Prof. Thomas Brandstetter, Geschäftsführer des Security-Dienstleisters Limes Security GmbH und Instructor des US-amerikanischen Sicherheitstrainingsinstitutes SANS klärt uns im Interview über jüngste Angriffsvektoren auf industrielle Automations- und Steuerungssysteme auf.
Frage: Herr Brandstetter, die Öffentlichkeit wurde um 2010 herum durch den Windows-Zero-Day-Exploits ausnutzenden Computerwurm Stuxnet auf die prinzipielle Verwundbarkeit von Industrial Control Systems durch Hacker aufmerksam. Am bekanntesten wurde damals die Kompromittierung von Siemens Industriesteuerungen in der iranischen Urananreicherungsanlage Natanz. Seitdem hat kein Angriff auf Industriesteuerungen mehr so große mediale Aufmerksamkeit erfahren. Hat das mit einer abnehmenden Bedrohung zu tun?
Thomas Brandstetter: Nein, das kann man leider nicht sagen. Ich war damals Incident Handler bei Siemens und habe das Siemens Product Cyber Emergency Readiness Team gegründet, hatte also einen guten Einblick, auf welchen Ebenen industrielle Steuerungssysteme angreifbar sind. Stuxnet war insofern etwas Besonderes, als hieran versierte Programmierer aus verschiedenen Fachgebieten beteiligt gewesen sein müssen: Experten für Windows, Automatisierung und große Industrieanlagen. Man kann also durchaus einen staatlichen Akteur als Auftraggeber vermuten.
Die nach Stuxnet beobachtete Schadsoftware hat vor allem Prozessdaten eingesammelt, um Informationen über verschiedene Industriesysteme zu erhalten. Ab 2014 wurden gezielt Remote Access Toolkits in Kampagnen eingesetzt, die gezielt Betriebsdaten sammelten und die Zugänge von Betriebsmitarbeitern kompromittierten.
Die letzte Weiterentwicklung sah man dann im vergangenen Jahr, als die Malware TRISIS eine Anlage eines großen Öl- und Gas-Produzenten im Nahen Osten durch einen Angriff auf ein spezielles Safetysystem von Schneider Electric stillgelegte. Bislang glaubte man, dass ein kompromittiertes ICS allein noch keine Gefahr darstellt, weil darunter noch ein Safety-System für Sicherheit sorgt. Der Angriff auf das Notabschaltsystem der Anlage durch die Malware zeigte aber, dass auch Safety-Steuerungen mittlerweile ausreichend Software enthalten, die Einfallstore bieten. Die Angreifer gehen immer mehr in die Tiefe und suchen sich gezielt Sicherheitsmechanismen als Angriffsziele aus, die eigentlich gedacht sind, Schlimmeres zu verhindern.