l+f: Wenn Cyber-Aktivisten die Modelleisenbahn attackieren
"Wenn ihr unsere Forderungen weiter ignoriert, lassen wir den Metronom mit einer Diesellok kollidieren" ist natürlich völlig vakant getürkt, wohl …
Security Von
- Jürgen Schmidt
Die Sicherheitsfirma Fireeye warnt vor vermehrten Angriffe auf sogenannte Operational Technology (OT), also Steuerungssysteme für Industrieanlagen und deren Prozesse. Die beobachteten Attacken zeichnen sich häufig durch "geringe Raffinesse" ("Low Sophistication") aus. Sprich: Die Angreifer nutzen gemäß simpler Tutorials Suchmaschinen wie Shodan oder Censys, um ihrer Opfer zu finden. Mit dem Browser oder einem VNC-Client-Programm landen sie dann direkt an der grafischen Bedienoberfläche zur Steuerung wichtiger Prozesse.
Dahinter stecken häufig politische Aktivisten, die es etwa auf Erpressung, Sabotage-Akte oder schlichte Angeberei abgesehen haben. Mit den IT-Kenntnissen der Angreifer ist es dabei oft nicht weit her. Da kann es dann schon mal vorkommen, dass es sich beim angeblich kompromittierten "Rail Control System" nur um eine Modelleisenbahn handelt (warum auch immer die aus dem Internet erreichbar sein muss). Oder dass es sich hinter der via VNC steuerbaren "Gas-Anlage" nur die Dunstabzugshaube eines Restaurants verbirgt.
Reale Gefahr
Doch Spaß beseite: Die Gefahr, dass tausende von Systemen über das Internet erreichbar und deren gesteuerte Prozesse somit teilweise trivial angreifbar sind, ist real. Auch heise Security fand sich bereits mehrfach nach wenigen Klicks in den Steuerungen von Fernwärmekraftwerken, Rechenzentren und sogar Gefängnissen wieder. Deshalb fordert auch Fireeye, dass OT-Betreiber die Best Practices der Security befolgen, zu denen unter anderem gehört: Hängt eure OT-Systeme wenn irgend möglich nicht ans Internet. Wenn das unbedingt erforderlich ist, sichert sie durch ein VPN mit guter Authentifizierung (etwa 2FA).
Mehr Infos
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(ju)
Quelle: www.heise.de