Eigentlich nichts Neues: Industrielle Steuerungssysteme sind über das Internet angreifbar. Das ist spätestens seit Entdeckung der Trojaner
Stuxnet, Flame, Duqu und
Gauss bekannt.
In der Zwischenzeit haben Hacker neue Angriffs-Tools entwickelt und es gibt auch Suchmaschinen, über die sich unzureichend gesicherte Geräte aufspüren lassen. Die Tools sind teilweise auch von technisch weniger versierten Personen leicht zu benutzen. Die Gefährdung hat daher deutlich zugenommen. Deswegen schlagen jetzt das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) mit Unterstützung des Bundesamts für Sicherheit und Informationstechnik (BSI) Alarm. In einem
US-Cert-Bericht werden mehrere Faktoren genannt, die die Gefährdung eines Angriffs auf industrielle Steuersysteme reduzieren:
1. Die Kontroll-Panel für Industrieanlagen sollten nicht direkt über das Internet erreichbar sein.
2. Kontroll-Systeme sollten sich immer hinter Firewalls befinden und vom restlichen Netzwerk getrennt sein.
3. Wenn ein Fernzugriff nötig ist, sollte dieser über Virtual Private Networks (VPNs) erfolgen.
4. Standard-Accounts sollten immer umbenannt, deaktiviert oder entfernt werden.
5. Die mögliche Anzahl fehlgeschlagener Anmeldeversuche sollte begrenzt werden, damit Brute-Force-Angriffe nicht gelingen können.
6. Passwortregeln sollten dafür sorgen, das Benutzer ausreichend lange und komplizierte Passwörter vergeben müssen.
7. IT-Verantwortliche sollten ständig die administrativen Konten überprüfen. Mit geeigneten Tools lässt sich feststellen, ob neuen Konten unberechtigt erstellt wurden.
Bei Industrie-Anlagen gibt es zudem einige Besonderheiten, die das Angriffspotential erhöhen. Da die Geräte über Jahrzehnte einsatzbereit sein müssen, gibt es oft Standardzugänge, über die sich Systeme zurücksetzen lassen. Auch wenn die Administratoren wechseln oder die Dokumentation verloren geht, soll so der Zugriff weiter möglich sein. Das können auch Hacker ausnutzen.
Um die Anlagen zu prüfen, können Unternehmen die gleichen Werkzeuge wie die Hacker einsetzen, etwa die Suchmaschinen
Shodan Computer Location Service und
Every Routable IP Project (ERIPP).