Suchen

Honeynet-Projekt von TÜV Süd TÜV Süd simuliert Angriff auf Wasserwerk

| Redakteur: Dipl.-Medienwirt (FH) Matthias Back

Das „Honignetz“ ist ausgeworfen. Die Täuschung gelingt. Mehr als 60.000 Mal schnappt die Falle zu. Fallensteller ist der TÜV Süd, der während der achtmonatigen Laufzeit eines Honeynet-Projekts so viele Zugriffe auf eine virtuelle Infrastruktur verzeichnete. Ein deutliches Warnsignal.

Firmen zum Thema

Die Ergebnisse des Honeynet-Projekts sind ein deutliches Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen.
Die Ergebnisse des Honeynet-Projekts sind ein deutliches Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen.
(Bild: Kamillo Kluth, flickr.com (CC BY 2.0))

Das Honeynet kombinierte reale Hardware und Software mit einer simulierten Umgebung eines kleineren Wasserwerks. Die Zugriffe erfolgten von Servern aus der ganzen Welt und teilweise unter verschleierten IP-Adressen. Mit dem Honeynet-Projekt hat TÜV Süd den Nachweis erbracht, dass Infrastrukturen und Produktionsstätten gezielt ausgeforscht werden.

Die Industrie 4.0 stellt Unternehmen vor die Herausforderung, ihre Sicherheitsvorkehrungen grundsätzlich zu überdenken. Die zunehmende Digitalisierung und Vernetzung macht Infrastrukturen und Produktionsstätten anfälliger und schafft neue „Einfallstore“ für einen möglichen Missbrauch – von der Spionage bis zur Sabotage. Mit einem High-Interaction-Honeynet hat TÜV Süd neue Erkenntnisse gewonnen, von denen Unternehmen aus unterschiedlichsten Branchen profitieren können.

Bildergalerie

Genaue Analyse von Zugriffs- und Angriffsaktionen

„Ein Honeynet ist ein System, das Angreifer anlocken und die Analyse der Zugriffs- und Angriffsaktionen ermöglichen soll“, erklärt Dr. Armin Pfoh, Vice President im Bereich Strategie & Innovation von TÜV Süd. Für das aktuelle Projekt wurde ein Wasserwerk in einer deutschen Kleinstadt simuliert. „Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte“, berichtet Dr. Pfoh. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen haben die TÜV Süd-Experten zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

Das Honeynet war insgesamt 8 Monate im Netz. Der erste Zugriff erfolgte fast zeitgleich mit dem „Scharfschalten“. Während der Laufzeit verzeichneten die Experten über 60.000 Zugriffe aus mehr als 150 Ländern. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd. Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen.

Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. „Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt“, erklärt Dr. Störtkuhl. Damit ist für den Sicherheitsexperten klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das kann entweder ein genereller Angriff auf bestimmte Strukturen und Devices oder ein gezielter Angriff auf ein ausgewähltes System sein.

(ID:43735579)