Digitale Hausbesetzer : Wenn Angreifer smarte Gebäude übernehmen – mit „Siegeware“ erhalten Unbefugte vielfältige Möglichkeiten zum Systemmissbrauch

Wer einmal im Fahrstuhl festsaß und das Gefühl der Handlungs-Ohnmacht spürte, der will wohl nie wieder fremdbestimmt in einem Gebäude feststecken. Die Gedanken kreisen sofort darum, ob es sich um einen elektrischen Defekt oder ein mechanisches Problem handelt – Hauptsache, man kommt schnell wieder raus. Auf die Idee, dass ein Angreifer die Steuerung der Liftanlage übernommen hat, kam man bislang vermutlich eher als Letztes. Dabei ist diese Variante mittlerweile durchaus realistisch.

Siegeware

Cyberkriminelle visieren nach Rechnern, Servern und Smartphones nun auch Smart Buildings an. Wenn Angreifer das Konzept von Ransomware auf Gebäudeautomatisierungssysteme anwenden, bezeichnet man das gerne als „Siegeware“ (engl. Siege für Belagerung). Sie nutzt die digitalen Möglichkeiten eines vernetzten Gebäudes für den Systemmissbrauch: beispielsweise um dort den Strom zu kappen, Lifte lahmzulegen oder Klimaanlagen auszuschalten – oder alles gleichzeitig. Erst gegen die Bezahlung eines üppigen Lösegelds soll der Besitzer die Kontrolle zurückerhalten. Ob das dann tatsächlich immer der Fall sein wird, ist allerdings fraglich: In der Vergangenheit haben Kriminelle eher selten nach Zahlungen befallene Systeme freigegeben. Wer jetzt an eine fiktive Bedrohung denkt oder „Proofs of Concept“ (PoCs) erwartet, muss sich leider eines Besseren belehren lassen: Siegeware ist längt in der Realität im Einsatz. So erhielt der Verwalter einer Immobiliengesellschaft, der für ein Dutzend Gebäude in mehreren US-amerikanischen Städten verantwortlich ist, folgende Nachricht auf sein Smartphone: „Wir haben alle Kontrollsysteme in Ihrem Gebäude in der XXXstraße 400 gehackt und werden sie für drei Tage ausschalten, wenn Sie nicht innerhalb von 24 Stunden 50.000 US-$ in Bitcoin bezahlen.“

Das Gebäude an der angegebenen Adresse war eine von mehreren medizinischen Kliniken im Portfolio des betroffenen Unternehmens. Alle Gebäude nutzen sogenannte „Building Automation Systems“ (BAS), um Heizung, Klima und Lüftung (HLS für „Heizung, Lüftung, Sanitär“) sowie Brandmelde- und Steuerungssysteme, Beleuchtungs- und Sicherheitssysteme und vieles mehr fernzusteuern. Bis zu acht unterschiedliche Systeme hat der Verwalter normalerweise aus der Ferne unter Kontrolle – nicht auszudenken, was ein vollständiger Ausfall der Gebäudeautomatisierung für die Patienten bedeutet hätte.

In weiser Voraussicht hatte der betroffene Betreiber alledings einen effektiven Krisenreaktionsplan erarbeitet und ging nicht auf die Erpressung ein – obwohl das Szenario komplett neu war, konnte das IT-Team daher schnell Backup-Maßnahmen einleiten. So blieb es letztlich nur bei einer temporären Störung des Krankenhausalltags, die kaum ins Gewicht fiel.

Heikler Fernzugriff

Die „Geiselnahme“ von Gebäuden dürfte künftig zum stetig wachsenden Arsenal von Cyberkriminellen gehören, wenn der Grad der Automatisierung und Vernetzung weiter zunimmt. Heute haben es Angreifer dabei recht einfach: Sie müssen „nur“ die BAS über das Internet hacken und übernehmen je nach Automatisierungsgrad die volle Kontrolle über Funktionen wie die Steuerung der Raumtemperatur, aber auch Türschlösser, Alarmsysteme, Aufzüge und vieles mehr.

Sie nutzen also die Möglichkeiten der Fernwartung aus, die eigentlich ein hohes Maß an Komfort bei geringeren Kosten bieten sollen. Denn nur so muss beispielsweise ein Techniker bei einer Störung nicht mehr persönlich erscheinen und die Fehlersuche starten, sondern kann das oft von einem zentralen Kommandopult aus, irgendwo im Land erledigen – so lassen sich gewünschte Einstellungen umsetzen und auch viele Probleme per Knopfdruck aus der Ferne lösen.

Betrachtet man Angriffe auf Industrieanlagen, die in der Vergangenheit mehrfach von Erfolg gekrönt waren, obwohl sie schwer gesichert waren, so mussten Kriminelle dafür hohe Hürden nehmen, viele Ressourcen einsetzen und professionelles Know-how besitzen. Ein gutes Beispiel dafür ist der Stuxnet-Wurm, der speziell zum Angriff auf die Simatic S7, ein System zur Überwachung und Steuerung (SCADA-System) des Herstellers Siemens entwickelt und eingesetzt wurde: Stuxnet brachte unter anderem das iranische Atomprogramm über einen längeren Zeitraum nahezu zum Erliegen.

Man könnte hoffen, dass die Steuerung von Smart Buildings ähnlich stark abgesichert ist und nur „Profihacker“ mit entsprechender Unterstützung hier Erfolg versprechend angreifen können. Doch viele untersuchte Beispiele zeigen: weit gefehlt! Jeder durchschnittlich begabte Cyberkriminelle könnte erfolgreiche Angriffe durchführen, weil keine moderne Sicherheitssystematik die Gebäude schützt. Denn allzu oft ist der Fernzugriff nur auf Performance, nicht aber auf Sicherheit ausgelegt – und Hersteller setzen bei der Zugangssicherung nur auf eine simple Kombination aus Benutzername und Passwort. Security by Design, Abwehrmechanismen gegen Brute-Force-Attacken oder eine Zwei-Faktor-Authentifizierung könnten schnell für mehr Sicherheit sorgen – allerdings fallen sie immer noch zu oft aus Kostengründen unter den Tisch.

Angriffe: banal bis einfach

Hinzu kommt, dass Cyberkriminelle ihre Opfer über das Internet sehr einfach finden können. Eine Suche nach „BAS“ führte mit dem spezialisierten Dienst „Shodan“ (www.shodan.io) Anfang September 2021 zu über 10.500 potenziellen Zielen weltweit, die über das öffentliche Netz erreichbar waren (vgl. Abb. 1) – darunter 538 in Deutschland, 67 in der Schweiz und 42 in Österreich, fein säuberlich aufgelistet und mit vielen Fakten von der IP-Adresse über SSL-Informationen bis hin zum eingesetzten Router angereichert.

Mit diesem Wissen hat ein Angreifer einen guten Ansatzpunkt. Im einfachsten Fall probiert er bekannte Standardbenutzernamen mit dem entsprechenden Passwort für den gefundenen Systemtyp und prüft, ob ihm bereits Zugang gewährt wird. Derartige Informationen lassen sich durch eine Internetsuche leicht finden. Wer die Standardeinstellungen nicht verändert und die Anzahl der erfolglosen Login-Versuche nicht beschränkt, macht es Kriminellen extrem leicht. Bleibt diese banale Attacke erfolglos, setzen Angreifer meist auf Wörterbuch-Angriffe mit den meistgenutzten Anmeldeinformationen oder erbeuteten Informationen aus dem Darknet – oder greifen auf Brute-Force-Methoden und/oder Login-Cracker zurück.

Letztere erfreuen sich im Internet großer Beliebtheit, lassen sich leicht finden und glänzen immer öfter mit einfachster Bedienung. Man will es kaum glauben: Aber nach der Einwahl in solche Systeme fehlen meist jegliche weiteren Sicherheitsvorkehrungen. Live-Dashboards lassen sich – ohne erneute Abfrage – problemlos aufrufen und auch bedienen.

Gegensteuern

Wie es besser geht, zeigen viele Ratschläge für Unternehmen, die das Risiko von Siegeware eindämmen können. Ein guter Ausgangspunkt ist etwa „Intelligent Building Management Systems: Guidance for Protecting Organizations“ [3] auf den Webseiten der Security Industry Association (SIA). Ebenfalls sehr informativ ist das VDMA Einheitsblatt EB-24774, „IT-Sicherheit in der Gebäudeautomation“ [4].

Sein zukünftiges Handeln sollte man den Fragen unterwerfen: Wie hoch ist der Automatisierungsgrad der Gebäudetechnik und wie gut ist der Zugriff geschützt? Nicht nur in der Bauphase sollten sich Bauherren, Hausverwaltungen und Auftragnehmer zu den Problemfeldern „Sicherheit“ und „Fernzugriff“ an einen Tisch setzen. So praktisch es ist, über ein webbasiertes Login jederzeit und aus der Ferne zugreifen zu können, so oft wissen der Verwalter/Eigentümer gar nichts von solchen Möglichkeiten – so holen sie sich schlimmstenfalls eine Gefahrenquelle ins Haus, von der sie gar keine Kenntnis haben.

Beim Einsatz einer internetbasierten BAS sollten sich alle Beteiligten daher folgende Fragen stellen:

• Befindet sich das Login hinter einer Firewall?
• Benötigt das Login eine VPN-Verbindung?
• Ist das Login durch eine Zwei-Faktor-Authentifizierung oder nur durch ein Passwort abgesichert?

Ist Letzteres der Fall, sollte man unbedingt klären, wie komplex das verwendete Passwort ist (bzw. sein soll) und ob als absolutes Minimum eine Beschränkung der fehlgeschlagenen Login-Versuche inklusive Sperrung implementiert wurde. Alles unterhalb dieser genannten Maßnahmen bedeutet, Angreifern das eigene Gebäude mehr oder weniger schutzlos auszuliefern.

Da mittlerweile Zwei-Faktor-Authentifizierung (2FA) und andere Schutztechnologie etabliert, preiswert und einfach zu bedienen sind, gelten sie zu Recht als Stand der Technik. Wird dieser nicht eingehalten, dürfte nach einem erfolgreichen Angriff durch Siegeware über die unmittelbaren Folgen hinaus auch Klagen betroffener Mieter und anderer Opfer nichts im Wege stehen.

Michael Klatte ist PR Manager DACH bei der ESET Deutschland GmbH.

Literatur

[1] Philipp Beck, From Insecure to Unsafe, Auf dem Weg zum Cyber-Physical Botnet, <kes> 2015#4, S. 44
[2] Michael Erwin Petry, Penetrationstests in der Cloud, <kes> 2019#2, S. 18
[3] David J. Brooks, Michael Coole, Paul Haskell-Dowland, Intelligent Building Management Systems: Guidance for Protecting Organizations, August 2018, www.securityindustry.org/wp-content/uploads/2018/08/IntelligentBuilding-Management-Systems-Guidance-for-ProtectingOrganizations.pdf
[4] Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA), IT-Sicherheit in der Gebäudeautomation, VDMA Einheitsblatt EB-24774, Februar 2021, beziehbar über www.beuth.de/de/technische-regel/vdma24774/333508525 (für VDMA-Mitglieder kostenloser Download über die VDMA-Website)