Reale Bedrohung: Angreifer bleiben im Honignetz kleben

Security Reale Bedrohung: Angreifer bleiben im Honignetz kleben

30.07.2015Redakteur: Sariana Kunze

Die zunehmende Digitalisierung und Vernetzung macht Infrastrukturen und Produktionsstätten anfälliger und schafft neue Einfallstore für Spionage und Sabotage. Wie real diese Bedrohung für Industrie 4.0 ist, zeigt das Honeynet-Projekt von TÜV Süd. Mehr als 60.000 Angreifer wurden weltweit von dem "süßen Honig" eines Wasserwerks angelockt.

Anbieter zum Thema

TÜV Süd AG

TÜV Süd zeigt auf: Infrastrukturen und Produktionsstätten werden gezielt ausgeforscht. Angreifer lauern überall.
(Shawan Zain, CC BY 2.0, flickr.com)

Egal ob Regierungen, Einzelpersonen oder ganze Unternehmen. Seitdem der Whistleblower Edward Snowden aus dem Nähkästen der US-amerikanischen NSA geplaudert hat, ist klar, dass potenziell alles und jeder bespitzelt wird. Echtes Problem für die zunehmende Digitalisierung und Vernetzung von Infrastrukturen und Produktionsstätte, denn die Angreifer lauern überall. Eine über 8 Monate ausgelegte Honigfalle des TÜV Süds erbringt jetzt den Nachweis, wie real diese Bedrohung ist. Von den neu gewonnenen Ergebnissen sollen Unternehmen aus den unterschiedlichsten Branchen profitieren, erklärt der TÜV. „Ein Honeynet ist ein System, das Angreifer anlocken und die Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll“, sagt Dr. Armin Pfoh, Vice President im Bereich Strategie & Innovation von TÜV Süd. „Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet in Form eines Wasserwerks einer deutschen Kleinstadt eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau.“ Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen haben Experten von TÜV Süd zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

China, USA und Südkorea als Spionage-Könige

Mit dem Projekt Honeynet wurden vom TÜV Süd gezielt Angreifer angelockt, um aus den Zugriffs- und Angriffsaktionen für die Fabriken der Zukunft zu lernen.
(TÜV Süd)

Der erste Zugriff erfolgte fast zeitgleich mit dem Scharfschalten. Während der Laufzeit verzeichneten die Experten über 60.000 Zugriffe aus mehr als 150 Ländern. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd. Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen. Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. „Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt“, erklärt Dr. Störtkuhl. Damit ist für den Sicherheitsexperten klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das kann entweder ein genereller Angriff auf bestimmte Strukturen und Devices oder ein gezielter Angriff auf ein ausgewähltes System sein.

Im Visier der Cyber-Kriminellen

„Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen“, betont Dr. Thomas Störtkuhl. Damit können diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht wurden. „Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind“, so der Sicherheitsexperte, „wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert.“ Das zeigen auch die Angriffsversuche auf das Honeynet, die über unterschiedliche Protokolle erfolgten. Dabei handelte es sich zum einen um eine weltweite Denial-of-Service-Attacke und zum anderen um zwei gezielte Angriffsversuche über zwei unterschiedliche Industrieprotokolle.

Ohne die Anpassung ihrer Sicherheitsvorkehrungen fahren Unternehmen und Betreiber von Infrastrukturen ein hohes Risiko. Ein gezieltes Monitoring ist Voraussetzung dafür, dass Unternehmen ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen aus dem Honeynet-Projekt muss das Monitoring zwingend auch Industrieprotokolle erfassen, weil potenzielle Angreifer diese Protokolle kennen und nutzen.

Aufklappen für Details zu Ihrer Einwilligung

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

(ID:43529282)