Neue Qualität der Hackerangriffe durch Experten beobachtet – Mahnung zu mehr Sicherheit

Eine Gruppe von Hackern bedroht derzeit kritische Infrastrukturen in den USA, Saudi-Arabien und in anderen westlichen Ländern. Wenn sie Erfolg haben sollten, könnte dies ernsthafte Auswirkungen haben und zudem Menschenleben in Gefahr sein, darüber berichtet der Riffreporter.

Es könnte daran liegen, dass ein Staat wie Saudi-Arabien sehr weit entfernt ist. Allerdings erregte ein Hackerangriff vor rund einem Jahr auf ein saudi-arabisches Kraftwerk nur wenig an Aufmerksamkeit hierzulande. In der deutschen Öffentlichkeit gab es hierüber nur recht wenig zu lesen. Experten stuften jedoch diesen als einen von drei recht groß angelegten Sabotageangriffen in der Geschichte des Hackings ein. Hierbei geht es insbesondere um kritische Infrastrukturen wie Kraftwerke und dergleichen.

Quelle:   https://www.riffreporter.de/vr-reporterin/lebensgefahr_durch_hackerangriff/

Lebensgefahr durch Hackerangriff

Dazu sehen sie es auch als einen Startschuss für Cyberangriffe von einer neuen, bedrohlichen Qualität an. Solche Hacker bringen dabei bewusst Menschenleben in Gefahr. So wurde damals ein Computervirus in einer petrochemischen Fabrik in Saudi-Arabien entdeckt. Dieser hätte die Fabrik zerstören können. Wenn er nicht rechtzeitig gefunden worden wäre, hätte es zu einer Explosion kommen können und damit verbunden zur Freisetzung von Schwefelwasserstoff-Gas. Dabei hätte eine Umweltkatastrophe entstehen können und zugleich hätte dies tödliche Auswirkungen auf Menschen haben können.

In der weit vernetzten Welt gibt es heutzutage kein „weit weg“ mehr, da alles in der Regel echt naheliegend ist. Offenbar hat es die berüchtigte Hackergruppe mit dem Namen „Triton“ nun erneut mit einem Hackerangriff auf eine kritische Infrastruktur abgesehen. Allerdings geht bisher nicht mehr aus einer aktuellen Sicherheitsmeldung des Unternehmens FireEye hervor. Allerding hat diese Gruppe wohl noch mehr Ziele im Auge, weshalb dies eine sehr beunruhigende Nachricht ist. Nach Informationen des Sicherheitsunternehmens Dragos handelt es sich hierbei um Ziele in den USA und westlichen Ländern dazu.

Kraftwerke im Visier von Hackern

Wenn man sich ansieht, mit welchem Aufwand diese Gruppe bereits angegriffen hat, dann wundert es auch nicht, dass sie wiederum neue Angriffe planen und wenn sie dies vor allem im Westen vorhaben. So wundert es auch nicht, wenn demnächst neue Angriffe kommen sollten. Schließlich gilt hierbei der spezialisierte Angriff einer Maschine als sehr besonders. Das Steuerungsmodul des französischen Herstellers Schneider Electric mit dem Namen Triconex Safety Instrumented Systems (SIS) ist hierbei gemeint. Dieses sorgt eigentlich für die Sicherheit und soll Notfälle in letzter Sekunde erkennen und das Kraftwerk dann auch unter anderem abschalten können. Nach Angaben des Herstellers sind hier weltweit mehr als 13.000 solcher Geräte im Einsatz, dabei sehr viele in Öl- und Gaskraftwerken sowie in Atomkraftwerken.

So hatten es die Hacker geschafft, diese Maschine aus der Ferne komplett zu übernehmen. Das Ziel war hierbei, dass ein Notfall passieren sollte und gleichzeitig die letzten Sicherheitsmaßnahmen außer Kraft gesetzt werden sollten. Nun haben sie also eine Blaupause um weitere Kraftwerke in der ganzen Welt angreifen zu können.

Dabei ging es den Hackern auch nicht darum, Geld zu erpressen, sondern ein Chemie Kraftwerk anzugreifen, welches für Menschen und die Umwelt katastrophale Folgen gehabt hätte. Dies sagt Christian Rossow, seines Zeichens Leiter der Forschungsgruppe System Security am CISPA Helmholtz Center for Information Security. Nur durch Zufall konnte die Gruppe in Saudi-Arabien gestoppt werden. Die Hacker hatten hier nämlich einen Fehler gemacht, der dann dazu führte, dass ein Sicherheitssystem des Kraftwerks angesprungen war.

Überraschende Präzision

Bis auf diese Tatsache muss der Plan jedoch nahezu perfekt gewesen sein, denn schon seit dem Jahr 2014 hatten die Täter das Netzwerk der Anlage nahezu komplett ausspioniert. So waren sie zunächst durch eine Sicherheitslücke in einer schlecht programmierten Firewall in das Netzwerk des Kraftwerks eingedrungen. Von dort hatten sie einen Arbeitsplatz übernommen und konnten darüber direkt mit dem sicherheitsrelevanten System des Kraftwerks kommunizieren. Dabei hatten sie dies entweder über einen Fehler im Windows Betriebssystem erreicht oder indem sie das Passwort eines der Mitarbeiter abgefangen hatten.

So konnten sie von dort offenbar ein Sicherheitssystem ausspionieren und dabei Hersteller, Typ und die Kommunikationsweise der Schneider Maschine herausfinden. Die Forscher sind hierbei besonders von der Präzision und dem Aufwand überrascht, den die Hacker hierbei betrieben hatten, damit genau diese Maschine übernommen werden konnte. So hatten sie sich wohlmöglich über Jahre alle nötigen Informationen aus dem Netzwerk geholt, ein solches Gerät gekauft und dann den Angriff geprobt und auch verfeinert. Laut FireEye haben sich die Hacker in den Netzwerken gezielt nach diesen Steuerungsanlagen umgesehen. So wurde dieses Vorgehen auch bei den Angriffsvorbereitungen bei einer ungenannten Anlage ebenfalls vorgenommen.

Anzahl der Angriffe geht weiter nach oben

Das Bundesamt für Sicherheit in der Informationstechnik warnte erst vor kurzem vor einer deutlichen Zunahme an Hacker Angriffen auf teils kritische Infrastrukturen wie beispielsweise Kraftwerke. Diese Art der Angriffe stieg in der zweiten Jahreshälfte des Jahres auf eine stolze Zahl von 157 an. Allerdings sind dies nur die gemeldeten Fälle, denn die Dunkelziffer dürfte weit höher liegen. Da ein solcher Angriff eher schlecht für das Image ist, kann man hier getrost von einer hohen Anzahl ausgehen. Im gesamten Vorjahreszeitraum in der Zeit vom 1.6.17 – 31.05.18 haben das BSI nach deren Angaben insgesamt 145 Meldungen erreicht. Im Vergleich zum selben Zeitraum davor waren es 34 Meldungen.

Experten sehen hierbei aber auch eine neue Qualität, die besonders nachdenklich machen sollte. Bislang wurden nämlich gewisse moralische Maßstäbe immer eingehalten worden, wie Rossow sagt. So wurden bei größeren Sabotageangriffen bisher noch nie Menschenleben gefährdet worden. Dies macht Angst, denn Terrorgruppen wie auch Regierungen haben nun ein Mittel in der Hand, mit dem sie ganze Demokratien unter Druck setzen können. So sind auch Erpressungen möglich, ohne dabei in Erscheinung zu treten und sich selbst in Gefahr zu bringen.

Unsichtbarer Krieg

Die jüngste Geschichte zeigt somit, wie wirksam so etwas sein kann. So gibt es nur wenige Angriffe dieser Art und Größe, die ebenfalls Sabotage als Ziel hatten. So beispielsweise der Computerwurm Stuxnet, der im Jahr 2010 offenbar ganz gezielt das iranische Atomprogramm stoppen sollte. Hier hatten die Täter ein schadhaftes Programm speziell auf ein ganz bestimmtes System zur Steuerung von Industrieanlagen entwickelt. In dem Fall ging es um ein System von Siemens. Stuxnet steuerte so genannte Frequenzumrichter fern, die dafür verwendet werden, die Geschwindigkeit der Motoren zu regulieren. Dazu ließen die Hacker auch noch bestimmte Zentrifugen besonders hochdrehen, sodass diese auch überhitzten und zerstört wurden.

Wie hoch der Schaden genau war, ist leider nicht bekannt. Dabei sind sich Experten jedoch einig, dass das iranische Atomprogramm durch den Angriff stark zurückgeworfen wurde. Den gleichen Effekt hätte man beispielsweise nur mit Luftangriffen auf eine solche Anlage erreichen können. Dies hätte einen höheren Schaden nach sich gezogen und wäre zudem gleich eine Kriegserklärung gewesen. Allerdings, weil man diesen Krieg nicht sieht, heißt es nicht, dass er nicht auch vorhanden ist. So galt es in der Hackerszene als offenes Geheimnis, dass die USA und Israel hinter diesem Angriff steckten. Diese schweigen dazu natürlich, doch sie werden sich gut schützen müssen, da ein Gegenangriff vermutlich schon im Gange ist. Dies auch fernab von jeglicher Öffentlichkeit.

Wer greift nun die USA und weitere westliche Länder mit der Cyberwaffe Triton an? Wer genau hinter dieser Gruppe von Hackern steht, ist bisher nicht bekannt. Sicher ist derzeit nur eine Sache, dass es eine mächtige Institution sein muss. So jemand muss eine Menge Aufwand betreiben, die nur mit viel Geld möglich ist, wie Rossow klar bezeichnet. So könnte ein Staat oder eine Terrorgruppe hinter den Angreifern stecken. Spuren führen hierbei auch nach Russland, da Dateinamen mit kyrillischen Buchstaben gefunden wurden. Ebenfalls wurde ein Angriff von einer russischen IP Adresse ausgeführt. Experten halten eine russische Beteiligung zwar für wahrscheinlich, allerdings sind diese kleinen Indizien bisher kein Beweis dafür. Wer nämlich auf derartige Weise in ein Kraftwerk eindringen kann, der kann auch falsche Spuren hinterlegen.

Keine hundertprozentige Sicherheit

Sicherlich ist eine Frage viel spannender. Nämlich die Frage, was in Zukunft gegen solche Fälle helfen kann. Der Fehler, der die Gruppe beim ersten Mal auffliegen ließ, wird beim zweiten Mal wohl nicht mehr passieren. Mit der zunehmenden Vernetzung der Geräte und des Internets steigt die Angreifbarkeit immer weiter an. So kann theoretisch alles, was mit dem Internet verbunden ist, von außen auch angegriffen werden. So gibt es keine hundertprozentige Sicherheit, wie Rossow zugeben muss. Hacker finden so immer eine Lücke im System, was sich in der Vergangenheit immer wieder gezeigt hat. Allerdings kann man es ihnen deutlich schwerer machen, denn im aktuellen Fall hätten die Mitarbeiter dabei teilweise mehrere Warnungen von Antiviren Programmen einfach ignoriert. Die Menschen müssen hierbei einfach besser geschult werden. Dazu kommt auch, dass die Hacker wohl über ein Programm zur Fernwartung in die Anlage eingedrungen sind. So eine Fernwartung darf auf keinen Fall immer an sein, wie Rossow sagt. Aus Bequemlichkeit sei dies etwas geschehen, denn sie wird üblicherweise nur dann eingeschaltet, wenn sie auch wirklich benötigt wird. Dies ist ähnlich wie bei dem Programm „TeamViewer“, welches ja ebenfalls nur dann angeschaltet wird, wenn es auch gebraucht wird.

Das offenbar am schwersten zu lösende Problem, welches in Hacks immer wieder eine wichtige Rolle spielt, sind die verschiedenen Sicherheitslücken in den Programmen. So geht es in diesem Fall um eine schlampig programmierte Firewall und eine mögliche Lücke im Windows Betriebssystem. Die Folgen von diesen Sicherheitslücken haben auch in der deutschen Öffentlichkeit immer wieder einiges zeigen können. So war es zuletzt im großen Stil beim Schadprogramm Wannacry der Fall. Dieses nutzte eine Windows Lücke aus und betraf dadurch unter anderem Krankenhäuser, die Deutsche Bahn und viele kleinere Unternehmen. Nun sind nicht mehr nur Kriminelle am Werk, die Geld haben möchten, sondern ggf. auch Terrorristen, die dabei auch Menschenleben bedrohen.

Aufwand für mehr Sicherheit

Hacker sind sehr fleißig darin, die verschiedenen Lücken in Systemen aufzuspüren. Geheimdienste bezahlen zudem auch viel Geld für solche Lücken. Deshalb erfahren die Hersteller sowie die Öffentlichkeit meist erst dann davon, wenn die Lücken bereits ausgenutzt wurden. So sei der erste Schritt vor allem, dass mehr Aufwand betrieben werden muss, damit diese Lücken erst gar nicht entstehen können, wie Rossow ebenfalls sagt. Hier konkurrieren allerdings immer zwei Motive. So soll Software sicherer gemacht werden, allerdings auch möglichst immer schnell und günstig auf den Markt kommen. Sicherheit ist leider sehr aufwendig und damit auch nicht wirklich attraktiv. Solange solche Unternehmen in einem Schadensfall nicht finanziell in Verantwortung genommen werden, wird diese Problematik wohl kaum gelöst.

Für Firewalls gibt es beispielsweise so genannte „Anomalie-Verfahren“. Hierbei lernt dann eine künstliche Intelligenz aus der Beobachtung heraus, welche Art von Datenverkehr zwischen dem Internet und dem internen Netzwerk üblich ist. Wenn hierbei etwas Ungewöhnliches auftritt, schlägt die Software dann Alarm. Man benötigt immer mehrere Schutzmechanismen, wie Rossow klar zum Ausdruck bringt. So benötigt man eine Art Backup für die Sicherheit.

Auch wenn es dank der Erfahrungen mit Wannacry und Co nicht möglich erscheint, Rossow meint, dass es in Zukunft möglich sein wird, einen fehlerfreien Code auf den Markt zu bringen. So sollte es seiner Meinung nach auch möglich sein, eine Zertifizierung für kritische Infrastrukturen einzuführen. Dies ist eine spannende Forschungsfrage, denn in einem kleineren Maßstab ist dies bereits im Labor schon möglich. Allerdings dann auch nur bei ein paar Zeilen an Code. Ein Browser oder eine Firmware hingegen haben meist viele Millionen Zeilen an Code. So ist es nicht wirklich möglich, diesen fehlerfrei hinzubekommen. Dies ist noch Zukunftsmusik. Allerdings nicht für immer, wie Rossow klar bekannt gibt. Er ist optimistisch, dass es eines Tages möglich sein wird. Bis dahin müsse auf die Fehler der Hacker gehofft werden, wie Rossow leider zugeben muss.