ComputerkriminalitätWie Kraftwerke gehackt werden

Es ist erschreckend einfach, Trojaner in Kraftwerke einzuschleusen, wie aktuelle Fälle zeigen. Aber die US-Armee arbeitet angeblich schon an ausgefeilteren Methoden. von 

Ein Kraftwerk zu hacken, ist einfach. Viel zu einfach, wie der Sicherheitsforscher Tyler Klingler vom Unternehmen Critical Intelligence am Donnerstag bewies. Bei einer Konferenz über Computersicherheit in Miami zeigte Klingler, wie leicht er an die E-Mail-Adressen auch von wichtigen Ingenieuren und Technikern in industriellen Großanlagen gelangen und diese dann zu einem Klick auf eine von ihm gesteuerte Website verleiten konnte. So ein Klick ist der erste Schritt zum Kraftwerkshack.

Klingler suchte sich die Namen und Kontaktdaten bei Jigsaw einer Datenbank für Geschäftskontakte, vergleichbar mit Xing oder LinkedIn. Der Unterschied liegt im Crowdsourcing-Ansatz: Bei Jigsaw erstellen Mitglieder nicht nur das eigene Profil, sondern auch das von Geschäftspartnern, deren Kontaktdaten sie haben. Für jedes Profil, das sie erstellen, bekommen sie Zugang zu anderen Kontakten. Akzeptiert werden nur geschäftliche E-Mail-Adressen, keine privaten.

Anzeige

Mithilfe von LinkedIn konnte Klingler viele dieser Adressen verifizieren und auch feststellen, mit wem sie in Kontakt standen. Der Rest war klassisches social engineering. In E-Mails mit gefälschten Absender-Adressen schrieb er Ingenieure und Techniker an, die verschiedene Kontrollfunktionen in Kraftwerken und an Ölpipelines innehatten. In diesen E-Mails verlinkte er vermeintliche Jobangebote und Fortbildungen für gängige Steuerungsprogramme solcher Anlagen. Ein echter Angreifer hätte an dieser Stelle mit Schadcode verseuchte Seiten verlinkt und darauf gewartet, dass ein Mitarbeiter vom Arbeitsplatz aus darauf zugreift.

Die Erfolgsquote war hoch: In einem Unternehmen mit rund 300 Angestellten identifizierte Klinglers Team 23 Mitarbeiter, die mit industriellem Kontrollsystem arbeiteten, von ihnen klickten sieben auf den Link in der E-Mail. Bei einem anderen Unternehmen mit 200 Angestellten klickten von 49 angeschriebenen Mitarbeitern elf auf den Link.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Ein infizierter Rechner bedeutet nicht, dass ein Angreifer gleich die Kontrolle über eine Großanlage übernehmen könnte. Die Betreiber wissen um solche Gefahren, Steuerungsanlagen sind deshalb meist nicht mit dem Internet verbunden.

Aber Industriespionen kann es schon reichen, die Kommunikation eines Angestellten zu überwachen – was Klingler in einem Fall auch gelang. Er konnte einen Chat zwischen zwei Mitarbeitern eines Unternehmens verfolgen, in dem es um "kritische Systeme" ging, wie die New York Times schreibt.

Gefährliche USB-Sticks

Alternativ eignen sich auch infizierte USB-Sticks, um ernstzunehmende Schäden in Kraftwerken anzurichten. Das Industrial Control Systems Computer Emergency Readiness Team (ICS-Cert), das zum US-Heimatschutzministerium gehört, berichtet allein von zwei solchen Fällen im letzten Quartal des vergangenen Jahres.

In einem Fall hatte ein Mitarbeiter eines externen Dienstleisters den infizierten USB-Stick benutzt, um während einer geplanten Betriebspause einige Software-Updates ins Turbinenkontrollzentrum eines Elektrizitätswerks einzuspielen. Der Schaden, der dadurch entstand, war so schwer, dass das Kraftwerk erst drei Wochen später als geplant wieder ans Netz gehen konnte.

Im anderen Fall war einem Kraftwerksmitarbeiter aufgefallen, dass sein USB-Stick, mit dem er routinemäßig Sicherungskopien von Konfigurationen eines Kontrollsystems anfertigte, Probleme machte. Die IT-Abteilung entdeckte darauf drei Schadprogramme, eines davon war "bekannte ausgefeilte Schadsoftware", wie es im Bericht des ICS-Cert heißt. Heise security spricht sogar von Ähnlichkeiten zum Wurm Stuxnet, der ebenfalls über USB-Sticks verbreitet wurde.

Leserkommentare
  1. wie die Forschung des US-Militärs, gibt man noch Geld aus.

    Und USB-Sticks gefährlich? Welcher Vollpfosten stellt Rechner mit USB-Anschluss in ein Atomkraftwerk (welcher noch an das Netzwerk - mit dem Kraftwerk - angeschlossen ist!)?

    Internetausdrucker!

    5 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    "Welcher Vollpfosten stellt Rechner mit USB-Anschluss in ein Atomkraftwerk (welcher noch an das Netzwerk - mit dem Kraftwerk - angeschlossen ist!)?"

    ich nehme an, sie nehmen bezug auf stuxnet in bushehr im iran.
    hierbei wurden die zentrifugen zur urananreicherung befallen und kein sicherheitstechnisch relevantes system.

  2. Das ist doch nun wirklich illusorische Panikmache - für die nötige Präzision und Feldstärke müßte man quasi auf der Leitung sitzen. Und selbst dann dürfte das mathematisch deutlich zu komplex sein.

    Merke: paranoiden Regierungbehörden kann man alles verkaufen.

    4 Leserempfehlungen
  3. Was ist aus der guten alten Hypnose geworden, die die bei der Beschattung (was für eine sinnige Bezeichnung das ist) eines Verantwortlichen mittels durchdringenden Blickes, an irgend einer Raststätte auf dem Highway und mittes vorheriger Verwirrung durch die unbekannte Schöne erfolgt ?

    Nicht das der Artikel in der NYT nicht wesentlich besser wäre, aber diesen parapsychologischen Touch wird die Kybernetikerfraktion wohl nicht mehr los. Ja, streng und schnöde ist die IT, und die Arbeitsplätze sind rarer als die phantastischen Vorstellungen vieler Gefahrensucher, aber wirklich alle besser bezahlt als die allermeisten Gruselgeschichten; nehme ich mal an.

  4. "Welcher Vollpfosten stellt Rechner mit USB-Anschluss in ein Atomkraftwerk (welcher noch an das Netzwerk - mit dem Kraftwerk - angeschlossen ist!)?"

    ich nehme an, sie nehmen bezug auf stuxnet in bushehr im iran.
    hierbei wurden die zentrifugen zur urananreicherung befallen und kein sicherheitstechnisch relevantes system.

  5. AKW's sind nicht für eine Kernschmelze ausgelegt , gegen Computer- Viren und gegen Bedienungsfehler gefeit

    und auch nicht gegen das hacken ....

    Reaktionen auf diesen Kommentar anzeigen
    • Bornie
    • 22. Januar 2013 15:12 Uhr

    Entfernt. Nutzen Sie die Kommentarbereiche bitte um sachliche Argumente und Meinungen auszutauschen. Danke, die Redaktion/jk

    • Bornie
    • 24. Januar 2013 8:00 Uhr

    Kernkraftwerke lassen sich nicht hacken, weil die Reaktorschutzsysteme keine Rechnersysteme sind. Die meisten Reaktorschutzsysteme sind Verdrahtungsprogrammiert wie man es schon in Vorcomputerzeit gemacht hat. Ein Hacker müsste mit Verdrahtungswerkzeug Zugang zu einem Kernkraftwerk bekommen und ungestört verdrahten dürfen....

  6. Die Angestellten sind auch nicht immun gegen Krankheiten !
    Dafür wissen Vulkane nicht das sie in Sizilien stehen und die Pest macht so wenig vor Kinden halt wie die Lepra. Ziemlich üble Sache die Natur ?

    Aber Ihr Tenor passt doch ganz gut, denn diese "open-source intelligence firm" hat wohl auch festgestellt, daß sogar Gas Pipelines auf E-Mails regaieren von denen sie meinen ihre Vorgesetzten hätten sie verfasst !!

    Welches Kraftwerk hat eigentlich an der Dotcom Blase Schaden genommen, so viele wie Softwareentwickler ?

    • Bornie
    • 22. Januar 2013 15:12 Uhr
    7. [...]

    Entfernt. Nutzen Sie die Kommentarbereiche bitte um sachliche Argumente und Meinungen auszutauschen. Danke, die Redaktion/jk

    • Bornie
    • 24. Januar 2013 8:00 Uhr
    8. Hacker

    Kernkraftwerke lassen sich nicht hacken, weil die Reaktorschutzsysteme keine Rechnersysteme sind. Die meisten Reaktorschutzsysteme sind Verdrahtungsprogrammiert wie man es schon in Vorcomputerzeit gemacht hat. Ein Hacker müsste mit Verdrahtungswerkzeug Zugang zu einem Kernkraftwerk bekommen und ungestört verdrahten dürfen....

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Auslese | Chat | Computersicherheit | Datenträger | Drohne | Stuxnet
Service