Die zunehmende Digitalisierung und Vernetzung macht Infrastrukturen und Produktionsstätten anfälliger und schafft neue „Einfallstore“ für einen möglichen Missbrauch – von der Spionage bis zur Sabotage. Mit dem Ziel, neue Erkenntnisse über mögliche Zugriffs- und Angriffsaktionen zu gewinnen, hatte der TÜV Süd ein so genanntes Honeynet-Projekt gestartet. Dafür wurde ein Wasserwerk in einer deutschen Kleinstadt simuliert. „Zu diesem Zweck haben wir ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte“, erklärt Dr. Pfoh, Vice President im Bereich Strategie & Innovation von TÜV Süd. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen hatten die Experten des TÜV zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

Der erste Zugriff auf das System erfolgte fast zeitgleich mit dem „Scharfschalten“. Während der Laufzeit wurden über 60.000 Zugriffe aus mehr als 150 Ländern verzeichnet. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd.

Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen.

© TÜV Süd

Die Ergebnisse des Honeynet-Projekts will der TÜV Süd als ein deutliches Warnsignal verstanden wissen – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. „Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen“, betont Dr. Thomas Störtkuhl. Damit können diese Firmen zu Opfern einer Angriffswelle werden, auch wenn sie nicht gezielt ausgesucht wurden. „Wenn Unternehmen durch Ausspäh-Aktionen erst einmal auf den Monitor von potenziellen Angreifern geraten sind“, so der Sicherheitsexperte, „wird dadurch auch ein gezielter Angriff zu einem späteren Zeitpunkt erleichtert.“ Das hätten auch die Angriffsversuche auf das Honeynet des TÜV Süd gezeigt, die über unterschiedliche Protokolle erfolgten. Dabei handelte es sich zum einen um eine weltweite Denial-of-Service-Attacke und zum anderen um zwei gezielte Angriffsversuche über zwei unterschiedliche Industrieprotokolle.

Das Fazit des TÜV Süd: Ohne die Anpassung ihrer Sicherheitsvorkehrungen fahren Unternehmen und Betreiber von Infrastrukturen ein hohes Risiko. Ein gezieltes Monitoring sei Voraussetzung dafür, dass Unternehmen ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen aus dem Honeynet-Projekt müsse das Monitoring zwingend auch Industrieprotokolle erfassen, weil potenzielle Angreifer diese Protokolle kennen und nutzen.