Erstellt am: 27. 2. 2012 - 18:55 Uhr
Smartphone-Apps für Industrieanlagen
Die im Wall Street Journal am vergangenen Freitag kolportierten Äußerungen von NSA-Direktor General Keith Alexander über die "Anonymous"-Bewegung und deren angebliche Fähigkeiten, die US-Stromnetze anzugreifen, haben in den USA ordentlich Staub aufgewirbelt.
Prompt und lauthals kam das Echo aus der Anonymous/Occupy-Bewegung. Man lasse sich nicht zu Terroristen abstempeln, hieß es. Die Medien aber hatten wieder eine Story, die zur aktuellen Nachrichtenkonjunktur für das Markenzeichen "Anonymous" passte und so war es denn auch geplant.
Kraft- Umspann- und Wasserwerke
In diesem Fall war es nicht eine Warnung vor "Anonymous" - dieser Spin diente vor allem der Reichweite der eigentlichen Aussage - sondern vor Gefahren für Industriesteuerungsanlagen.
Aktuell dazu
Auf dem Mobile World Congress in Barcelona übertrumpfen einander die Hersteller gerade mit ihren neuesten Smartphones. Neben Vierkernprozessoren liegen auch schärfere Displays und schnellere und bessere Kameras im Trend.
Diese SCADA-Systeme (Supervisory Control and Data Acquisition) steuern Fertigungsstraßen und Kraftwerksturbinen, Umspannwerke, Abwasser-Aufbereitungsanlagen und Wasserwerke, Prozesse in Chemiewerken usw.
Ungute Nachrichten
Wie angreifbar diese von dem Sicherheitskonzept sehr veralteten Systeme sind, wurde erst seit dem berüchtigten Stuxnet-Wurm, der die iranische Atomproduktionsanlage befallen und teilweise beschädigt hatte, langsam zum Thema. Seitdem sich die IT-Security Forscher weltweit damit beschäftigen, kommen weitere und immer neue sicherheitsrelevante Aspekte zum Vorschein. Die letzte dieser durchwegs unguten Nachrichten ist, dass die ersten Smartphone-Apps für diese Steuerungssysteme angeboten werden (siehe unten).
Offizielle "Leaks" der NSA
Wenn sich die Führung der National Security Agency an die Öffentlichkeit wendet - das passiert relativ selten - dann tut sie dies stets indirekt. Langjährige zivile Consultants des Supergeheimdienstes geben ausgewählten Journalisten der großen Medien dann in informellen Gesprächen ihre Standpunkte zum jeweiligen Thema bekannt.
Wenige Tage bevor das fix ausgehandelte Gesetzesduo SOPA/PIPA in den USA überraschend auf Eis gelegt wurde, hatte sich Stewart Baker, ehemaliger Vizechef des DHS und "General Counsel of the National Security Agency" lautstark zu Wort gemeldet. Baker hatte vor einem "Desaster für die Cyberinfrastruktur" gewarnt, wenn diese Internetsperrgesetze Wirklichkeit würden. DHS und NSA schätzen das Herumpfuschen am Domain-Name-Sytem nämlich partout nicht.
So nebenbei wird dann erwähnt, dass die NSA-Führungsspitze diese Ansichten inhaltlich durchaus teile. So lief offenbar auch diese Warnung vor SCADA-Sicherheitslücken via Wall Street Journal, bereits 2009 hatte der Supergeheimdienst vor leichtfertigem Umgang mit Steuerungen gewarnt.
Windows XP im Atomkraftwerk
Viele dieser SCADA-Systeme sind weit über zehn Jahre alt, die zugehörigen Sicherheitskonzepte stammen oft noch aus der Zeit vor der großen, globalen Vernetzung, die mit dem Siegeszug des WWW einher ging. Und so sieht es in den Steuerungszentralen mit der Sicherheit dann aus.
Das verbreitetste Betriebssystem für SCADAs ist Windows XP mit einem der frühen Servicepacks, Passwörter werden in der Regel unverschlüsselt in der Steuerungs-Hardware abgelegt, sehr verbreitet sind zudem undokumentierte Wartungszugänge. All das bei Anlagen, die kritische Infrastrukturen steuern und kontrollieren. Seitens der Betreiber hatte man sich bis jetzt darauf verlassen, dass diese Insellösungen ohnehin strikt vom Internet getrennt sind. Doch das stimmt leider längst nicht mehr.
Der Hauptgrund für die Veraltetheit der SCADA-Betriebssysteme liegt ein gefährliches, strukturelles Problem zu Grunde.. Die Serviceverträge mit den Herstellern machen Softwareupdates zum Problem, zumal die Garantien der Hersteller in der Regel an eine bestimmte Version des Betriebssystems gebunden sind.
1.035 Bugs in SCADAs
Erst Ende Jänner wurden mehr als 10.000 SCADA-Systeme weltweit identifiziert, die direkt mit dem Netz verbunden sind. Jedes sechste davon verlangte nicht einmal eine Authentifizierung für Zugriffe über das Web, ein Indiz dafür, dass die Betreiber offenbar keine Ahnung davon haben, dass ihr System im Internet sichtbar ist.
Nur ein paar Tage später stellten zwei Forscher auf dem Kaspersky Security Analyst Summit 1.035 Bugs vor, die in verschiedenen Steuerungssystemen entdeckt worden waren. 95 davon waren absolut kritische Schwachstellen, die ein direktes Eindringen ermöglichten.
Gefährdungsbild mit Smartphones
All das zusammen ergibt schon ein recht bedrohliches Gefährdungsbild, zu dem gerade noch ein weiterer, wichtiger Faktor dazu kommt. Der Boom der Smartphones und der darunterliegende Wunsch, möglichst alle PC-Anwendungen auch mit dem eigenen Smartphone unterwegs bedіenen zu können, stellt schon so die IT-Sicherheitsabteilungen der großen Firmen vor immer mehr ungelöste Probleme.
Nun kommen immer mehr Apps heraus, die über die programmierbaren Logik-Controller von fern auf Produktionsprozesse zugreifen können.
Die ersten SCADA-Apps
Die vorrangig für die Öl- und Gasindustrie konstruierten Steuerungs- und Überwachungssysteme des US-Herstellers Fielding Systems sind nicht nur über Webinterfaces zu steuern, sondern neuerdings auch über Apps für iPhones, Blackberrys und Android-Handys.
Die taiwanesische Advantech, die im Bereich Automation und Embedded Computing tätig ist, bietet seit Monaten ebenfalls Apps für Smartphones an. Auch hier geht es um kritische Datensätze, die auf privaten Smartphones landen, von denen eine beträchtlicher Prozentsatz bekanntlich irgendwo vergessen, verloren oder gestohlen wird.
Apps für 50 Dollar
Die Android-Plattform wіederum wird bis jetzt von allen Handy-Betriebssystemen am häufigsten von Schadsoftware angegriffen.
Die SCADA-App des spanischen Herstellers SweetWilliam S.L. kann laut Herstellerangaben auf die programmierbaren Logik-Controller gleich mehrerer Hersteller - darunter auch Siemens - zugreifen und wird als iPhone App um gerade einmal 50 Dollar angeboten.
Daten und technische Spezifikationen der angeführten Scada-Apps von Fielding Systems. Mit dem Motto "Logic Controller at your fingertips" bewirbt der spanische Hersteller sein Produkt.
Was zeitgleich geschah
Ebenfalls in der vergangenen Woche brachten der republikanische Senator John McCain und weitere Politiker fast zeitgleich mit der Wortmeldung des NSA-Direktors einen Gesetzesvorschlag in den US-Senat ein. Wichtigste Aussage: Nicht das Ministerium für Heimatschutz (DHS), das im Range eines zivilen Geheimdiensts steht, sondern die militärische NSA solle für die Sicherung der zivilen Netze verantwortlich sein.
Hauptargument dafür ist, dass die NSA - anders als das DHS - bereits über langjährige Erfahrungen im Umgang mit Cyber-Angriffen verfügt. Das ist zweifelos richtig und General Keith Alexander leitet auch das Cyber Command der amerikanischen Streitkräfte.
"Wildcard" für die NSA
Bis jetzt lässt die US-Gesetzeslage aus Verfassungsgründen kein operatives Eingreifen der NSA in den zivilen Netzen der USA zu. Rein technisch spräche natürlich viel dafür, eine Agency mit der Aufgabe der zivilen Informationssicherung zu betrauen, die über diesbezügliche Erfahrung und auch das nötige Knowhow verfügt.
Politisch würde eine solche Gesetzesänderung allerdings bedeuten, dass man einem vorrangig mit Spionageaufgaben betrauten, militärischen Geheimdienst sozusagen eine "Wildcard" zur Überwachung der zivilen Kommunikationsnetze gibt.
Was die angebliche "Warnung" vor der Anonymous-Bewegung angeht, so hat die NSA im Grunde nur davor gewarnt, dass irgendein Dritter den Wirbel rund um die laufenden Hack-Angriffe und DDoS-Attacken ausnützen könnte, um echten Schaden anzurichten.
Dafür gibt es bereits einen Präzedenzfall, der 2011 monatelang in den Schlagzeilen war, der sogenannte "Playstation-Network"-Hack. Im Windschaften der permanenten Angriffe auf Teile des Sony-Imperiums durch die Protestbewegung zielte eine weitere, sehr erfolgreiche Attacke auf die Kreditkartendaten von Sony-Kunden. 100.000 aktuelle Datensätze waren weg.