Aktuelles, Branche - geschrieben von dp am Dienstag, April 23, 2019 21:20 - noch keine Kommentare
Sicherheitsforschern gelang Hacker-Angriff auf Klärwerk
PSW GROUP fordert besseren Schutz Kritischer Infrastrukturen
[datensicherheit.de, 23.04.2019] Aus aktuellem Anlass weist die PSW GROUP darauf hin, dass eine verschlüsselte Datenübertragung per SSL/TLS „ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens“ ist. Die Einbindung von SSL-Zertifikaten auf Webseiten diene dazu, die zwischen zwei Computern übertragenen Daten zu verschlüsseln und somit vor dem Zugriff Unbefugter zu schützen. „Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen“, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Benutzername und Passwort dürften ausschließlich berechtigen Personen bekannt sein.
Sicherheitsmängel in Industrieanlagen oft gravierend
Zwei Sicherheitsforschern ist es nach Angaben der PSW GROUP gelungen, via Web die komplette Steuerung eines Klärwerks zu übernehmen. Das eingesetzte Prozessleitsystem zur Steuerung der Anlagen war demnach über das Internet erreichbar.
Über ein Web-Interface seien die technischen Details der Industrieanlagen nicht nur abgebildet worden, sondern hätten sich auch noch kontrollieren und steuern lassen. „Solche Systeme sollten aus dem Internet nicht zu erreichen sein. Denn so können Unbefugte Zugriff auf die Administrationsoberfläche erlangen“, warnt Heutger.
Zudem seien die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das mache sie empfindlich für DDoS-Angriffe, bei denen die Rechner übers Internet mit Anfragen überhäuft würden. Heutger: „Sie könnten schnell unter dieser Last zusammenbrechen.“
Einladung an Hacker: Applikation mit vorausgefülltem Nutzernamen
Das viel schwerwiegendere Problem im aktuellen Falle aber war laut der PSW GROUP, dass die Applikation mit vorausgefülltem Nutzernamen arbeitete – „WW“ z.B. habe da für „Wasserwerk“ gestanden. Es sei für die beiden Forscher ein Leichtes gewesen, das Passwort zu erraten und vollen Zugriff auf das Web-Interface zu erlangen:
Spaßeshalber hätten sie „WW“ auch als Passwort eingegeben – und dann nicht schlecht gestaunt, „als sie Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern erhielten“.
Durch Zugriff auf die Nutzerverwaltung wäre es ihnen zudem ein Leichtes gewesen, die Passwörter der User zu ändern und sie so auszusperren, so Heutger. Auch die Bereitschafts-Optionen der Mitarbeiter könnten mit dem Admin-Zugriff geändert werden.
Bundesamt für Sicherheit in der Informationstechnik benachrichtigt
„Durch derartige Zugriffe auf Versorgungsunternehmen, egal ob nun Wasser, Strom oder Telekommunikation, lassen sich umfangreich Daten aus Sensoren auslesen, im Einzelfall könnten Soll-Werte verändert werden, was direkte Auswirkungen auf den eigentlichen Produktions- bzw. Steuerungsprozess hat. Und im schlimmsten Falle könnten Kriminelle die Versorgung einer Stadt oder einer Region unterbrechen“, erläutert Heutger die Dimension solcher Sicherheitslücken.
Glücklicherweise habe es sich nur um einen Test durch Sicherheitsforscher gehandelt. Diese hätten ihren Fund dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, welches den Anlagenbetreiber informierte habe.
Binnen 48 Stunden seien sämtliche Zugänge geschlossen worden. Der Software-Hersteller habe ein Software-Update herausgegeben, welches einige der Kritikpunkte habe beseitigen können. Nun existiere unter anderem eine Passwortrichtlinie, um ein Mindestmaß an Passwortsicherheit garantieren zu können.
Christian Heutger: Sicherheit von Prozessleitsystemen noch zu oft stiefmütterlich behandelt
Schwachstelle oftmals der Mensch
„Es ist jedoch nicht nur der Software-Hersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen sind die meisten Hersteller inzwischen technisch gut aufgestellt. Die Schwachstelle ist oftmals der Mensch selbst“, unterstreicht Heutger.
Denn leider setzten die meisten Betreiber von Klär- und Wasserwerken auf Einfachheit und Komfort. Das seien zwei Attribute, die die Systeme nicht gerade sicher machten. Oftmals zähle für die Anwender solcher Software Bequemlichkeit mehr als Sicherheit.
Von Wasser- und Klärwerken seien indes Millionen von Menschen abhängig. Kostendruck, aber auch Bequemlichkeit und leider häufig auch Ahnungslosigkeit sorgten dafür, „dass vielfach auf ein hohes Maß an Sicherheit verzichtet wird“.
Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS empfohlen
Natürlich müssten Software-Anbieter für ein gewisses Maß an Sicherheit sorgen. Die Angebote dieser Software-Anbieter müssten jedoch auch durch die Betreiber Kritischer Infrastrukturen (KRITIS) angenommen werden.
„Das Thema Sicherheit von Prozessleitsystemen wird zu oft noch stiefmütterlich behandelt. Das verwundert allerdings kaum, denn zahlreiche Wasserversorgungsunternehmen stehen unter personellem und finanziellem Druck“, so Heutgers Einschätzung der Lage.
Immerhin finde nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern, aber auch durch die Aufgeklärtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS werde dieses Umdenken anhalten und die Sicherheitsstandards verbessern.
Weitere Informationen zum Thema:
PSW GROUP, Bianca Wellbrock, 26.03.2019
Verschlüsselung / Schutz kritischer Infrastrukturen: Klärwerk vollständig gehackt
datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen
datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten
datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden
datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen
Aktuelles, Experten - Sep 17, 2024 15:39 - noch keine Kommentare
GI-Arbeitskreis fordert stärkere Kontrollen nach Softwarefehler bei Landtagswahlen 2024 in Sachsen
weitere Beiträge in Experten
- eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
Aktuelles, Branche - Sep 17, 2024 15:50 - noch keine Kommentare
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich
weitere Beiträge in Branche
- SANS Institute gibt eBook zur Cloud-Sicherheit heraus
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren