So wird auch ein kleiner Generator zum Cyberrisiko

Auch ein Kleinwasserkraftwerks-Betreiber kann zum ständigen Opfer von Cyberkriminellen werden, anfangs sogar, ohne es zu bemerken. Auf dem Anwenderforum Kleinwasserkraft in Rosenheim wurde vergangene Woche deutlich, dass das Schadensrisiko vielfältig und unbegrenzt ist, dass teilweise auch Wartungsfirmen bei der Abwehr schludrig vorgehen und dass die Haftung der Verantwortlichen in schon absehbaren Gesetzesänderungen eher zunehmen wird.

Gefährdet sind alle Anlagen und Server, die am Internet der Dinge (IoT) teilnehmen, die sich also, basierend auf IP-Adressen, mit anderen IP-Adressen verbinden − und das ohne VPN-Tunnel und aktuelle Firewall sowie bei "unsachgemäß" breiter Freigabe von Ports, berichtete Stephan Brunner, Softwareentwickler bei FEE Industrieautomation aus dem bayerischen Neunburg vorm Wald.

Für die Entdeckung solch offener Scheunentore gebe es, so Brunner, im Internet spezialisierte IoT-Suchmaschinen wie shodan.io und zuhauf laienverständliche Anleitungen, wie Kriminelle auf die Bedienoberflächen selbst von SPS-Anlagensteuerungen kommen und das Kommando übernehmen können. Dabei, so Nikolaus Dürk, Chef von X-Net aus dem österreichischen Linz, wüssten die Eindringlinge gar nicht, was sie überhaupt erwischten, also dass es sich beispielsweise um den Generator eines Kleinwasserkraftwerks handelt.
 
Stephan Brunner will über Suchmaschinen nach eigenem Bekunden schon völlig ungeschützte Generatoren mit 170 kW oder 750 kW und eine 100-kW-Gasturbine entdeckt haben. Er und Dürk berichteten von Schadensbildern, die vom Missbrauch als Spam- oder Kinderporno-Verteiler über die Zerstörung der Anlage reichten, indem die Cyberkriminellen zum falschen Punkt den SPS-Leistungsschalter steuern - bis hin zur Erpressung, nachdem wichtige Systemdaten für den Betreiber unzugänglich verschlüsselt wurden.

Die Liste der Versäumnisse durch Anlagenbetreiber und Wartungsunternehmen ist dabei lang und auch nicht unbedingt neu. Beispiele und Lösungen:

• Eine Wartungsfirma für Wasserkraftanlagen war laut Brunner "zu faul", vor die SPS-Steuerung einen VPN-Tunnel zu legen, die SPS war vom Internet aus ansteuerbar und wurde als Spam-Bot missbraucht. Soweit eine Anlage zur Kritischen Infrastruktur (Kritis) gehört, fordert das Bundesamt für Sicherheit in der Informationstechnk (BSI) sogar einen "sicheren Kommunikationskanal" wie eben ein Virtual Private Network. 
• Standardpasswörter seien rasch zu knacken, auch zum Beispiel "wkwmusterstadt2023". Brunners Empfehlung: immer (!) die empfohlenen zufällig generierten Passwörter verwenden. In der Kritis sei dies sogar Pflicht.
• Die Firmware wird nur einmal nach Inbetriebnahme aktualisiert. Brunner empfiehlt mindestens jährliche und anlassbezogene Prüfungen und Updates
• Die Firewalls auf den Routern (etwa Fritzboxen) seien oftmals der einzige Schutz, bei beidem fehlten aber oft die Dokumentation und die Aktualisierungen. Die interne Kommunikation zwischen den Komponenten sei dagegen häufig ungeschützt. Nikolaus Dürk von X-Net will sogar jahrzehntealte Rechner vorgefunden haben, die noch auf dem Dos-Betriebssystem von Microsoft liefen.

"Gehen Sie davon aus: Sie werden einmal gehackt"

Nikolaus Dürk machte darauf aufmerksam, dass eine ungewollte Datenverschlüsselung durch Cybererpresser oder ein Missbrauch als Spam Bot auch schleichend geschehe, indem etwa nur ein Drittel der Daten verschlüsselt wird und dann Downloads ungewöhnlich lange dauern oder die IoT-Steuerung langsamer wird, weil ein Teil der Bandbreite von den Spammern belegt wurde.
 
100-prozentige Sicherheit gebe es aber in dem IT-Wettlauf mit Hackern ohnehin nicht mehr. "Gehen Sie davon aus: Sie werden einmal gehackt, verschlüsselt oder fangen sich einen Trojaner ein." Dagegen sei nur ein Kraut gewachsen: doppelte Backups.

Ein Informationssicherheits-Managementsystem (ISMS) gemäß BSI-Sicherheitskatalog, das Kritis-Unternehmen brauchen, kostet zwischen 20.000 und 30.000 Euro, berichtete Stefan Krempl, Vorstand der Süd IT, einer Kooperation aus acht kleinen Mittelständlern. Es kämen schon bei Kleinunternehmen zwei bis drei Beratungsstunden im Erstgespräch und grob 100 Stunden im weiteren Verlauf zusammen.

Die Kosten ließen sich aber im Rahmen halten, wenn das Unternehmen die drei Stunden Arbeit, die eine Beraterstunde auslöst, intern verteilt, statt sie ebenfalls an die Berater auszulagern. Laut Krempl werden in einem ISMS die Risiken gezielt behandelt. "Man muss nicht alles machen, das geht nämlich ins Geld", sagte der Süd-IT-Vorstand.

Ein Verstoß gegen "anerkannte Regeln der Technik", wie sie unter anderem die BSI-Regeln darstellen, werde allerdings von Cyberversicherungen als "grobe" Fahrlässigkeit gegen Geschäftsführer-Pflichten ausgelegt. Dann zahlten sie nichts.

Neue Anforderungen für kleinere Unternehmen

Die Zahl der Unternehmen, die Systeme gegen Hackerangriffe nachweisen müssen, dürfte sich nach seinen Angaben verbreitern. Denn die EU-Richtlinien-Novelle zu Netz- und Informationssystemen (NIS 2), die noch ins deutsche Recht umgesetzt werden muss, bezieht auch Kleinunternehmen bis zu 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz ein. Es existiere dazu ein zweiter Referentenentwurf aus der Bundesregierung..