Siegeware

Wenn Kriminelle Ihr smartes Gebäude übernehmen

| Autor / Redakteur: Stephen Cobb* / Ann-Marie Struck

Ausblick und Reaktion auf Siegeware

In dem mir zugetragenen Beispiel gab es aber auch einige gute Aspekte. Das Unternehmen hatte bereits einen effektiven Krisenreaktionsplan und, obwohl das Szenario für sie komplett neu war, konnte das Krisenreaktionsteam schnell Backup-Maßnahmen einleiten. Dadurch war es dem Unternehmen ein Leichtes, nicht auf die Lösegeldforderungen einzugehen. Die Kriminellen hatten jedoch die Nutzung des Gebäudes durch die Mieter gestört.

Wie weit wird sich das digitale Belagerungsproblem im Jahr 2019 steigern? Das hängt von mehreren Faktoren ab: einmaln wie aggressiv die Fälle von Strafverfolgern untersucht werden, wie viele Opfer sich weigern zu zahlen, und wie viele Möglichkeiten zum Angriff die Kriminellen noch finden werden.

Im Internet gibt es zur letzten Frage Antworten, etwa bei Shodan. Als ich Mitte Februar 2019 nach BAS suchte, die über das öffentliche Internet erreichbar waren, fand ich 35.000 potentielle Ziele weltweit. Das war nur eine Kategorie und eine erhebliche Steigerung gegenüber den 21.000, die noch im August 2018 fand.

Im Moment hat ein Cyber-Krimineller, der nach verschiedenen BAS sucht, wahrscheinlich 30.000 Ziele, alleine in den USA, zur Auswahl. Das sind IP-Adressen, die im Webbrowser BAS-Anmeldebildschirme aufrufen, wie im folgenden Beispiel (Gebäudenamen und Standorte habe ich versteckt):

Webbrowser BAS-Anmeldesysteme
Webbrowser BAS-Anmeldesysteme (© ESET)

Der nächste Schritt für den Angreifer besteht darin, den Standartbenutzernamen und das entsprechende Passwort für diesen Systemtyp zu probieren. Diese lassen sich durch eine einfache Internetsuche leicht finden. Wenn die Standardeinstellungen also nicht verändert wurden und die Anzahl der erfolglosen Login-Versuche nicht beschränkt wurde, wird sich ein entsprechend motivierter Krimineller Zugang verschaffen können. Was er dort zu sehen bekommt, sieht unter anderem so aus wie das Bedienfeld eines Kühlsystems.

Bedienfeld für ein Kühlsystem
Bedienfeld für ein Kühlsystem (© ESET)

Leider ist das Beispiel hier ein Live-System, das ohne Passwort für jeden im Internet zugänglich ist. Und weil das Internet umfassende Suchmöglichkeiten bietet, erkennen wir schnell, dass es sich hierbei um ein Liebert DS-Rechenzentrumskühlsystem handelt, für welches es umfangreiche Dokumentationen, ebenfalls im Internet, gibt. Es ist auch relativ einfach, herauszufinden, wem das System gehört (eine große Universität, die ich hier nicht nennen werde) und wo es sich befindet (Ostküste der USA).

Obwohl die meisten Unternehmen besser geschützt sind als dieses, zeigt selbst schon eine flüchtige Suche, dass es in den USA eine Vielzahl an Kliniken und Krankenhäusern gibt, die ihre BAS-Logins dem Missbrauch aussetzen – genauso wie Hunderte Schulen, Universitäten und einige Banken. Man muss nicht übermäßig viel Fantasie besitzen, hier die echten Möglichkeiten für Kriminelle zu sehen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45775234 / System & Services)