Quelle: www.heise.de

IT-Security-Experten der Schweizer Regierung warnen vor Risiken im Internet der Dinge: Viele IoT-Haushaltsgeräte seien für einen Stromausfall missbrauchbar.

Die Melde- und Analysestelle Informationssicherung (Melani) der Schweizer Regierung hat ihren aktuellen Halbjahresbericht zur Cyber-Bedrohungslage veröffentlicht. Erörtert werden darin wieder die wichtigsten Attacken und Risiken der zweiten Jahreshälfte 2018 im In- und Ausland.

Das Bedrohungsszenario, dass mit dem Internet der Dinge (Internet of Things; IoT) die Lichter ausgehen könnten, bereitet Melani besonderes Kopfzerbrechen. Die Sorgen der eidgenössischen IT-Securityexperten gründen auf einer 2018 publizierten Studie der amerikanischen Princeton University.

In den beschriebenen Angriffsszenarien werden Stromausfälle nicht durch Beeinträchtigung der Energieproduktion oder Übertragung verursacht, sondern die Verbraucherseite ins Visier genommen. Demnach bergen allerlei IoT-Geräte im Smart Home, die für deren Fernsteuerung ans Internet angeschlossen sind, gewisse Risiken. Es wäre durchaus möglich, dass böswillige Akteure offen erreichbare oder ungenügend geschützte IoT-Geräte hacken, zu einem Botnetz zusammenfügen und für Cyber-Angriffe, etwa für einen Stromausfall, missbrauchen könnten, betont Melani.

Die Meldestelle geht davon aus, dass Endgeräte der Abnehmer vielfach nur marginal geschützt sind. Sie befürchtet weiter, dass dann Botnetze aus IoT-Geräten mit hoher Leistungsaufnahme wie Klimaanlagen, Heizungen und Waschmaschinen aufgebaut werden könnten, und falls deren Leistungsaufnahme geografisch koordiniert und in großem Ausmaß unerwartet beeinflusst würden, sich sodann ähnliche Instabilitäten im Stromnetz herbei führen ließen, wie dies 2003 bei einem schließlich erfolgten Blackout in Italien der Fall war. Diese Vorgehensweise wird „Manipulation of demand via IoT (MadIoT)“ genannt, schreibt Melani.

Security-Forscher vergleichen das Vorgehen mit einem DDoS-Angriff (Distributed Denial-of-Service), wo zu einem Botnetz zusammengeschaltete ungeschützte Computer eine Website mit Anfragen überfluten. MadIoT-Attacken müssen nicht unbedingt gleich im totalen Stromausfall enden – doch Schutz vor derart ebenfalls provozierten Frequenzinstabilitäten, Leitungsüberlastungen und kaskadierenden Fehlfunktionen, könnten die Betriebskosten für Energieversorgungsunternehmen anschwellen lassen.

Auf eine weitere kritische Infrastruktur starteten Hacker aus London und Korea bereits zahllose Angriffe, berichtet Melani in ihrem Halbjahresbericht – jedoch ohne Erfolg. Im vergangenen Herbst wurde mehrere tausend Mal versucht, ins Netzwerk der autonomen Betriebssteuerung der Wasserversorgung in der Gemeinde Ebikon einzudringen. Das gerade kurz zuvor neu installierte System konnte die Attacken abwehren. Als Konsequenz wurde die Sicherheitsstufe erhöht.

Es habe sich um Einbruchsversuche ins Netzwerk gehandelt, das etwa Pumpen steuere, Reservoire überwache und bei Wasserdiebstahl Alarm schlage, schrieben regionale Medien damals. Dank einer sehr guten Verschlüsselung hätten die Angreifer keinen Erfolg gehabt. Der Systembetreiber habe die IP-Adressen der Hacker zurückverfolgen und so auch den Ursprungsort ermitteln können, hieß es.

Kommentar

Als würden die Probleme im Stromversorgungssystem nicht auch schon so ausreichen. Wobei sich die Frage stellt, ob es nicht einfachere Möglichkeiten gibt, um das Stromnetz anzugreifen. Hauptproblem #1 bleibt weiterhin die steigende Komplexität und damit die zunehmende Unberechenbarkeit des Systems. Einen Vorgeschmack haben die großen Frequenzabweichungen im Jänner 2019 geliefert. Ob dazu die „Die schnelle Eingreiftruppe gegen den Blackout“ wirklich ausreicht, wird die Zukunft zeigen. Vor allem tritt hier die schnelle digitale Welt gegen eine träge analoge Welt in den Ring, die ganz anders dickt.