtverbrauch im Netz ohnehin groß ist?
Aber: Wie lässt sich eine Balance finden zwischen zentraler Steuerung (als gesellschaftlichem Erfordernis) und Selbstbestimmung (als Bürgerrecht), und das dauerhaft so sicher, dass nicht jemand Interessiertes der Allgemeinheit oder einer/m Einzelnen schaden kann? Selbst absolute Hackersicherheit – so es sie denn gäbe – dürfte hier nicht ausreichen, wären mir doch auch technisch legitime Eingriffe denkbar, die ich trotzdem nicht gutheißen wollte…
Soll die Waschmaschine etwa nachts laufen?
Wenn dann der Schlauch abgeht, verweigert die Versicherung die Zahlung bei eventuellen Wasserschäden, weil man seiner Aufsichtspflicht nicht nachgekommen ist.
Nein danke, ich WILL nicht, dass der Energieversorger mir diktiert, WANN ich etwas zu tun habe.
Ich bezahle den Strom und will somit darüber selbst verfügen.
Smartmeter sind nur ein weiterer Baustein in einem totalen Überwachungsstaat.
"Entdeckt werden kann solche Schadsoftware nur über eine Verhaltensanalyse, also Sicherheitssoftware, die ständig kontrolliert, ob irgendwelche Prozesse auf den Computern des Büronetzwerkes ungewöhnlich sind."
Wenn der Administrator eines solchen Netzwerks das Starten irgendwelcher Prozesse erlaubt hat, dann ist das ein VÖLLIG ahnungsloser Administrator, der SOFORT gefeuert werden sollte.
"Application whitelisting" wird von Windows, dem typischen Angriffsziel, seit knapp 17 Jahren unterstützt und verhindert das Starten aller nicht explizit erlaubten Programme (inkl. Skripts oder MSI/MSP) sowie das Laden aller nicht explizit erlaubten DLLs.
Im Gegensatz zu als Schutzvorrichtung/massnahme völlig untauglichen Virenscnnern oder ähnlicher Sicherheiz(!)-Software, die selbst fast immer von (deutlich) schlechterer Qualität als Windows selbst ist, ist "application whitelisting" eine wirksame Schutzmassnahme.
Mehr unter https://skanthak.homepage.t-online.de/SAFER.html
Wer SAFER alias Softwarebeschränkungsrichtlinien (Software Restriction Policies) oder deren Nachfolger AppLocker nicht einsetzen mag: typischerweise genügt zur Abwehr von Schädlingen schon eine triviale Änderung der NTFS-Zugriffsrechte der Benutzerprofile sowie der HOME- alias Basis-Verzeichnisse: in SDDL-Notation (D;OIIO;WP;;;WD), in Worten "Verbiete Ausführen von Dateien in diesem Verzeichnis für alle Benutzer und vererbe dies für alle Dateien in allen Unterverzeichnissen".
Die Stromversorger sind nicht via Blockchain gesichert?
Ja Hilfe, da schalte ich mal lieber vorsichtshalber das Licht aus und zünd ein Kerzlein an.