Ransomware ist nicht nur eine Gefahr für private Computer und Unternehmensnetzwerke, sondern kann auch komplette Industrie-Anlagen sabotieren. Wissenschaftler vom Georgia Institute of Technology haben das am Beispiel einer Wasseraufbereitungsanlage demonstriert.
Sie brachten drei handelsübliche SPS (speicherprogrammierbare Steuerung, englisch: Programmable Logic Controller, PLC) mit, wie sie tausendfach in Industrie-Anlagen verwendet werden, und testeten zunächst das Sicherheitslevel der Geräte wie die Passwortstärke und die Anfälligkeit für bösartige Modifikationen. Anschließend koppelten sie die SPS mit der Simulation eines Systems aus Pumpen, Röhren und Tanks, wie es in Wasseraufbereitungsanlagen installiert ist.
Es folgte eine ebenfalls simulierte Ransomware-Attacke, bei der die Forscher davon ausgingen, dass die Malware etwa über Phishing-Mails oder Links auf verseuchte Websites in die Anlage gelangt war. Damit waren sie nicht nur in der Lage, zentrale Systeme zu beenden und so zu blockieren, dass sie nicht mehr benutzbar waren. Sie konnten durch Modifikationen an den SPS auch ganz gezielt Ventile schließen, den Chlorgehalt des Wassers erhöhen und die Anzeige falscher Messwerte erzwingen.
Die Gefahr ist real
Auch wenn es sich bisher nur um eine Simulation handelt – die Wissenschaftler konnten auch zeigen, dass die Gefahr einer solchen Attacke durchaus real ist. Über ein selbstgeschriebenes Suchprogramm fanden sie rund 1.400 SPS eines bestimmten Typs, die direkt über das Internet erreichbar waren. Zwar sind die Geräte in der Regel durch Firewalls und andere Security-Maßnahmen geschützt. Doch sollte es einem Angreifer tatsächlich gelingen, einen Trojaner auf einen der Rechner im Netzwerk der Anlage einzuschleusen, ist das beschriebene Szenario nicht unwahrscheinlich.
Bislang wurden allerdings lediglich Ransomware-Angriffe auf Krankenhäuser bekannt: Im Februar 2016 zahlte eine Klinik in Los Angeles 40 Bitcoins, damals etwa 17.000 US-Dollar, um wieder Zugriff auf ihr Netzwerk zu bekommen. Etwa zur gleichen Zeit wurden auch drei Kliniken in Nordrhein-Westfalen infiziert. Aus Finnland hingegen wurde im November ein DDoS-Angriff auf die Steuerungscomputer der Heizungsanlagen mehrerer Wohnblocks bekannt. Doch bei solchen Einzelfällen dürfte es in Zukunft wohl nicht bleiben.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.