SSV Software Systems

Unterschätztes digitales Risiko

26. Juli 2022, 12:20 Uhr | Klaus-Dieter Walter
SSV - Unterschätztes digitales Risiko
© Pixabay/CC0

Jüngste Cyberangriffe machen das gestiegene Sabotagerisiko auch in industriellen Anwendungen deutlich. Zwei Attacken werden näher beleuchtet.

Die Cyberangriffe auf IoT-Anwendungen häufen sich:Der Beitrag „Cyber-Resilienz für IoT-Anwendungen“ zeigt, dass Kommunikationsanwendungen im IoT-Umfeld nicht gerade sicher sind, und dass offensichtlich ein erheblicher Nachbesserungsbedarf besteht. Wir berichteten vom Zusammenbruch des Satellitennetzwerks KA-SAT (Eutelsat / Viasat) als Folge eines Cyberangriffs und damit von den rund 6.000 nicht mehr erreichbaren Enercon-Windkraftanlagen.

Nahezu zeitgleich haben auch deutsche Dienstleister für das bargeldlose Zahlungswesen zusammen mit dem US-Terminalhersteller Verifone ein weiteres Beispiel geliefert, das zeigt, weshalb wir uns um die Cyber-Resilienz kümmern müssen, um Vorfälle mit noch größeren Auswirkungen zu vermeiden. Seit dem 24. Mai kann man bei unzähligen Einzelhändlern und sogar einigen großen Einzelhandelsketten nicht mehr mit Kredit- oder EC-Karten zahlen, weil die Verifone-H5000-Terminals wegen eines angeblichen „Softwarefehlers“ überraschend ausgefallen sind. Sie müssen nun entweder ausgetauscht oder vor Ort durch einen Techniker mit einem Software-Update wieder zum Leben erweckt werden. Man erkennt gewisse Parallelen: Sowohl beim KA-SAT- als auch beim H5000-Fall wurde durch „unvorhersehbare Ereignisse“ die im Flash eines Embedded Systems gespeicherte Firmware unbrauchbar. Wie lange es dauern wird, bis alle betroffenen Verifone-H5000-Nutzer ihren Kunden wieder bargeldlose Zahlungen anbieten können, war zumindest Mitte Juni 2022 noch nicht bekannt. Ebenfalls identisch ist, dass beim KA-SAT- und auch beim Verifone-Vorfall neben dem Hersteller einer Kommunikationsbaugruppe zahlreiche weitere Unternehmen als Betreiber einer komplexeren IoT-Anwendung sowie verschiedene Aufsichtsbehörden beteiligt sind, die insgesamt nicht gerade durch proaktive Aufklärungsarbeit auffallen.

Die Ursachenforschung

Anbieter zum Thema

zu Matchmaker+
Unterschätztes digitales Risiko
Bild 1. Das Verifone-H5000-Zahlungsterminal wurde vom BSI nach Common Criteria (CC) überprüft. Eigentlich soll eine CC-Zertifizierung den Fall, der nun eingetreten ist, verhindern. Hilfreich wäre eine Gap-Analyse, um herauszufinden, warum die H5000-Ausfallsursachen bei den BSI-Verifizierungs- und Validierungsarbeiten nicht zu erkennen waren, und, ob die Prüftiefe nach EAL POI ausreicht.
© BSI

Hinsichtlich der Verifone-H5000-Zahlungsterminals ist die genaue Ausfallursache bisher nicht bekannt. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es allerdings in diesem Fall keine konkreten Hinweise auf einen Cyberangriff. Im Internet wird darüber spekuliert, dass möglicherweise ein abgelaufenes Sicherheitszertifikat für die Fernzugriffsberechtigung auf die zentralen Server die Ursache für den Ausfall sein könnte, was durchaus auch bei industriell genutzten IoT-Anwendungen hin und wieder vorkommt. Da die Finanzdienstleister Payone und Concardis als Betreiber der betroffenen Verifone-Terminals in Deutschland der sogenannten kritischen Infrastruktur zugeordnet werden, befassen sich neben dem BSI auch andere staatliche Organisationen mit dem Vorgang, so etwa die Bundesbank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

In Bezug auf die KA-SAT-Attacke wurden inzwischen schon weitere Details veröffentlicht. Die Angreifer hatten sich offensichtlich sehr ausführlich mit den Viasat-Surfbeam2-Modems auseinandergesetzt und herausgefunden, wie sich über die TR-069-Serviceschnittstelle ein schadhafter Programmcode ausführen lässt, um die Surfbeam2-Firmware im Flash mit einem beliebigen Inhalt zu überschreiben und somit die Geräte dauerhaft außer Betrieb zu setzen.

Erfolgreiche Cyberangriffe auf Modems und Router im Zusammenhang mit TR-069-Schwachstellen sind nicht neu. Als „hochentwickeltes Remote-Management-Protokoll“ für kundeneigene Endgeräte unterstützt TR-069 nicht nur ein vollständiges Firmware-Update, sondern bietet darüber hinaus auch Remote-Code-Execution-Eigenschaften (XML-RPC), die von sachkundigen Angreifern bereits vielfach missbräuchlich genutzt wurden. Die TR-069-Kommunikation zwischen Modem und KA-SAT Network Operation Center (NOC) ist zwar durch ein VPN geschützt, aber auch hier haben die Angreifer offensichtlich eine Schwachstelle gefunden.

Klar ist inzwischen auch, dass der KA-SAT-Angriff in erster Linie das Satelliten-basierte Internet in der Ukraine zum Ausfall bringen sollte. Die in Deutschland ebenfalls betroffenen 6.000 Windkraftanlagen waren wohl nicht das Ziel. Da die Enercon-Anlagenfernsteuerungen aber die gleichen Modems wie die überwiegend privaten KA-SAT-Internetkunden und vermutlich einige ukrainische Behörden nutzen, ist der Anlagenausfall als unbeabsichtigter Spillover-Effekt einzuordnen. Der Fragestellung, warum Bundesnetzagentur und BSI den Einsatz von Satellitenverbindungen mit Baugruppen aus der Konsumerelektronik in kritischer Infrastruktur nicht unterbinden, ist allerdings noch ungeklärt.


  1. Unterschätztes digitales Risiko
  2. Function-by-Design

Das könnte Sie auch interessieren

Verwandte Artikel

SSV Software Systems GmbH

Safety & Security