Hackingangriff auf Stromnetze
Stellen Sie sich vor, dass jemand alle Ampeln in Berlin um 16:00 Uhr abschaltet.
Ich habe diesen Gedanken, seitdem es Ryan Naraine in einer Gesprächsrunde zum Thema Sicherung von Smart Cities auf Black Hat erwähnte.
Obwohl der Vortrag vor allem unter einigen sehr technischen Forschern gehalten wurde, war der Gedanke an Ampeln, die in der hektischsten Stadt der Welt ausfallen, nicht abzuschütteln. Heutzutage ist alles online verbunden – Telefon, TV, Uhren, Fitness Tracker, vielleicht selbst Ihre Eingangstür. Aber wussten Sie, dass auch unsere Ampeln, Zugsysteme und Stromnetze online sind?
Es ist sogar recht furchteinflößend, wenn man sich vorstellt, was geschehen könnte, wenn eins unserer Industriesysteme, das für unser Alltagsleben notwendig ist, ausgeschaltet werden würde.
Strom?
Züge?
Ampeln?
Jeder dieser drei Faktoren könnte tödlich sein, wenn er unsachgemäß verwendet wird. Aber wie bei vielen Dingen steht die Sicherheit für Smart Cities nicht da, wo sie stehen müsste.
Bürokratie und Entwicklungsdauer für Systeme bedeuten, dass Sicherheit in vielen Fällen eine untergeordnete Rolle spielt.
Die Diskussion zu diesem Sicherheitsproblem ist ebenfalls ärgerlich. Sie dreht sich in der Sicherheits-Community im Kreis — und sie kommt auch nicht aus der Sicherheitswelt heraus, da der Durchschnittsmensch nicht darüber nachdenkt, obwohl er das sollte.
Smart-Cities sind komfortabel — aber sind sie auch sicher?
Tweet
Wenn es um Sicherheit geht, konzentrieren wir uns für gewöhnlich auf die Dinge, die wir im Alltag benutzen: Computer, mobile Geräte, Fitness Tracker, usw. Aber diese Geräte sind, so unablässig wie sie auch scheinen mögen, Luxusartikel, und keine täglichen Notwendigkeiten. Es ist ein schwerer Schlag, wenn sie gehackt werden, aber für gewöhnlich bringt Sie das nicht um.
Hacking electricity, water, and food https://t.co/puKzqEPXTa #ICS pic.twitter.com/L4ibbptbXM
— Kaspersky Lab (@kaspersky) July 15, 2016
Während unseres AMA vor ein paar Wochen fragte ein User: Ich habe mich gefragt, ob Sie Prognosen dazu machen können, wann es zu Massenverlusten oder sogar Todesfällen durch Hackingangriffe auf industrielle Steueranlagen kommen wird? Ist es jetzt möglich? Nach dem Angriff auf ein deutsches Stahlwerk, der Malware BlackEnergy und dem Angriff auf die schwedische Flugsicherung, hat man den Eindruck, dass wir kurz vor etwas stehen, aber bis jetzt noch nicht angekommen sind.
Brian Bartholomew antwortete darauf: Tolle und komplexe Frage für Experten. Ich bin der Meinung, dass es eine Frage der Zeit ist, bis sich jemand irgendwo dazu entscheidet, diese Grenze zu überschreiten und es zu Opfern kommen wird. Wenn Sie sich die kritischen Systeme anschauen, die noch immer ungesichert und anfällig für Angriffe sind, braucht es nur einen Verrückten und allgemeine Kenntnisse dazu, wie eine industrielle Steueranlage funktioniert, um weitgreifenden Schaden anzurichten.
Black Hat and DEF CON: Hacking a chemical plant – https://t.co/KSnCTtLt5U
— Kaspersky Lab (@kaspersky) August 19, 2015
Vitaly Kamluk antwortete darauf: Um ehrlich zu sein, möchte ich nicht darüber nachdenken. Als ich das letzte Mal über die Möglichkeit nachdachte, wie Malware die Grenze zwischen virtueller und physischer Welt überschreitet, um physische Objekte zu zerstören, kam es genau im nächsten Monat zu Stuxnet. Ich dachte damals nur „warum so früh?“. Ich habe dasselbe seltsame Gefühl, jedes Mal, wenn ich etwas von plötzlichen Katastrophen, wie abgestürzte Flugzeug, entgleiste Züge, usw. höre.
Ein Sicherheitsforscher, allgemein als „halvarflake“ bekannt, sagte dieses Jahr (soweit ich mich erinnere): „Physische Objekte können von Ihnen besessen werden. Computersysteme haben eine zusätzliche Dimension – die Kontrolle. Sie können Ihren Computer besitzen, aber mit dem aktuellen Systemdesign können Sie sich nie sicher sein, wer die Kontrolle hat.“
Davon wache ich nachts auf, da die Illusion die wir von der Kontrolle von Computersystemen haben, unzählige Möglichkeiten öffnet, um Tragödien auszulösen; von Personen, die Ihre Macht gegen andere verwenden.
Also was kann bezüglich dieses gravierenden Problems unternommen werden?
Laien, wie Weltbürger, können – und müssen – darauf achten, was unsere gewählten Amtsträger für unsere Sicherheit unternehmen.
Before #Stuxnet, there was little thought about proactively securing industrial facilities https://t.co/2r3pXlbf7Z pic.twitter.com/vvj9ChCHAb
— Kaspersky Lab (@kaspersky) November 18, 2014
Erziehung und Aufmerksamkeit sind lebenswichtig. Diese Diskussion muss über den Sicherheitsbereich hinauswachsen und Schlagzeilen machen. Ein Hackerangriff auf diese empfindlichen Systeme könnte verheerend sein. Es ist wirklich ein Thema, dem wir mehr Aufmerksamkeit schenken sollten, und nicht nur bei Skandalen von Stars oder Hackingangriffen auf Datingseiten.
Tipps