Aktuelles, Branche - geschrieben von am Dienstag, April 23, 2019 21:20 - noch keine Kommentare

Sicherheitsforschern gelang Hacker-Angriff auf Klärwerk

PSW GROUP fordert besseren Schutz Kritischer Infrastrukturen

[datensicherheit.de, 23.04.2019] Aus aktuellem Anlass weist die PSW GROUP darauf hin, dass eine verschlüsselte Datenübertragung per SSL/TLS „ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens“ ist. Die Einbindung von SSL-Zertifikaten auf Webseiten diene dazu, die zwischen zwei Computern übertragenen Daten zu verschlüsseln und somit vor dem Zugriff Unbefugter zu schützen. „Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen“, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Benutzername und Passwort dürften ausschließlich berechtigen Personen bekannt sein.

Sicherheitsmängel in Industrieanlagen oft gravierend

Zwei Sicherheitsforschern ist es nach Angaben der PSW GROUP gelungen, via Web die komplette Steuerung eines Klärwerks zu übernehmen. Das eingesetzte Prozessleitsystem zur Steuerung der Anlagen war demnach über das Internet erreichbar.
Über ein Web-Interface seien die technischen Details der Industrieanlagen nicht nur abgebildet worden, sondern hätten sich auch noch kontrollieren und steuern lassen. „Solche Systeme sollten aus dem Internet nicht zu erreichen sein. Denn so können Unbefugte Zugriff auf die Administrationsoberfläche erlangen“, warnt Heutger.
Zudem seien die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das mache sie empfindlich für DDoS-Angriffe, bei denen die Rechner übers Internet mit Anfragen überhäuft würden. Heutger: „Sie könnten schnell unter dieser Last zusammenbrechen.“

Einladung an Hacker: Applikation mit vorausgefülltem Nutzernamen

Das viel schwerwiegendere Problem im aktuellen Falle aber war laut der PSW GROUP, dass die Applikation mit vorausgefülltem Nutzernamen arbeitete – „WW“ z.B. habe da für „Wasserwerk“ gestanden. Es sei für die beiden Forscher ein Leichtes gewesen, das Passwort zu erraten und vollen Zugriff auf das Web-Interface zu erlangen:
Spaßeshalber hätten sie „WW“ auch als Passwort eingegeben – und dann nicht schlecht gestaunt, „als sie Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern erhielten“.
Durch Zugriff auf die Nutzerverwaltung wäre es ihnen zudem ein Leichtes gewesen, die Passwörter der User zu ändern und sie so auszusperren, so Heutger. Auch die Bereitschafts-Optionen der Mitarbeiter könnten mit dem Admin-Zugriff geändert werden.

Bundesamt für Sicherheit in der Informationstechnik benachrichtigt

„Durch derartige Zugriffe auf Versorgungsunternehmen, egal ob nun Wasser, Strom oder Telekommunikation, lassen sich umfangreich Daten aus Sensoren auslesen, im Einzelfall könnten Soll-Werte verändert werden, was direkte Auswirkungen auf den eigentlichen Produktions- bzw. Steuerungsprozess hat. Und im schlimmsten Falle könnten Kriminelle die Versorgung einer Stadt oder einer Region unterbrechen, erläutert Heutger die Dimension solcher Sicherheitslücken.
Glücklicherweise habe es sich nur um einen Test durch Sicherheitsforscher gehandelt. Diese hätten ihren Fund dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, welches den Anlagenbetreiber informierte habe.
Binnen 48 Stunden seien sämtliche Zugänge geschlossen worden. Der Software-Hersteller habe ein Software-Update herausgegeben, welches einige der Kritikpunkte habe beseitigen können. Nun existiere unter anderem eine Passwortrichtlinie, um ein Mindestmaß an Passwortsicherheit garantieren zu können.

Christian Heutger, Geschäftsführer PSW Group

© PSW Group

Christian Heutger: Sicherheit von Prozessleitsystemen noch zu oft stiefmütterlich behandelt

Schwachstelle oftmals der Mensch

„Es ist jedoch nicht nur der Software-Hersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen sind die meisten Hersteller inzwischen technisch gut aufgestellt. Die Schwachstelle ist oftmals der Mensch selbst“, unterstreicht Heutger.
Denn leider setzten die meisten Betreiber von Klär- und Wasserwerken auf Einfachheit und Komfort. Das seien zwei Attribute, die die Systeme nicht gerade sicher machten. Oftmals zähle für die Anwender solcher Software Bequemlichkeit mehr als Sicherheit.
Von Wasser- und Klärwerken seien indes Millionen von Menschen abhängig. Kostendruck, aber auch Bequemlichkeit und leider häufig auch Ahnungslosigkeit sorgten dafür, „dass vielfach auf ein hohes Maß an Sicherheit verzichtet wird“.

Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS empfohlen

Natürlich müssten Software-Anbieter für ein gewisses Maß an Sicherheit sorgen. Die Angebote dieser Software-Anbieter müssten jedoch auch durch die Betreiber Kritischer Infrastrukturen (KRITIS) angenommen werden.
„Das Thema Sicherheit von Prozessleitsystemen wird zu oft noch stiefmütterlich behandelt. Das verwundert allerdings kaum, denn zahlreiche Wasserversorgungsunternehmen stehen unter personellem und finanziellem Druck, so Heutgers Einschätzung der Lage.
Immerhin finde nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern, aber auch durch die Aufgeklärtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS werde dieses Umdenken anhalten und die Sicherheitsstandards verbessern.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 26.03.2019
Verschlüsselung / Schutz kritischer Infrastrukturen: Klärwerk vollständig gehackt

datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung