Heise berichtet von einem IT-Kongress, auf dem ein Team des Antivirensoftware-Herstellers Kaspersky die Ergebnisse vorgestellt hat, wie anfällig Steuersysteme von Kraftwerken für Angriffe von außen seien.
Es lohnt sich den Artikel mal ganz zu lesen. Insbesondere der Hinweis auf das Prinzip Hoffnung am Ende spricht Bände!
Man fragt sich natürlich, warum wir überhaupt noch Streitkräfte unterhalten, wenn man einer anderen Nation aus der Ferne den Strom abdrehen kann?
Hallo Trontir!
Danke für die Teilung des Links. Ja erschreckend! Was mich wundert ist, dass es bisher in der Art noch keine Vorfälle bei uns gegeben hat. Jedes System das irgendwie im Internet hängt oder eine Netzwerkverbindung nach Außen hat ist ja irgendwo für Sabotage gefährdet. Anleitungen und Metaploits gibt es genug. Jeder Teenager kann das nachturnen. Die Informationen sind alle im Netz verfügbar inkl. Videolinks zu bekannten Videoplattformen. Wenn man als Arbeitgeber Pech hat sind es auch die eigenen unzufriedenen Mitarbeiter. Vielleicht schlecht bezahlt oder unzufrieden mit den Arbeitsbedingen. Die kündigen dann und wollen Ihrem Arbeitgeber noch mal einen Denkzettel verpassen. Hat es alles schon gegeben.
Vielleicht haben die in den Kraftwerken auch keine eigene IT oder machen nur das was unbedingt notwendig ist. Geld gespart wird ja überall und natürlich haben wir einen IT-Fachkräftemangel. Securety Experten und selbsternannte IT Experten gibt es ja wie Sand am mehr, aber bei den wenigsten hab ich das Gefühl, dass die auch wirklich Ahnung von dem haben was sie erzählen. Dazu kommt ja noch, dass die Systeme immer komplexer werden und die Hersteller von Steuersoftware sich nicht in die Karten schauen lassen. Wenn man heute eine Telefonanlage kauft kann man auch jede Information einzeln zusammentragen und den Leuten aus der Nase ziehen. Diverse Zugänge die es gibt erfährt man nur auf Nachfrage. Details werden nicht verraten. Die Anlagen hängen heute alle im Internet und funken fleißig nach Hause zum Hersteller oder zu Anbietern die Plattformen zur Fernwartung der Anlagen bereitstellen. Die extreme aber natürlich notwenige Spezialisierung ist das nächste große Problem. Einer alleine kann die ganzen Themen einfach nicht mehr bis ins Detail überblicken. Wer aktuallisiert auch schon ein eine laufende Steuerung? In der Regeln wird noch nur aktuallisiert, wenn was nicht funktioniert. So sehen das auch viele Systemhäuser und IT Fachkräfte. Immer nach dem Motto "down't touch a running system". Das passte vielleicht vor 15-20 Jahren noch, aber ist in der heutigen Zeit ist solche eine Einstellung natürlich fatal. Nicht mal als Systemadministrator kommt man heute noch auf alle Geräte und kann da ggf. mal die Versionstände z.B. der Firmware prüfen. Mich wundert also nicht, dass es in Kraftwerken Systeme gibt die veraltete Soft- oder Firmwareversionen installiert haben und damit eine tickende Zeitbombe darstellen.
Ein Kraftwerk ist allerdings kein Windows-PC der über einem DSL-Router am Internet hängt.
IT-Systeme bekommt man sowieso nicht 100%ig sicher. Zumal die Software eines Kraftwerks andere Aufgaben hat, nämlich das Kraftwerk zu steuern. Die kann man auch nicht permanent patchen weil man "wieder mal" ein Sicherheitsloch gefunden hat. Daher greifen bei der Absicherung auch andere Mechanismen wie z.B. Zugangskontrollen und organisatorische Maßnahmen, die eine Infizierung verhindern. Die Steuer-Software wird keinen direkten Kontakt zum Internet haben. Das wäre grob fahrlässig.
Zu dem Thema würde ich mal das Szenario aus dem Buch "Blackout" empfehlen. Das soll in dem Bereich ganz gut recherchiert sein hab ich schon mehrfach gelesen.
Wie ganau die ihre Steuersoftware in Kraftwerken Fernwarten bzw. wie die eingebunden ist weiß ich nicht, aber bei Blockheizkraftwerken ist die Steuerung über Port 80 mit dem Internet verbunden, dass ganz normal über eine Firewall und Router kommuniziert. Über eine Remotelösung kann man sich dann aufschalten und Zustände etc. einsehen, wenn man die entsprechen Zugangsdaten besitzt.
Klar 100% erreicht man nicht. Ich bin vom Fach... 100% ist nicht realistisch, aber das sollte ja klar sein.
Im Artikel steht wörtlich...
"Eingebunden sei auch eine Windows-Box, die allenfalls alle sechs oder zwölf Monate upgedatet werden könne, falls die Betreiber von dieser Option überhaupt Gebrauch machten."
Die Updates werden sicher nicht offline gemacht. Falls ein Kraftwerk eine Anbindung ans Internet hat, dann vermultich über eine mehrstufige Firewall-Lösung im Clusterbetrieb. Irgendwie müssen die ja auch nach außen kommunizieren z.B. via Mail, VPN, IP-Telefonie. Zugangskontrollen und organisatorische Maßnahmen greifen nur, wenn die auch konsequent umgesetzt werden. Davon kann man allerdings in Deutschland ausgehen. Neben deutschen Kraftwerken gibt es ja noch viele andere Staaten in denen die Sicherheitskonzepte nicht so hoch sind wie bei uns.
Wenn Kaspersky solche eine Info veröffentlicht, dann sicher weil sie von Außen irgenwo Zugriff bekommen haben. Die waren Sicher nicht vor Ort in den Kraftwerken und haben sich die System da ausgiebig anschauen können. In einer anderen Quellen wurde vor einen Jahr schon mal berichtet, dass es gelungen Ist auf die Steuerungssoftware eines Energielieferanten hier bei uns zuzugreifen. Auch Experten haben schon Bedenken zu dem Thema geäußert. Also ganz unrealistisch ist das meiner Ansicht nach nicht.
Da vermutlich keiner von uns in einem Kraftwerk arbeitet und auch Arbeitsrechlich dazu keine Infos geben darf bleiben die Details natürlich reine Spekulation.
Ich finde das Thema dennoch bedenklich und beunruhigend.
Das erinnert mich irgendwie an die Routerproblematik vor ca. 2-3 Jahren. Die hatten alle Router eines Herstellers ein Sicherheitsloch und konnten alle nach einem Angriff keine Internetverbindung mehr aufbauen. Welcher Anbieter war das noch? Telekom??? Das Problem war da auch schon länger bekannt. Vor kurzen gab es doch bei Heise einen Artikel über ein großes Unternehmen deren Steuerungssoftware für die Produktionsanlagen mit einem Virus verseucht war. Im Prinzip kann man davon ausgehen das heute jedes Unternehmen irgenwie mit dem Internet verbunden ist. Die Frage ist doch nur wie gut die Sicherheitzkonzepte und Firewalllösungen sind um Angriffen vorzubeugen. Vermutlich hat man es in Ländern leicht, wo ohnehin wenig Geld da ist, oder wo einfach schlampig arbeit wird.
es müssen ja nicht immer gleich Kraftwerke sein, der ganze IoT Kram reicht auch schon dicke
Wenn Kapersky solch eine Info veröffentlicht dann hauptsächlich um etwas Marketing zu betreiben.
Dass wir nicht hinein sehen können stimmt. Da gebe ich dir Recht. Blockheizkraftwerke sind allerdings ein ganz anderer Schuh. Fallen diese aus, ist nur eine geringe Anzahl von Haushalten betroffen.
Wären unsere Kraftwerke wirklich offen wie Scheunentore, würden sich Horden der oben beschriebenen "Hacker" auf die Infrastruktur stürzen und wir würden öfter im Dunkeln sitzen.
Für mich fällt das in die Kategorie Panikmache.
https://www.lanline.de/forsche…tze-der-energieversorger/
Passt doch ganz gut zum Thema.
Mit Panikmache hat das nichts zu tun. Das Problem ist schon länger bekannt. Man arbeitet dran.
https://www.heise.de/security/…-fernsteuern-3159811.html
Da gabs auch mal was vom CCC, finde ich jetzt nicht auf Anhieb.
Ein Skript-Kiddie kann zwar nicht sagen, jetzt marschier ich virtuell in Tihange ein, und schalt mal die Pumpen auf rückwärts, aber es kann einfach ein paar eher zufällig verfügbare (kleinere?) Kraftwerke eines Landes durcheinanderbringen.
lord_helmchen : mich wunderts auch, dass da noch nichts in die Medien geschafft hat. Entweder sind die Menschen besser als ich über sie denke, oder dümmer 
Nick
Der beste Schutz ist eine Trennung des Steuernetzes (intern) vom Rest der Welt (extern). Damit kann dann die Buchhaltung und die Homepage - wie bei jedem "normalen" Unternehmen - gehackt werden, aber man kommt nicht an die heiklen Sachen heran.
Haken: Man kann es nicht mehr aus der Ferne warten, man muss physisch vor Ort sein.
Der beste Schutz ist eine Trennung des Steuernetzes (intern) vom Rest der Welt (extern). Damit kann dann die Buchhaltung und die Homepage - wie bei jedem "normalen" Unternehmen - gehackt werden, aber man kommt nicht an die heiklen Sachen heran.
Haken: Man kann es nicht mehr aus der Ferne warten, man muss physisch vor Ort sein.
Das ist nicht ganz richtig. Der Trend geht dazu, dem Kunden verschiedene statistische Auswertungen seiner Fertigung mit der Maschine gleich mitzuverkaufen. Die Daten werden von der Maschine in der Regel über ein VPN an einen Server, schlimmstenfalls in der Cloud gesendet, dort verarbeitete, und der Kunde darf sich dort einwählen und hübsche Bildchen anschauen.
Da gibt's massenhaft Angriffspunkte.
Auch wenn das Steuerungsnetz isoliert ist, es gibt trotzdem immer Angriffspunkte, trotz Sensibilisierung aller Mitarbeiter in hausinternen Schulungen. Mehrere USB Sticks mit aufgedrucktem Unternehmenslogo auf dem Parkplatz im Abstand von einigen Tagen "verloren", und es gibt immer jemanden, der die Sticks - trotz Verbot - an seinem Arbeitsplatzrechner einsteckt. Einfach aus Neugier.
Viele Unternehmen/Netzwerke haben einen Fernwartungszugang für Maschinen, Drucker etc. Wenn das Zielnetzwerk entsprechend gesichert ist, dann kann man bei den Unternehmen ansetzen, welche mit der Wartung betraut sind. Diese sind ggf. nicht sonderlich gut- oder wenigstens schlechter gesichert.
Die Steuer-Software wird keinen direkten Kontakt zum Internet haben. Das wäre grob fahrlässig.
Das ist ja der eigentliche Skandal. Ich zitiere aus o.g. artikel:
„... Das vor allem in Kohle- und Gaskraftwerken eingesetzte Distributed Control System (DCS) SPPA-T3000 komme mit einer ganzen Menge an Java-Apps an Bord, die aus der Ferne aufrufbar seien, Programmen für den Apache-Tomcat-Server, MSSQL, Cygwin sowie mit der industriellen Automatisierungstechnik Simatic.„
„...Auf einem zum SPPA-T3000 gehörenden Orion-Java-Server, auf dem sich Verzeichnisse via HTTPS recht einfach auslesen ließen, fand das Team eine große Zahl an Servlets, die Anfragen von Clients entgegennahmen und beantworteten. Dazu gehörten etwa ein BrowserServlet für Drittparteien oder ein FileUploadServlet, über das sich Dateien mit vollen Systemrechten hochladen ließen.“
Das bedeutet in der Praxis, dass ich als Angreifer meinen eigenen Schadcode einschleusen kann. Das hat das Team dann auch umgesetzt - also nicht nur Theorie.
„Der Truppe gelang es so letztlich, eigenen Code mit allen Rechten auszuführen, beliebige Java-Klassen zu injizieren und sämtliche Sitzungsinformationen nebst Nutzernamen und Kennungen sowie andere private Informationen im Klartext abzufragen. Von Siemens implementierte Firewalls erwiesen sich als nutzlos.“
Warum bei uns nicht häufiger die Lichter ausgehen, kann ich nicht sagen. Aber dass Militärs diese Art von Exploits kennen und bei Bedarf nutzen, hat man zuletzt wieder beim geplanten und von Trump in letzter Minute abgesagten Vergeltungsschlag nach Abschuss einer US-Drone durch den Iran im Sommer gesehen. Da hatten die Cyberspezialisten entsprechende Lücken ausgenutzt, um die iranische Verteidigungssysteme zu schwächen. Als der Angriff dann doch nicht stattgefunden hat, war diese einmalige Chance vertan. Die Lücken hat der Iran nun geschlossen. Die Spezialisten sollen nicht amüsiert gewesen sein.
Hab in den Bereich nur peripheren Einblick, konnte aber zumindest folgendes direkt sehen:
Lokale Stromversorger unterhalten oft ein eigenes Kommunikationsnetz (meist noch analoge Modems). Es scheint aber auch Lösungen zu geben, bei denen eine direkte Einwahl auf die Steuerung möglich ist und damit nur eine Hürde zu überwinden ist (z.B. Trafostationen). In größeren Anlagen gibt es zwar Standardrouter, denen sind aber in der Regel VPN Gateways nachgeschaltet. Ebenso Ticketautomaten usw., da kann auch mal eine Fritzbox liegen, Kommunikation läuft aber über ein VPN.
Eine direkte Internetverbindung ist mir noch nicht untergekommen, kann aber auch nicht in die Konfigurationen schauen...
Hab mir aber folgendes sagen lassen: die Überwachung externer Techniker ist oft wohl sehr schlecht. Jemand der gut ist, könnte wahrscheinlich in vielen Fällen einen Bypass der Firewall unbemerkt installieren.
Dass eine solche Übernahme in ausreichender Zahl möglich ist um das Netz lahm zu legen ist zwar denkbar, halte ich aber für unwahrscheinlich. (der SuperGAU wäre natürlich die Übernahme der Steuerzentrale eines ganzen Konzerns)
Allerdings können solche Fähigkeiten natürlich ein wirksamer Hebel im Verbund mit anderen Aktionen sein. Dabei müssen nicht nur Energieunternehmen betroffen sein.
Angenommen ein Botnetz fängt schlagartig an Bitcoins zu berechnen und Industrieanlagen fahren ihre Maschinen hoch, einfach alles was die Last erhöht. Gleichzeitig ein paar Kraftwerke vom Netz nehmen und strategisch gewählte Masten sabotieren. Ich denke da könnte schon ein Moment erreicht werden der zu größeren Abschaltungen führt. Irgendwie wird ein Angreifer auf das Verhältnis langsam und schnell regelbarer Kraftwerke (und auch Verbraucher) abzielen, um mit möglichst wenig Einsatz den größten Schaden zu erzielen. Wenn das erste Ziel, eine Notabschaltung von Kernkraftwerken, erreicht ist, dürfte mit einfachen Mitteln (überlastete Querverbindungen) ein Stich nach dem anderen gesetzt werden um den Wiederanlauf zu behindern.
Ok, jetzt bin ich schon am planen meiner Meinung ist die IT eine wichtige Waffe wenn es um die Energieversorgung geht, nicht aber die einzige. Ich halte daher eine Nutzung dieser im großen Stil (Landes/Europaweit) nur im Zusammenspiel mit physikalischer Sabotage für wahrscheinlich. Und auf was das hinausläuft dürfte klar sein.
Nun ist es soweit, wir bekommen die neuen Strohmzähler. Allerdings bringen die nicht wirklich mehr als die alten. Gut man kann jetzt nachweisen wer der größte Stromfresser ist und was man am Vortage, Woche oder Monat davor an Strom gebraucht hat. Aber interessiert das wirklich jemand. Ich glaube nicht.
Aber die sogenannte Bereitstellung wird teurer. Von ca. 13€ auf ca. 40€.
Und man muss noch immer selber ablesen und es dem Stromversorger übermitteln. Allerdings, und so habe ich das von der Verbraucherzentrale herausgelesen, das es ein Kommunikationsmodul geben soll das man einbauen kann und schwups gehen die Daten direkt an der Stromanbieter.
Das ist das dann wohl die Messeinheit die im Roman Blackout den Schlamassel verursacht hat.
Sollte das irgendwann kommen, und es kommt da bin ich mir sicher, kann man genau sehen wann gekocht oder Fernseh, PC oder sonst ein elektisches Gerät benutz wird, und so bekommt das ein neuen, im warsten Sinne des Wortes, gläserenen Anstrich. Es werden die Gewohnheiten aller Menschen auf eine ganz perfiede Weise ausspioniert. Nicht nur die Leute die sich eine "Alexa" in die Stube stellen, weil es so bequem ist.
Ach, übrigens kann man dagegen nichts machen, denn es ist Gesetz. Schöne neue digitale Welt.
nicht zu vergessen das die neuen elektronischen Zähler auch eine Abschaltfunktion besitzen. Das schaltet einen nicht nur den Strom ab wenn man nicht zahlt, sondern soll auch verwendet werden "um das Netz zu schützen". Also wenn zu wenig Energie im Netz ist kann man einfach Haushalte abschalten. Bei Verstößen gegen die Nutzungsbedingungen auch (z.B. mit nicht angemeldeten Balkonkraftwerken). Um so viele Zähler auch in Echtzeit auslesen und steuern zu können war bisher das Mobilfunknetz zu schwach, deshalb "brauchen wir" jetzt das 5G Netz, denn es kann viel mehr Clients pro Funkzelle bedienen.
5G braucht man nicht für Smart Meter. Bei uns in OÖ kommuniziert der Zähler mittels Powerline mit der Trafostation, die dann mittels Glasfaser ans Firmennetz angebunden ist.
Vorteil: Kein extra Funkmodul oder Sim-Karte oder Mobilfunkvertrag notwendig. Und funktioniert überall, unabhängig von Netzabdeckung o.ä. (in Gebirgsregionen ein klarer Vorteil).
Nachtrag: Das Datenvolumen von Smart Metern wird offensichtlich grob überschätzt. Gemessen wird in der höchsten Auflösung 1/4-h-weise, also 96 Zählerwerte (einfache Fließkommazahl) pro Tag. Selbst mit einigem Overhead kommen da kein nennenswerten Datenmengen zusammen.
Ich bezweifle das nicht das das es bei dir derzeit so gemacht wird und ich habe sowas auch schon hier in Deutschland gesehen. Mittelfristig wird sich das aber ändern. Die benötigte Technik ist lächerlich günstig und wird sowieso vom Kunden bezahlt. Der Unterhalt der Powerline Infrastruktur ist da teurer. Ein Beispiel zu den Kosten einer Mobilfunklösung: in einer Fachzeitschrift laß ich vor kurzem einen Artikel zum IoT. Ein Hersteller bietet ein gekapselte Gerät an das in Europaletten eingesetzt werden soll. Es meldet GPS und ein paar Umweltdaten automatisch im interval an seine Cloud. Das Gerät soll mit Batterie eine Lebenserwartung von 10 Jahren haben und kostet inklusive einer lebenslangen Datenflat im 5G Netz stolze 10USD.
In dem Zusammenhang möchte ich auf ein schönes, langes Radiostück des Deutschlandfunks hinweisen, das mir einen guten Überblick über das Thema zu bieten scheint: https://www.deutschlandfunkkul…ml?dram:article_id=462228 (Gibt's da auch als Lesetext.)
Der Titel "Die Ukraine als Testgelände für den Cyberkrieg" trifft den Inhalt allerdings nicht ganz. Die bekannten Fälle aus der Ukraine sind zwar der Aufhänger, aber der Beitrag beleuchtet, soweit für mich als Laie erkannbar, sehr viele Aspekte des Themas. Beispielsweise geht es um das recht bekannte Whitehat-Experiment der Stadtwerke Esslingen, aber auch um die Probleme verschiedener Schutz- und Gegenschlagsoptionen.
