Hackerangriffe auf Stromerzeuger nehmen drastisch zu
Stuxnet war nur der Anfang
Der erste bekannte Fall eines Cyberangriffes war der Computerwurm „Stuxnet“, der laut Medienberichten zu massiven Schäden am iranischen Atomprogramm führte. "Stuxnet" ist als Schadprogramm entwickelt worden, dass speziell zum Angriff auf ein System zur Überwachung und Steuerung, ein SCADA-System, der Firma Siemens, genutzt werden konnte. SCADA-Systeme befinden sich ebenfalls in Wasser- und Energieanlagen und sind damit ebenfalls verwundbar.
Cyberangriffe in Urkraine und USA
Zum Jahreswechsel 2015-2016 drängen sich die Schlagzeilen zu einem von Hackern verursachten Stromausfall in der Ukraine. Dabei kam es zu physikalischen Schäden - am 23. Dezember waren 700.000 Haushalte für Stunden ohne Elektrizität. Nicht nur in der Ukraine, sondern auch in den USA kam es offenbar im Dezember 2015 zur Angriffen auf einen der größten Stromerzeuger in den Vereinigten Staaten. Dabei wurden Netzwerke geentert, über die das amerikanische Stromnetz gesteuert wird und Passwörter sowie Dutzende Pläne von Kraftwerken und Stromnetzen erbeutet. Mit diesen Daten sind neue Angriffe auf Stromerzeuger möglich. Wer ist vor diesen Plänen also hinreichend geschützt?
Auch Produktionsumgebungen benötigen eine zuverlässige Absicherung gegen Cybergefahren
Um die neuen Bedrohungen in der Prozess-IT zu entschärfen, werden fast immer IT-Sicherheitsmaßnahmen aus der Office-Welt ins Auge gefasst. Es hat sich aber gezeigt, dass Produktionsumgebungen nur bedingt damit abgesichert werden können.
Ethernet und TCP/IP sorgen für Einzug von Cybergefahren
Die Nutzung von Ethernet und TCP/IP erzeugt neue Sicherheitsprobleme in Produktionsumgebungen, die vorher nicht vorhanden waren. Ethernet und TCP/IP bieten Angreifern oder Schadsoftware einen standardisierten Verbreitungsweg. Es ist immer weniger konkretes Wissen über die Anlagen notwendig. Das erlaubt auch standardisierte Angriffe wie z.B. Stuxnet. Bestehende und neue Implementierungen von TCP/IP Protokollen in Geräten sind fehlerbehaftet. Diese Fehler können auch sicherheitsrelevant sein.
Die Ankoppelung an die Office-IT öffnet den Cyberbedrohungen neue Türen
Zudem führt die Kopplung von Prozessnetzen mit der Office-Welt oder gar dem Internet auch hier zu neuen und bedeutsamen Risiken. Durch die Koppelung von beiden Umgebungen halten immer mehr Bedrohungen aus dem Office-Bereich Einzug in Produktionsumgebungen. Es entstehen dabei globale Vernetzungen, die globale Cyberrisiken bergen können.
Die honeyBox sichert Industrieanlagen nachhaltig vor Cyberangriffen
Für den Betreiber von Stromanlagen ist es das oberste Ziel, die Verfügbarkeit der Systeme nicht zu gefährden. Ein Honeypot muss daher in jeder Situation transparent für den Rest des LANs sein und andere Systeme auch bei einem Ausfall nicht beeinflussen. Da die Honeypot-Hosts rein passiv agieren, sind auch keine Auswirkungen auf andere Bereiche des LANs zu erwarten.
Sicherheitstechnologien, die ursprünglich aus dem Office-Umfeld übernommen wurden, können optimal ergänzt werden. Mit einem richtig konfigurierten und angepassten Honeypot können die Betreiber von Industrieanlagen einen wichtigen zusätzlichen Sicherheitslevel etablieren, der aktive Schutzmechanismen wie Firewalls, Anti-Virus oder Intrusion Prevention Systeme nachhaltig absichert.
Die honeyBox® wurde speziell für das industrielle Umfeld entwickelt
Kommerzielle Honeypot-Systeme wie die honeyBox® industrial von secXtreme wurden speziell für das industrielle Umfeld entwickelt. Die honeyBox® und andere Lösungen können in Industrie-Umgebungen sowohl Low- als auch High-Interaction Honeypots bereitstellen. Sie simulieren in den Prozess-LANs virtuelle Opfersysteme als Köder, die die Angreifer auf sich ziehen. Während der manuellen oder automatischen Erkundung des Netzwerks durch den Ein- dringling trifft er im LAN auf virtuelle Honeypots, die augenscheinlich schwächere Sicherheitsvorkehrungen aufweisen, als die übrigen Systeme darstellen.
Kein falscher Alarm: die honeyBox® bindet den Hacker und alarmiert den Administrator
Bereits beim ersten Kontakt wird der Administrator über den Angriffsversuch informiert. Die Qualität der Alarmierung ist hoch, weil nur auf aktive Angriffsversuche reagiert wird. Die Alarmierung kann zur besseren Übersicht im Idealfall auch an die Prozessvisualisierung angekoppelt werden. Alle Meldungen sollten klar und verständlich formuliert sein, damit auch IT-technisch ungeschultes Bedienpersonal sofort die Tragweite des Vorfalls erkennt.