Ferngesteuertes Wasserwerk Hacker führen US-Behörden vor

Im US-Bundesstaat Illinois wurde ein Wasserwerk offenbar Ziel eines Hackerangriffs. Behörden spielen den Fall herunter, Experten hingegen schlagen Alarm: Kriminelle könnten per Fernsteuerung in das System eingedrungen sein. Zum Beweis knackte ein Unbekannter eine weitere Anlage.

   Angeblicher Screenshot eines Wasserwerks: Hacker brüstet sich mit System-Zugriff


Angeblicher Screenshot eines Wasserwerks: Hacker brüstet sich mit System-Zugriff

Von


An, aus, an, aus, immer wieder: In einem Wasserwerk im US-Bundesstaat Illinois ist eine Pumpe ausgefallen, nachdem sie offenbar gezielt überlastet worden war - von Hackern, die für ihren Einbruch einen Server in Russland benutzten. Das geht aus einem Bericht eines Terrorismus-Lagezentrums des Bundesstaates hervor, aus dem "Wired" zitiert.

Weil die Behörden den Zwischenfall herunterspielen, hat sich nun ein zweiter Hacker gemeldet - und vier Screenshots der Steueranlage eines weiteren Wasserwerks veröffentlicht. Der Hacker mit dem Pseudonym "pr0f" distanzierte sich von mutwilliger Zerstörung. Er will offenbar auf angebliche Sicherheitslücken aufmerksam machen, die staatliche Infrastruktur sei in einem dramatischen Zustand.

Der erste Fall: Um in die Steuerung des Wasserwerks in Illinois einzudringen, sollen die Angreifer zunächst in das Netzwerk einer Firma eingebrochen sein, die Steuerungssysteme für Industrieanlagen verkauft, sogenannte Scada-Systeme. Die Abkürzung steht für supervisory control and data aquisition, also Steuer- und Kontrollanlagen. Offenbar bewahrte das Unternehmen Logindaten zu mindestens einer Anlage auf, um über das Internet darauf zugreifen zu können. Über so einen Fernwartungsmodus können die Kunden Software-Updates und Hilfe bei der Fehlersuche bekommen.

Die Hacker konnten diese Daten nach dem Bericht von "Wired" vermutlich nutzen, um auf die Steuerung einer Anlage des Curran-Gardner Townships Public Water District zuzugreifen. Der Hacker-Zugriff auf das Wasserwerk erfolgte womöglich zwei bis drei Monate vor dem Ausfall der Pumpe - aus dem Report gehe hervor, dass Mitarbeiter seitdem Merkwürdigkeiten festgestellt, diese aber als gewöhnliche Macken abgetan hätten.

Das FBI und das Department of Homeland Security haben laut "Wired" Ermittlungen aufgenommen. Eine offizielle Bestätigung für den Hacker-Angriff gibt es bisher nicht - und die Sicherheitsbehörden bemühten sich, den Vorfall herunterzuspielen. Gegenüber "Wired" erklärte Joe Weiss, ein Sicherheitsexperte, der den Bericht des Terror-Lagezentrums gelesen hat, dass seines Wissens nach keine weiteren Wasserkraftwerke über das mögliche Sicherheitsproblem informiert worden seien.

Ebenso sei unklar, welcher Systemausrüster von den Hackern geknackt worden sein soll. Sollte es sich dabei um eines der großen Unternehmen der Branche handeln, so Weiss, könnten nicht nur Wasserwerke, sondern womöglich sogar Atomkraftwerke betroffen sein.

Sabotage von Stromnetzen: Mögliches Angriffszenario in einem Cyberwar

Der zweite Fall: Um die Dramatik des ersten Hacks zu unterstreichen und die Beschwichtigungen der Behörden zu konterkarieren, veröffentlichte "pr0f" am 18. November Screenshots, die von einem Wasserwerk in South Houston stammen sollen. In einer Erklärung teilte der Hacker mit, er werde keine weiteren Details zu seinem Angriff veröffentlichen. Es sei allerdings "unklug", Scada-Systeme an das Internet anzuschließen und auf diese Weise für eine Fernwartung zugänglich zu machen.

"Ich würde das nicht einmal einen Hack nennen", schreibt "pr0f". Der Einbruch habe praktisch keiner großen Fähigkeiten bedurft und könne "von einem Zweijährigen" nachvollzogen werden. Ihn habe besonders aufgeregt, dass die Behörden den Vorfall mit der Pumpe nicht ernst genug nehmen und einen Hacker-Angriff als offiziell bisher nicht erwiesen darstellten.

In den USA warnen Sicherheitsexperten seit geraumer Zeit vor der Verwundbarkeit von Wasserwerken, Energieversorgen und anderen Infrastruktur-Einrichtungen durch Hacker-Angriffe. Die Sabotage von Stromnetzen gilt als mögliches Angriffszenario in einem Cyberwar. Richard Clarke, ehemaliger Berater der Regierung im Kampf gegen Terrorismus, kritisiert in seinem Buch "Word Wide War" eine mangelnde Sensibilisierung der Verantwortlichen. Dabei könnten sogenannte logische Bomben, unbemerkt eingeschleuste Programme, gewaltigen Schaden anrichten. Selbst Länder mit einem vergleichsweise schwachen Militär wie Nordkorea könnten mit einer Hacker-Truppe zur Bedrohung werden.

Präventive Selbstverteidigung

Das Pentagon gab dieses Jahr eine neue Richtlinie aus: "Wer die Stromnetze unseres Landes sabotiert, muss mit Raketen im Schornstein rechnen", sagte ein Sprecher des Verteidigungsministeriums zu der neuen Doktrin. Die USA wollen sich die Hacker-Angriffe, die oft ihren Ursprung in China und Russland haben, nicht länger tatenlos hinnehmen. In einem ersten Schritt werden die Länder aufgefordert, Hacker-Aktivitäten in ihrem Land zu unterbinden.

In letzter Konsequenz bedeutet das: Kommt ein Land dem nicht nach und stehen Menschenleben auf dem Spiel, könnten die USA zur präventiven Selbstverteidigung greifen und einen Militärschlag ausführen - auch wenn das im Völkerrecht umstrittenen ist.

Bleibt nur ein Problem: Bevor Strafverfolger oder sogar das Militär in Bewegung gesetzt werden können, muss geklärt werden, woher der Angriff stammt. Dass der erste Einbruch in das Scada-Unternehmen aus Russland aus geführt wurde, muss noch lange nicht bedeuten, dass der Angreifer auch dort sitzt - oder sogar im Auftrag oder mit Wissen dortiger Behörden arbeitet. Genausogut könnte der Angreifer einen Server gemietet haben und von irgendwo auf der Welt darauf zugreifen - etwas aus dem Nachbarstädtchen im US-Bundesstaat Illinois.

Gegenüber "CNet" wies "pr0f" vorsorglich selbst auf diesen Umstand hin. Er benutzte für die Kommunikation seines Hacks eine E-Mailadresse bei einem rumänischen Anbieter, halte sich aber nicht dort auf. "Ich nehme an, dass Unternehmen in dem Land eher nicht den USA helfen und meine E-Mails weitergeben."

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 40 Beiträge
Alle Kommentare öffnen
Seite 1
off_road 20.11.2011
1. Kriminelle! Was sonst?!
Zitat von sysopIm US-Bundesstaat Illinois wurde ein Wasserwerk offenbar Ziel eines Hackerangriffs. Behörden spielen den Fall herunter, Experten hingegen schlagen Alarm:*Kriminelle*könnten per Fernsteuerung in das System eingedrungen sein. Zum Beweis knackte ein Unbekannter eine weitere Anlage. http://www.spiegel.de/netzwelt/web/0,1518,798866,00.html
Warum ist Kriminelle hier in Sternchen gesetzt? Will sich SPON bei kriminellen Hackern oder bei der vermeintlichen Internet-Community anbiedern?
de.nada 20.11.2011
2. ~
Zitat von off_roadWarum ist Kriminelle hier in Sternchen gesetzt? Will sich SPON bei kriminellen Hackern oder bei der vermeintlichen Internet-Community anbiedern?
Das ist Cyberlatein. Es geht doch um E-mail-Hacker-Adressen und Wasserwerkatomubootsicherheit von Escada !
Dubbel 20.11.2011
3. nope
Zitat von off_roadWarum ist Kriminelle hier in Sternchen gesetzt? Will sich SPON bei kriminellen Hackern oder bei der vermeintlichen Internet-Community anbiedern?
Ich würde das ganze eher als unangemeldeten Penetrationstest bezeichnen. Hier wurden illegale Taten ausgeführt, um auf ein viel größeres Problem hinzuweisen. Wäre der Hacker ein stinknormaler Krimineller, dann hätte er vermutlich die Wasserwerke erpresst oder den "Hack" meistbietend an interessierte Drittstaaten verkauft. Ich kenne das Problem, dass Organisationen, ob Staaten oder Firmen, nicht, oder nur unzureichend, auf Sicherheitslücken reagieren, auf die man sie hinweist (wenn auch natürlich in kleinerem Maßstab als in diesem Fall). Manchmal ist da ein "Schuss vor den Bug" wie das Zerstören einer Pumpe hier, der einzige Weg auf das Problem aufmerksam zu machen. Vermutlich haben die Wasserwerke/die USA Glück gehabt, dass es dieser Greyhat als erstes entdeckt hat...
bold_ 20.11.2011
4. Kladde und USB-Stick im Tresor
Ich setze "Ghostery" zum Blocken von Facebook & Co. ein und bin immer wieder fasziniert, welche "Mitesser" sich im IN herumtreiben. Da muß man sich wirklich nicht wundern, wenn Wasserwerke gehackt werden... Wie kann man nur die SW für die Fernwartung und vor allem die Zugangsdaten "hackergerecht" auf dem Rechner/Server liegen haben?! --> warum schreiben die nicht alle Paßwörter in eine Kladde und warum lädt man die Wartungs-SW nicht von einem USB-Stick, der nach Gebrauch wieder im Tresor verschwindet? Außerdem kann man für die Fernwartung einen speziellen PC mit Linux OS verwenden, auf dem nichts anderes drauf ist! Sooo voluminös kann die SW nun auch wieder nicht sein, daß der Stick nicht durch die Tresortür paßt...
RMP1968 20.11.2011
5. Keep it simple, stupid "
Zitat von bold_Ich setze "Ghostery" zum Blocken von Facebook & Co. ein und bin immer wieder fasziniert, welche "Mitesser" sich im IN herumtreiben. Da muß man sich wirklich nicht wundern, wenn Wasserwerke gehackt werden... Wie kann man nur die SW für die Fernwartung und vor allem die Zugangsdaten "hackergerecht" auf dem Rechner/Server liegen haben?! --> warum schreiben die nicht alle Paßwörter in eine Kladde und warum lädt man die Wartungs-SW nicht von einem USB-Stick, der nach Gebrauch wieder im Tresor verschwindet? Außerdem kann man für die Fernwartung einen speziellen PC mit Linux OS verwenden, auf dem nichts anderes drauf ist! Sooo voluminös kann die SW nun auch wieder nicht sein, daß der Stick nicht durch die Tresortür paßt...
Das kann ich Dir sagen: Weil die Manager dieser Unternehmen teures Geld für "IT-Berater" ausgeben, die denen ein sündteueres, angeblich todsicheres System verkaufen. Ein Kraftwerk braucht keine Fernwartung, der Spezialist hat gefälligst vor Ort zu sitzen / erscheinen. Der Verzicht auf WLAN und die vollständige Trennung vom Internet ist die einfachste Form der Abschirmung. Aber einfach wäre ja auch billig, und daran kann niemand verdienen ...:-(
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.