TÜV legte Köder aus

Simuliertes Wasserwerk beliebtes Cyberangriffsziel

(Bild: APA/HERBERT PFARRHOFER)

Wie sicher sind Infrastrukturbetriebe vor Spionage und Sabotage aus dem Netz? Der TÜV Süd wollte es wissen und simulierte kurzerhand ein Wasserwerk. Der erste Zugriff ließ nicht lange auf sich warten…

Für ihren Test hatten die TÜV-Prüfer ein "relativ unbedeutendes Wasserwerk in einer deutschen Kleinstadt" simuliert. "Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte", erläuterte Armin Pfoh vom TÜV Süd in einer Mitteilung. Die Sicherheitsvorkehrungen entsprachen dabei dem industrieüblichen Niveau.

Über 60.000 Zugriffe aus mehr als 150 Ländern
Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem "Scharfschalten". Während der Laufzeit verzeichneten die Experten über 60.000 Zugriffe aus mehr als 150 Ländern. "Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird", erläuterte TÜV-Sicherheitsexperte Thomas Störtkuhl.

Die meisten Zugriffe erfolgten der IP-Adresse nach aus China, den USA und Südkorea.

(Bild: tuev-sued.de)

Die meisten Angriffe erfolgten demnach laut IP-Adresse aus China, den USA und Südkorea. Eine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichten die IP-Adressen jedoch nicht, so der TÜV. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen.

Ebenfalls interessant für die Experten: Die Zugriffe erfolgten nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle. Für Störtkuhl ist damit klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das könne entweder ein genereller Angriff auf bestimmte Strukturen und Geräte oder ein gezielter Angriff auf ein ausgewähltes System sein.

"Deutliches Warnsignal"
Die Ergebnisse seien jedenfalls ein "deutliches Warnsignal" – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. "Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen", so Störtkuhl. Damit könnten diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht würden.

Störtkuhl: "Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind, wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert" - von der Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten Infrastruktur.