Störungen in der Versorgung durch exponierte und angreifbare Energie- und Wasserinfrastrukturen

Originalbeitrag von Stephen Hilt, Numaan Huq, Vladimir Kropotov, Robert McArdle, Cedric Pernet und Roel Reyes


Energie- und Wasserversorgung sind zwei der wichtigsten kritischen Infrastrukturen. Beide Bereiche sind auf dem Weg zu stärker untereinander vernetzten Systemen, vor allem über die Integration von Industrial Internet of Things (IIoT)-Technologie. Diese stetige Entwicklung verbessert die Effizienz und Zuverlässigkeit der Verfügbarkeit der Ressourcen, aber erschwert auch die Sicherung jedes wichtigen Systems in den Infrastrukturen. Mit steigender Anzahl der Schwachstellen in den Systemen, vor allem bei Supervisory Control and Data Acquisition (SCADA) Human Machine Interfaces (HMIs) müssen die Risiken für diese kritischen Systeme untersucht werden.

Mithilfe von quelloffenen Intelligence-Techniken konnten die Sicherheitsforscher von Trend Micro mögliche Problembereiche in Wasser- und Energieversorgungssystemen ausmachen. Über Internet-Scanning (vor allem mit Shodan) und physischer Standortzuordnung erkannten die Forscher eine Reihe von exponierten und angreifbaren HMIs, alle aus KMUs stammend. Dies zeigt, wie wichtig Cybersicherheit für jede Ebene in der Lieferkette und in jeder kritischen Infrastruktur ist. Alle Ergebnisse sind im Bericht „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“ enthalten.

Exponierte, angreifbare HMIs

Für die Wasserversorgung fanden die Forscher überall in der Welt exponierte HMIs. Dazu gehörten Monitoring- und Kontrollschnittstellen von verschiedenen Wasserversorgungs-bezogenen Systemen, so etwa Heizung, Geothermie, Wasserpumpen, Wasserfilter und Meerwasserumkehrosmose und Desinfektion.


Bild 1. Screenshot einer exponierten HMI für die Kontrolle/Konfiguration einer Wasseraufbereitungsanlage

Es gab auch mehrere exponierte Unterbereiche von energiebezogenen Systemen: Öl und Gas, Biogas und Strom. Bis auf eine einzige Bohranlage im Mittleren Osten kamen die meisten der exponierten HMIs aus dem Öl- und Gassektor aus den USA. Diese HMIs ermöglichten den Forschern -Einsichten in Informationen wie Echtzeit-Produktionsebenen und sogar kritische Kontrollen wie Abschalt- und Reset-Optionen.

Die exponierten HMIs von Biogas-Einrichtungen stammten verständlicherweise aus Ländern, wo diese Art der Energie weit verbreitet ist: Deutschland, Frankreich, Italien und Griechenland. Die exponierten HMIs waren Top-Level-Menüs mit Untermenüs zur Pumpensteuerung, Luft-Gas-Mischern, Zirkulation, Parametereinstellung, etc.


Bild 2. Screenshot einer exponierten Biogas-HMI, die ein Top-Level-Menü und verhandene Untermenüs zeigt.

Auch fanden die Forscher exponierte Stromsysteme aus Deutschland, Spanien, Schweden, Tschechien, Italien, Frankreich, Österreich und Südkorea. Dazu gehörten Systeme aus Solar-, Wind- und Wasserkraftwerken. Wie bei den anderen exponierten HMIs auch fanden die Forscher mehrere Monitoring-Schnittstellen, Kontrollschnittstellen und sogar eine exponierte Benutzerdatenbank.

Diese Ergebnisse deuten darauf hin, dass Angreifer auch die Informationen aus diesen Systemen überwachen und nutzen könnten. Darüber hinaus verfügen die meisten der exponierten HMIs über kritische Steuerungen wie Temperaturregelung und Abschaltung. Das bedeutet, dass Angreifer durch den Zugriff auf diese HMIs letztendlich direkt mit den Systemen und Geräten interagieren können. Die Wahrscheinlichkeit eines Angriffsszenarios ist aufgrund dessen, was die Forscher beobachtet haben, hoch: 1) nur wenige dieser HMIs erforderten eine Benutzerauthentifizierung; 2) diese Schnittstellen scheinen live zu sein (basierend auf mehreren Screenshots von Shodan); 3) das Interesse an ICS für kritische Infrastrukturen wurde im Chat in Untergrund-Foren deutlich. Das heißt, alle genannten HMIs sind nicht nur exponiert, sondern auch anfällig.

Auswirkungen auf die reale Welt und die Lieferkette

Aufgrund der inhärenten Bedeutung der Energie- und Wasserversorgung, könnten Angriffe über die exponierten und anfälligen Systeme weitreichende Auswirkungen haben. Ein Angriff könnte zu immer weiteren Ausfällen tiefer in der Lieferkette führen oder Angreifer dazu veranlassen, zu größeren Zielen überzugehen. Im Folgenden werden drei Möglichkeiten beschrieben:

  • Mangel in der Versorgung und Dienstleistungsverteilung im gleichen Sektor. Sollten beispielsweise Wasseraufbereitungsanlagen oder Kraftwerke mit angreifbaren Top-Level-Domain-Menüs manipuliert werden, hätte dies direkte Auswirkungen auf die Gesamtversorgung der jeweiligen Regionen. Kleinere Unternehmen stellen auch Ressourcen für größere Unternehmen zur Verfügung; daher könnte eine unerwartete Angebotsknappheit die Geschäftstätigkeit dieser größeren Unternehmen beeinträchtigen.
  • Störungen in anderen Sektoren kritischer Infrastrukturen. Interdependenzen und Abhängigkeiten zwischen kritischen Infrastrukturen erweitern die Auswirkung eines kompromittierten Systems auf die Bereitstellung anderer Arten von Ressourcen. In diesem Fall könnte eine unbemerkte Manipulation einer Wasseraufbereitungsanlage leicht weitere Auswirkungen auf die Lebensmittel- und Gesundheitsindustrie haben. Ebenso könnte ein plötzlicher Mangel an Öl und Gas die Transportbranche direkt treffen.
  • KMUs als Testumgebung für größere Organisationen. Auch wenn es aufgrund der höheren Awareness für Cybersicherheit bei größeren Unternehmen weniger wahrscheinlich ist, dass Geräte im Internet exponiert sind, machen ihre Ähnlichkeit in Betrieb und Ausrüstung mit kleineren Unternehmen letztere zu einem verlockenden Test- und Lernumfeld für Angreifer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.