Ein Kraftwerk zu hacken, ist einfach. Viel zu einfach, wie der Sicherheitsforscher Tyler Klingler vom Unternehmen Critical Intelligence am Donnerstag bewies. Bei einer Konferenz über Computersicherheit in Miami zeigte Klingler, wie leicht er an die E-Mail-Adressen auch von wichtigen Ingenieuren und Technikern in industriellen Großanlagen gelangen und diese dann zu einem Klick auf eine von ihm gesteuerte Website verleiten konnte. So ein Klick ist der erste Schritt zum Kraftwerkshack.

Klingler suchte sich die Namen und Kontaktdaten bei Jigsaw einer Datenbank für Geschäftskontakte, vergleichbar mit Xing oder LinkedIn. Der Unterschied liegt im Crowdsourcing-Ansatz: Bei Jigsaw erstellen Mitglieder nicht nur das eigene Profil, sondern auch das von Geschäftspartnern, deren Kontaktdaten sie haben. Für jedes Profil, das sie erstellen, bekommen sie Zugang zu anderen Kontakten. Akzeptiert werden nur geschäftliche E-Mail-Adressen, keine privaten.

Mithilfe von LinkedIn konnte Klingler viele dieser Adressen verifizieren und auch feststellen, mit wem sie in Kontakt standen. Der Rest war klassisches social engineering. In E-Mails mit gefälschten Absender-Adressen schrieb er Ingenieure und Techniker an, die verschiedene Kontrollfunktionen in Kraftwerken und an Ölpipelines innehatten. In diesen E-Mails verlinkte er vermeintliche Jobangebote und Fortbildungen für gängige Steuerungsprogramme solcher Anlagen. Ein echter Angreifer hätte an dieser Stelle mit Schadcode verseuchte Seiten verlinkt und darauf gewartet, dass ein Mitarbeiter vom Arbeitsplatz aus darauf zugreift.

Die Erfolgsquote war hoch: In einem Unternehmen mit rund 300 Angestellten identifizierte Klinglers Team 23 Mitarbeiter, die mit industriellem Kontrollsystem arbeiteten, von ihnen klickten sieben auf den Link in der E-Mail. Bei einem anderen Unternehmen mit 200 Angestellten klickten von 49 angeschriebenen Mitarbeitern elf auf den Link.

Ein infizierter Rechner bedeutet nicht, dass ein Angreifer gleich die Kontrolle über eine Großanlage übernehmen könnte. Die Betreiber wissen um solche Gefahren, Steuerungsanlagen sind deshalb meist nicht mit dem Internet verbunden.

Aber Industriespionen kann es schon reichen, die Kommunikation eines Angestellten zu überwachen – was Klingler in einem Fall auch gelang. Er konnte einen Chat zwischen zwei Mitarbeitern eines Unternehmens verfolgen, in dem es um "kritische Systeme" ging, wie die New York Times schreibt.

Gefährliche USB-Sticks

Alternativ eignen sich auch infizierte USB-Sticks, um ernstzunehmende Schäden in Kraftwerken anzurichten. Das Industrial Control Systems Computer Emergency Readiness Team (ICS-Cert), das zum US-Heimatschutzministerium gehört, berichtet allein von zwei solchen Fällen im letzten Quartal des vergangenen Jahres.

In einem Fall hatte ein Mitarbeiter eines externen Dienstleisters den infizierten USB-Stick benutzt, um während einer geplanten Betriebspause einige Software-Updates ins Turbinenkontrollzentrum eines Elektrizitätswerks einzuspielen. Der Schaden, der dadurch entstand, war so schwer, dass das Kraftwerk erst drei Wochen später als geplant wieder ans Netz gehen konnte.

Im anderen Fall war einem Kraftwerksmitarbeiter aufgefallen, dass sein USB-Stick, mit dem er routinemäßig Sicherungskopien von Konfigurationen eines Kontrollsystems anfertigte, Probleme machte. Die IT-Abteilung entdeckte darauf drei Schadprogramme, eines davon war "bekannte ausgefeilte Schadsoftware", wie es im Bericht des ICS-Cert heißt. Heise security spricht sogar von Ähnlichkeiten zum Wurm Stuxnet, der ebenfalls über USB-Sticks verbreitet wurde.

Bisher ist der Mensch die schwächste Stelle

Wie im Fall der US-Anlagen die Programme auf die USB-Sticks kamen, ist unklar. Problematisch ist aber, dass die Datenträger oftmals den Betrieb verlassen und wieder hereingebracht werden, und dass darauf versteckte Software so problemlos auf Computern in Betrieb gelangt. Verstärkte Sicherheitseinstellungen sowie Schulungen des Personals könnten vermutlich helfen, solche Szenarien zumindest unwahrscheinlicher zu machen. Das Pentagon hatte die Verwendung von USB-Sticks in militärischen Einrichtungen zwischenzeitlich sogar ganz verboten.

Diese Beispiele zeigen, dass der Mensch die Schwachstelle ist, die am einfachsten ausgenutzt werden kann. Zukünftig sollen Angriffe auf Großanlagen aber auch ganz anders ablaufen können: Eine Forschungsabteilung der US-Armee arbeitet laut einem Bericht von DefenseNews daran, selbst abgeschlossene, nicht am Internet hängende Systeme mithilfe von elektromagnetischen Wellen zu infizieren.

Solche Wellen sendet jedes elektronische System aus. Sie abzufangen, zu deuten oder sogar so zu verändern, sodass neuer Code entsteht und eingeschleust wird, sei das Ziel der Armee, heißt es in dem Bericht. Dies könne von einem Fahrzeug aus passieren, das nahe des Objekts geparkt wird, aber auch von einer Drohne aus.

Auslesen ist möglich

Die Theorie: Jeder Draht eines Computersystems kann auch als Antenne funktionieren, und ein elektromagnetisches Signal kann aus der Ferne an diese Antenne gesendet werden. Der Ansatz ist auch nicht neu, aber noch seien Reichweite, Präzision und Bandbreite zur Einschleusung von Codes begrenzt, sagen nicht genannte Experten in dem Bericht von DefenseNews, der deshalb mit einer gewissen Skepsis zu betrachten ist.

Aber selbst wenn das Einschleusen nicht funktioniert, könnte das Auslesen zu Spionagezwecken reichen. Dass so etwas möglich ist, haben Forscher bereits 2008 bewiesen, als sie Tastatureingaben anhand von elektromagnetischen Abstrahlungen nachvollziehen konnten.