Siegeware

Wenn Kriminelle Ihr smartes Gebäude übernehmen

| Autor / Redakteur: Stephen Cobb* / Ann-Marie Struck

Was wenn ein Gebäude gehackt wird?
Was wenn ein Gebäude gehackt wird? (© © miket - stock.adobe.com)

Wenn das Konzept von Ransomware mit Gebäudeautomatisierungssystemen (BAS) verbindet wird, erhalten Sie das, was Stephen Cobb „Siegeware“ (Siege, englisch für: Belagerung) nennt: Erpressung, die digitalen Systemmissbrauch nutzt, um etwa den Zugang zu physichen Einrichtungen zu blockieren.

Stellen Sie sich vor, Sie sind die Person, die für den Betrieb einer Immobiliengesellschaft verantwortlich ist, und die ein Dutzend Gebäude in einer Reihe von Städten verwaltet. Was würden Sie nun tun, wenn folgender Text Ihr Handy erreicht?

„Wir haben alle Kontrollsysteme in Ihrem Gebäude in der Hauptstraße 400 gehackt und werden es für drei Tage schließen, wenn Sie nicht innerhalb von 24 Stunden 50.000 Dollar in Bitcoin bezahlen.“

Das Gebäude an dieser Adresse ist eine von mehreren, hochwertigen, medizinischen Kliniken im Portfolio Ihres Unternehmens. Alle Gebäude nutzen sogenannte BAS oder Building Automation Systeme, um Heizung, Klima und Lüftung (HLS im Deutschen / HVAC im Englischen), sowie Brandmelde- und Steuerungssysteme, Beleuchtungs- und Sicherheitssysteme und vieles mehr fernzusteuern. Bis zu acht verschiedene Systeme können aus der Ferne zugänglich sein.

Die Abbildung zeigt Gebäudeautomatisierungssysteme (BAS)
Die Abbildung zeigt Gebäudeautomatisierungssysteme (BAS) (© ESET)

Falls in diesem Szenario tatsächlich jemand die Kontrolle über das BAS erlangt hat, dann ist es durchaus möglich, dass der Absender der Botschaft seine Drohung auch wahr machen kann. Dies ist kein imaginäres Szenario. Ich habe mich mit jemandem getroffen, der eine solche Nachricht erhalten hat. Diese war leider kein Schwindel. Als sich die Firma tapfer weigerte, die Angreifer zu bezahlen, wurde die Nutzung des Gebäudes tatsächlich unterbrochen.

Siegeware ist real

Ich würde nicht über Siegeware schreiben, wenn ich dabei nur einen einzelnen Fall im Kopf hätte. Kein seriöser Sicherheitsforscher will ungerechtfertigt Angst verbreiten oder Kriminellen Ideen liefern. Aber es stellte sich heraus, dass die Strafverfolgungsbehörden, die vom Betriebsleiter in diesem Fall um Unterstützung gebeten wurden, ähnliche Fälle schon gesehen hatten. Es war also nicht das erste Mal, dass Kriminelle diese Art von Angriff ausprobiert haben. Meiner Meinung nach ist es daher besser, potentielle Opfer über Bedrohungen zu informieren, damit sie eine angemessene Verteidigung planen können, statt zu hoffen, dass die Angriffe an ihnen vorbei gehen.

Es liegt auf der Hand, dass die „Geiselnahme“ von Gebäuden zum stetig wachsenden Arsenal von Cyberkriminellen gehört, wenn der Grad der Automatisierung und Vernetzung ständig zunimmt. Meiner Erfahrung nach hilft es, den verschiedenen Arten von Angriffen einen Namen zu geben und so das Bewusstsein für sie zu steigern und die Verteidigungsanstrengungen gegen sie bündeln zu können. Anstatt also von einer „Gebäude-Lösegeldforderungsattacke“ zu sprechen, schlage ich vor, es Siegeware zu nennen.

Von neolithischen Hügelsiedlungen bis hin zu mittelalterlichen Burgen und ummauerten Städten waren menschliche Siedlungsstrukturen schon immer ein Ziel ruchloser Attacken. Sie wurden oft belagert (engl. to siege) um ihre Funktion, wie Wohnen, Arbeiten, Treffen, Handel, Lagerung von Gütern oder medizinische Versorgung einzuschränken oder ganz zu unterbinden. Heute werden viele Funktionalitäten von Gebäuden bereits von BAS gesteuert. Dazu gehören die Steuerung der Raumtemperatur, Türschlösser, Alarme und vieles mehr.

Zahlreiche praktische und finanzielle Vorteile ergeben sich aus der Möglichkeit des Fernzugriffs auf solche Systeme. Aber wenn man schlecht geschützte Fernzugriffe mit kriminellen Absichten kombiniert, wird Siegeware schnell zur realen Gefahr. Anders ausgedrückt ist Siegeware die softwaregestützte Möglichkeit, glaubwürdige Lösegeldforderungen mit digital beeinträchtigten Gebäudefunktionen zu untermauern.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45775234 / System & Services)