Der Angriff auf das ukrainische Stromnetz Ende Dezember hat zu Recht Furore gemacht. Er hat aufgezeigt, wie verwundbar öffentliche Infrastrukturen sein können. Weitere Untersuchungen des japanischen IT-Sicherheitsunternehmens Trend Micro haben nun jedoch ergeben, dass nicht nur Stromversorger, sondern auch eine Eisenbahngesellschaft und ein Bergbauunternehmen attackiert wurden – offenbar von denselben Hintermännern. Diese Attacken betreffen aber nicht nur die Ukraine, sondern sollten für alle Unternehmen mit vernetzten Industriesteuerungsanlagen ein Weckruf sein, ihre IT-Systeme besser gegen gezielte Angriffe zu schützen.

Dass ein Zusammenhang zwischen diesen verschiedenen Angriffen besteht, belegen einmal die Ähnlichkeiten der verwendeten Schädlinge. In allen drei Fällen kamen Varianten der Spionagesoftware „BlackEnergy“ und des Festplattenkillers „KillDisk“ zum Einsatz. Darüber hinaus wurde in allen drei Fällen mindestens ein gemeinsamer Befehls- und Kontrollserver genutzt. Dass nur der Angriff auf die Stromversorger im Zentrum des Medieninteresses stand, liegt daran, dass bei den anderen beiden Attacken keine merklichen Schäden oder Ausfälle zu beklagen waren.

Immer noch Testphase

Die Gemeinsamkeiten bei der verwendeten Schadsoftware und Infrastruktur sowie die zeitliche Nähe der Angriffe lassen vermuten, dass die Attacken zwar durchaus politisch motiviert waren, eine schwere und dauerhafte Beeinträchtigung des öffentlichen Lebens in der Ukraine aber nicht unbedingt Hauptziel der Hintermänner war. Die Trend Micro-Forscher gehen daher eher davon aus, dass die Angriffe dazu dienten, herauszufinden, welche Infrastrukturen in der Ukraine am verwundbarsten sind und ob die eigene Schadsoftware tatsächlich funktioniert. In diesem Sinne waren die Ereignisse Ende Dezember, so sehr der Stromausfall auch das öffentliche Leben vorübergehend gestört haben mag, eher ein Test für den (kriegerischen) Ernstfall oder im schlimmsten Fall eine Art Warnschuss.

Kritische Infrastrukturen müssen besser geschützt werden

Doch auch wenn im vergangenen Dezember in der Ukraine kein Notstand ausgelöst wurde, wäre es falsch, daraus keine Schlüsse für unsere Region zu ziehen. Die industriellen Steuerungssysteme (ICS-Systeme), mit denen unsere öffentlichen Infrastrukturen von der Strom- und Wasserversorgung bis zum Betrieb von Atomreaktoren kontrolliert und bedient werden, wurden nie für das Internetzeitalter gebaut. Sie sind jedoch immer häufiger mit dem Netz der Netze verbunden und damit prinzipiell angreifbar.

Günter Untucht, Justiziar beim japanischen IT-Sicherheitsanbieter Trend Micro, kommentiert: „Das deutsche IT-Sicherheitsgesetz geht mit seinem Ansatz, besonders kritische und daher schützenswerte Infrastrukturen und ihre Betreiber zu definieren und strikteren Sicherheitsauflagen zu unterwerfen, in die richtige Richtung. Allerdings steht die Veröffentlichung der Durchführungsverordnung mit klarer Nennung der betroffenen Branchen und Bereiche sowie Unternehmen und Organisationen noch aus. Denn die genaue Abgrenzung, was als kritisch und unkritisch einzustufen ist, fällt schwer.“

Die Unternehmen sollten sich unabhängig von ihrer Größe und ihrer Branchenzugehörigkeit bewusst sein, dass sie verwundbar sind, sobald sie ICS-Systeme einsetzen. Sind Schädlinge wie „KillDisk“ einmal im Umlauf, können auch sie Opfer eines Angriffs werden, der ihnen ursprünglich gar nicht galt. Es gilt daher, sich grundsätzlich gegen gezielte Angriffe auf Industriesteuerungsanlagen zu wappnen.

Weitere Informationen

Weiterführende Informationen enthält dieser Blogeintrag, eine Übersicht mit den wichtigsten Fragen zum Thema findet sich hier (beides in englischer Sprache). Zusätzliche Details zu den bei den Angriffen verwendeten Befehls- und Kontrollservern sowie den Hashwerten der gefundenen Schädlingsvarianten lassen sich als PDF abrufen.

KillDisk and BlackEnergy Are Not
Just Energy Sector Threats (PDF, englisch)