Mehr als 60.000 Zugriffe auf eine virtuelle Infrastruktur verzeichnete der TÜV Süd in der achtmonatigen Laufzeit eines Honeynet-Projekts. Das Honeynet kombinierte reale Hardware und Software mit der simulierten Umgebung eines kleineren Wasserwerks. Die Zugriffe erfolgten von Servern aus der ganzen Welt und teilweise unter verschleierten IP-Adressen. Mit dem Honeynet-Projekt hat der TÜV Süd den Nachweis erbracht, dass Infrastrukturen und Produktionsstätten gezielt ausgeforscht werden.
Die zunehmende Digitalisierung und Vernetzung macht diese anfälliger und schafft neue Einfallstore für einen möglichen Missbrauch – von der Spionage bis zur Sabotage. Mit einem High-Interaction-Honeynet hat der TÜV Süd neue Erkenntnisse gewonnen, von denen Unternehmen aus unterschiedlichsten Branchen profitieren können.
Genaue Analyse von Zugriffs- und Angriffsaktionen
„Ein Honeynet ist ein System, das Angreifer anlocken und die Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll“, sagt Dr. Armin Pfoh, Vice President im Bereich Strategie & Innovation des TÜV Süd. Für das aktuelle Projekt hatte der Dienstleister ein Wasserwerk in einer deutschen Kleinstadt simuliert. „Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte“, erklärt Dr. Pfoh. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen haben die Experten des TÜV Süd zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.
Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem „Scharfschalten“. Während der Laufzeit verzeichneten die Experten über 60.000 Zugriffe aus mehr als 150 Ländern. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Teamleiter Industrial IT Security beim TÜV Süd. Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen. Zudem erfolgten die Zugriffe zum Teil über verdeckte beziehungsweise verschleierte IP-Adressen.
Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. „Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt“, erklärt Störtkuhl. Damit ist für den Sicherheitsexperten klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Dabei kann es sich sowohl um einen generellen Angriff auf bestimmte Strukturen und Devices als auch um einen gezielten Angriff auf ein ausgewähltes System handeln.
Deutliches Warnsignal für Unternehmen
Die Ergebnisse des Honeynet-Projekts sind ein deutliches Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. „Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen“, betont Störtkuhl. Damit können diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht wurden.
„Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind“, so der Sicherheitsexperte, „wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert.“ Das zeigen auch die Angriffsversuche auf das Honeynet von TÜV Süd, die über unterschiedliche Protokolle erfolgten. Dabei handelte es sich zum einen um eine weltweite Denial-of-Service-Attack, zum anderen um zwei gezielte Angriffsversuche über zwei unterschiedliche Industrieprotokolle.
Monitoring als Basis von Schutzmaßnahmen
Die wichtigsten Botschaften aus dem Honeynet-Projekt: Infrastrukturen und Produktionsstätten werden kontinuierlich ausgeforscht. Das gilt selbst für ein relativ unbedeutendes Wasserwerk in einer deutschen Kleinstadt. Aus Zugriffen können Angriffe werden, die ein hohes Schadenspotenzial haben – von der Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten Infrastruktur. Ohne die Anpassung ihrer Sicherheitsvorkehrungen fahren Unternehmen und Betreiber von Infrastrukturen ein hohes Risiko.
Ein gezieltes Monitoring ist Voraussetzung dafür, dass Unternehmen ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen aus dem Honeynet-Projekt muss das Monitoring zwingend auch Industrieprotokolle erfassen, weil potenzielle Angreifer diese Protokolle kennen und nutzen.