HoneyTrain: Millionen Hacker-Angriffe auf Zug-Steuersysteme
Die Sophos-Simulation HoneyTrain zeigt die Verletzlichkeit kritischer Infrastrukturen.
Grafik: Sophos
Mit der zunehmenden Vernetzung (Stichwort Industrie 4.0) geraten auch kritische
Infrastrukturen wie Stromnetze oder der Bahnverkehr ins Visier
krimineller Hacker. Der IT-Sicherheitsspezialist Sophos bildete in
der Test-Simulation HoneyTrain ein Steuerungssystem für Züge nach
und stellte es auf die Probe. Das ernüchternde Ergebnis: Innerhalb
von sechs Wochen gab es 2,7 Millionen Angriffe auf das System.
Die Sophos-Simulation HoneyTrain zeigt die Verletzlichkeit kritischer Infrastrukturen.
Grafik: Sophos
Und
zwei davon hätten größeren Schaden anrichten können, erklärte Sophos. Bereits am dritten Versuchs-Tag sei es einem Hacker gelungen, im Sophos-Modell eine Weiche umzustellen - der Modellzug schob daraufhin einen Wagen vom Gleis.
Die Mehrheit der Zugriffsversuche habe auf die Firewall und den Media-Server abgezielt, für die es in der Regel Standardwerkzeuge für Hacker gibt. Zwei Angreifer hätten sich erfolgreich in einen HMI-Server (HMI steht für Human Machine Interface) eingeloggt. Über diese Schnittstelle hätten die Hacker ohne Probleme Signale manipulieren können.
Ältere Industrie-Alagen besonders gefährdet
"Die Hacker wollten ganz konkret die Kontrolle übernehmen", sagte Chester Wisniewski von Sophos Labs. Eingedrungen seien die Angreifer über sogenannte Wörterbuchattacken, bei denen anhand einer Wortliste ein unbekanntes Passwort ermittelt wird. Sophos hatte das Projekt HoneyTrain zur diesjährigen CeBIT in Hannover im März gestartet. Sechs Wochen lang betrieb das Unternehmen die originalgetreue Simulation eines Zug-Steuerungssystems ungeschützt als Angriffsziel. Damit die Simulation möglichst authentisch wirkte, wurden echte Industrie-Systeme und originale Hard- und Software-Komponenten verwendet. Videos von Überwachungskameras in echten Bahnhöfen und Zugführer-Kabinen sorgten zusätzlich für ein realistisches Szenario.
Die Hacker-Falle sollte zum einen demonstrieren, dass gerade ältere Industrieanlagen, wenn sie einmal ans Internet angeschlossen sind, schnell Ziel von Angriffen werden können. "Solche Systeme sind teilweise über 20 Jahre alt", sagte Wisniewski. Das Projekt, das Sophos in Kooperation mit dem deutschen Industrie-Dienstleister Koramis realisierte, sollte aber auch zeigen, wie potenzielle Angreifer überhaupt einbrechen können und was ihre Ziele sind.
Hacker kennen sich gut aus
Die Angreifer beim HMI-Servers hätten genau gewusst, wo sie sich
befanden, sagte Wisniewski. Es sei ihnen darum gegangen,
Hackern gelang der Zugriff auf Steuerungssysteme für Züge
Bild: Sophos
das System
zu kontrollieren. Es seien industrielle Komponenten ausgelesen
worden, die Hacker hätten dann die Stirnbeleuchtung eines Zuges
aktiviert. Der Versuch, auch Zugriff auf die Signalsteuerung zu
bekommen, sei allerdings erfolglos geblieben. Theoretisch hätten sie
auch Weichen umstellen oder das komplette System lahmlegen können,
sagte Wisniewski. Die Angriffe hätten gezeigt, dass die Angreifer
ganz gezielt attackiert hätten und sich mit solchen industriellen
Leitsystemen auch auskannten.
Insgesamt sind dem Bericht zufolge Angriffe aus aller Welt verortet worden, 41 Prozent davon aus China, 9 Prozent aus den USA und 7 Prozent aus Frankreich. Die Länder der IP-Adresse zum Zeitpunkt des Zugriffs und der Standort des Angreifers könnten aber unter Umständen auch ganz unterschiedlich sein, erklärte Sophos. Deutschsprachige Länder waren nur schwach vertreten. So stammten etwa aus Deutschland (Platz 11) und der Schweiz (Platz 13) zusammen nur 4 Prozent der aufgezeichneten Zugriffsversuche.
Ein weiterer Angreifer sei erfolgreich in den Media-Server eingedrungen. Dieser sei aber eher der anarchischen Szene zuzuordnen, sagte Wisniewski. Der Hacker hinterließ neben einem simulierten Überwachungsvideo von einem Bahnsteig den Kommentar "Big Brother Is Watching You".