Go to Top

Millionen Hacker-Angriffe auf Simulation von Zug-Steuersystemen

Hacker-Angriffe auf Simulation von Zug-Steuersystem

Ein „Honey Pot“ ist eine speziell für Hacker aufgestellte Falle. Der britische IT-Sicherheitsspezialist Sophos fragte sich, wie viele Hacker sich für Zug-Steuersysteme interessieren würden und baute den “HoneyTrain”, eine originalgetreue Nachbildung eines Zug-Steuerungssystems. Der Grund für den Honigtopf: Steuerungssysteme für Züge sind teilweise über 20 Jahre alt und – wenn sie leichtfertig ungeschützt ans Internet angeschlossen werden – leichte Beute für Hacker.

Der „HoneyTrain“ wurde mit echten Industrie-Systemen und originalen Hard- und Software-Komponenten aufgebaut und als offenes System im März 2015 auf der CEBIT online gestellt. Der Honigtopf funktionierte besser als gedacht, in wenigen Minuten war er von Hackern als offenes System entdeckt und die IP-Adressen im Internet verbreitet worden. In den ersten drei Stunden gab es bereits mehrere Tausend Angriffe von Hackern aus aller Welt – fast hätte die bereitgestellte Leitungskapazität nicht ausgereicht. Nach sechs Wochen wurde das System vom Netz genommen. Die Zahl der Angriffe war fast unglaublich: es waren 2,7 Millionen, zwei Angriffe hätten größere Schäden angerichtet.

Die Firewall und der Media-Server waren die Hauptangriffsziele, zwei Hacker drangen in den HMI-Server (HMI = Human Machine Interface) ein, wodurch es den Eindringlingen theoretisch möglich gewesen wäre, Manipulationen an Signalen und Weichen vorzunehmen und so das System zu kontrollieren. Der Versuch, auf die Signalsteuerung zuzugreifen blieb allerdings erfolglos, immerhin konnten sie die Stirnbeleuchtung eines Zuges aktivieren. Klar ist, dass sich die Angreifer mit industriellen Leitsystemen auskannten.

Dieser Versuch zeigt, dass die Sicherheit von Systemen extrem wichtig ist. Das gilt nicht nur für Leitsysteme von Zügen (oder in Zukunft für den KFZ-Verkehr), sondern generell für alle, die ein Netzwerk betreiben. Ohne einen versierten Systemadministrator, der das Netzwerk überwacht, ist ein Einbruch mit folgendem Datenklau (oder Schlimmerem) vorprogrammiert.

Bildquelle: Paul Smith / flickr

Lizenz: CC2