Sie sind hier: HomeTelekommunikation

Über 60.000 Zugriffe: Cyberkriminelle attackieren simuliertes Wasserwerk

Über 60.000 Zugriffe innerhalb von acht Monaten verzeichnete der TÜV Süd auf die virtuelle Infrastruktur seines Honeynet-Projekts. Der Versuch zeigt: Infrastrukturen und Produktionsstätten werden gezielt ausgeforscht.

Hacker am PC- Bildquelle: © fotolia.com

Acht Monate lang simulierte der TÜV Süd im Rahmen eines Honeynet-Projekts ein Wasserwerk in einer deutschen Kleinstadt. Über 60.000 Zugriffe verzeichnete der TÜV in dieser Zeit und belegt damit, dass Unternehmen bei Industrie 4.0 vor neue Herausforderungen gestellt werden und ihre Sicherheitsvorkehrungen von Grund auf neu überdenken müssen. Die Angriffe, die von Servern aus der ganzen Welt und teilweise unter verschleierten IP-Adressen erfolgten, zeigen auch, dass Infrastrukturen und Produktionsstätten gezielt ausgeforscht werden.

»Ein Honeynet ist ein System, das Angreifer anlocken und die Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll«, erklärt Armin Pfoh, Vice President im Bereich Strategie und Innovation von TÜV Süd. In diesem Fall hat der TÜV ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hard- und Software mit einer simulierten Umgebung, hier ein kleines Wasserwerk, kombinierte. Bei den Sicherheitsvorkehrungen habe man sich laut Pfoh an das industrieübliche Niveau gehalten.

Die ersten Angriffe auf das Honeynet-Projekt erfolgten fast Zeitgleich mit dem »Scharfschalten«. Insgesamt verzeichnete der TÜV Süd innerhalb der Laufzeit über 60.000 Zugriffe aus 150 Ländern. »Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird«, sagt Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd. Nimmt man die IP-Adressen als Maßstab, kommen mit 2995 Zugriffen die meisten aus China. Auf Platz zwei und drei folgen USA (2318) und Südkorea (934). Jedoch ist zu beachten, dass eine IP-Adresse keine belastungsfähige Aussage über den tatsächlichen Standort des Angreifers ermöglicht. Zudem erfolgten einige der Zugriffe über verdeckte beziehungsweise verschleierte IP-Adressen.

Eine weitere Erkenntnis des TÜV-Projekts ist, dass einige der Angriffe nicht nur über Standardprotokolle der Büro-IT erfolgten, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm. »Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt«, erklärt Störtkuhl. In seinen Augen ein klarer Beleg dafür, dass gezielt nach Lücken in der Sicherheitsarchitektur von Steuerungsanlage gesucht wird und die Systeme anfällig für mögliche Angriffe sind.