Honeynet-Projekt von TÜV SÜD: Potenzielle Angreifer sind überall

Mehr als 60.000 Zugriffe auf eine virutelle
Infrastruktur verzeichnete TÜV SÜD in der achtmonatigen Laufzeit
eines Honeynet-Projekts. Das Honeynet kombinierte reale Hardware und
Software mit einer simulierten Umgebung eines kleineren Wasserwerks.
Die Zugriffe erfolgten von Servern aus der ganzen Welt und teilweise
unter verschleierten IP-Adressen. Mit dem Honeynet-Projekt hat TÜV
SÜD den Nachweis erbracht, dass Infrastrukturen und
Produktionsstätten gezielt ausgeforscht werden.

Die Industrie 4.0 stellt Unternehmen vor die Herausforderung, ihre
Sicherheitsvorkehrungen grundsätzlich zu überdenken. Die zunehmende
Digitalisierung und Vernetzung macht Infrastrukturen und
Produktionsstätten anfälliger und schafft neue „Einfallstore“ für
einen möglichen Missbrauch – von der Spionage bis zur Sabotage. Mit
einem High-Interaction-Honeynet hat TÜV SÜD neue Erkenntnisse
gewonnen, von denen Unternehmen aus unterschiedlichsten Branchen
profitieren können.

Genaue Analyse von Zugriffs- und Angriffsaktionen

„Ein Honeynet ist ein System, das Angreifer anlocken und die
Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll“, sagt
Dr. Armin Pfoh, Vice President im Bereich Strategie & Innovation von
TÜV SÜD. Für das aktuelle Projekt hatte TÜV SÜD ein Wasserwerk in
einer deutschen Kleinstadt simuliert. „Zu diesem Zweck haben wir ein
sogenanntes High-Interaction-Honeynet eingerichtet, das reale
Hardware und Software mit einer simulierten Umgebung kombinierte“,
erklärt Dr. Pfoh. Die Sicherheits¬vorkehrungen entsprachen dem
industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die
Sicherheitsvorkehrungen haben die TÜV SÜD-Experten zusammen mit
Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

Das Honeynet war insgesamt acht Monate im Netz. Der erste Zugriff
erfolgte fast zeitgleich mit dem „Scharfschalten“. Während der
Laufzeit verzeichneten die TÜV SÜD-Experten über 60.000 Zugriffe aus
mehr als 150 Ländern. „Damit konnten wir nachweisen, dass selbst eine
relativ unbedeutende Infrastruktur im Netz wahrgenommen und
ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Senior Security
Experte und Teamleiter Industrial IT Security bei TÜV SÜD. Die
Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und
Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige
Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen.
Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw.
verschleierte IP-Adressen.

Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur
über Standardprotokolle der Büro-IT, sondern auch über
Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. „Die
Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen
aber ebenfalls aus der ganzen Welt“, erklärt Dr. Störtkuhl. Damit ist
für den Sicherheitsexperten klar, dass Lücken in der
Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass
die Systeme für einen möglichen Angriff anfällig sind. Das kann
entweder ein genereller Angriff auf bestimmte Strukturen und Devices
oder ein gezielter Angriff auf ein ausgewähltes System sein.

Deutliches Warnsignal für Unternehmen

Die Ergebnisse des Honeynet-Projekts sind ein deutliches
Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern
auch für produzierende Unternehmen. „Auch kleine oder unbekannte
Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im
Internet laufen“, betont Dr. Thomas Störtkuhl. Damit können diese
Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht
gezielt ausgesucht wurden. „Wenn Unternehmen durch Ausspäh-Aktionen
erst einmal auf den Monitor von potenziellen Angreifern geraten
sind“, so der Sicherheitsexperte, „wird dadurch auch ein gezielter
Angriff zu einem späteren Zeitpunkt erleichtert.“ Das zeigen auch die
Angriffsversuche auf das Honeynet von TÜV SÜD, die über
unterschiedliche Protokolle erfolgten. Dabei handelte es sich zum
einen um eine weltweite Denial-of-Service-Attacke und zum anderen um
zwei gezielte Angriffsversuche über zwei unterschiedliche
Industrieprotokolle.

Monitoring ist Basis für die Entwicklung von Schutzmaßnahmen

Die wichtigsten Botschaften aus dem Honeynet-Projekt von TÜV SÜD:
Infrastrukturen und Produktionsstätten werden kontinuierlich
ausgeforscht. Das gilt selbst für ein relativ unbedeutendes
Wasserwerk in einer deutschen Kleinstadt. Aus Zugriffen können
Angriffe werden, die ein hohes Schadenspotenzial haben – von der
Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten
Infrastruktur. Ohne die Anpassung ihrer Sicherheitsvorkehrungen
fahren Unternehmen und Betreiber von Infrastrukturen ein hohes
Risiko. Ein gezieltes Monitoring ist Voraussetzung dafür, dass
Unternehmen ihre Gefährdungslage realistisch einschätzen und
wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen
aus dem Honeynet-Projekt muss das Monitoring zwingend auch
Industrieprotokolle erfassen, weil potenzielle Angreifer diese
Protokolle kennen und nutzen.

Weitere Informationen zu den Dienstleistungen von TÜV SÜD im
Bereich der Industrial IT Security gibt es unter
www.tuev-sued.de/digital-service sowie
www.tuev-sued.de/embedded/industrialsecurity.

Hinweis für Redaktionen: Zwei Grafiken können in reprofähiger
Auflösung heruntergeladen werden unter www.tuev-sued.de/pressefotos
in der Rubrik „Aktuelles & Veranstaltungen“.

Pressekontakt:
Dr. Thomas Oberst
TÜV SÜD AG
Unternehmenskommunikation
Westendstr. 199
80686 München
Tel.: +49 (0) 89 / 57 91 – 23 72
Fax: +49 (0) 89 / 57 91 – 22 69
E-Mail: thomas.oberst@tuev-sued.de
Internet: www.tuev-sued.de

Leave a Reply

Your email address will not be published.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.