Di, 21. November 2017

TÜV legte Köder aus

29.07.2015 10:44

Simuliertes Wasserwerk beliebtes Cyberangriffsziel

Wie sicher sind Infrastrukturbetriebe vor Spionage und Sabotage aus dem Netz? Der TÜV Süd wollte es wissen und simulierte kurzerhand ein Wasserwerk. Der erste Zugriff ließ nicht lange auf sich warten…

Für ihren Test hatten die TÜV-Prüfer ein "relativ unbedeutendes Wasserwerk in einer deutschen Kleinstadt" simuliert. "Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte", erläuterte Armin Pfoh vom TÜV Süd in einer Mitteilung. Die Sicherheitsvorkehrungen entsprachen dabei dem industrieüblichen Niveau.

Über 60.000 Zugriffe aus mehr als 150 Ländern
Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem "Scharfschalten". Während der Laufzeit verzeichneten die Experten über 60.000 Zugriffe aus mehr als 150 Ländern. "Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird", erläuterte TÜV-Sicherheitsexperte Thomas Störtkuhl.

Die meisten Angriffe erfolgten demnach laut IP-Adresse aus China, den USA und Südkorea. Eine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichten die IP-Adressen jedoch nicht, so der TÜV. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen.

Ebenfalls interessant für die Experten: Die Zugriffe erfolgten nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle. Für Störtkuhl ist damit klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das könne entweder ein genereller Angriff auf bestimmte Strukturen und Geräte oder ein gezielter Angriff auf ein ausgewähltes System sein.

"Deutliches Warnsignal"
Die Ergebnisse seien jedenfalls ein "deutliches Warnsignal" – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. "Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen", so Störtkuhl. Damit könnten diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht würden.

Störtkuhl: "Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind, wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert" - von der Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten Infrastruktur.

Das könnte Sie auch interessieren
Kommentar schreiben

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden