Cyberkriminelle haben für Ransomware einen neuen Einsatzbereich gefunden: Statt Rechner und Smartphones kidnappen sie nun ganze „Smart Buildings“. Nur gegen die Bezahlung von Lösegeld können Hausbesitzer unter günstigen Umständen die Kontrolle zurückerhalten.

Wer einmal im Fahrstuhl festsaß und das Gefühl der Handlungs-Ohnmacht spürte, der will in einem Gebäude nie wieder fremdbestimmt sein. Die Gedanken kreisen sofort darum, ob es sich um einen elektrischen Defekt oder ein mechanisches Problem handelt – Hauptsache, man kommt schnell wieder raus aus der Enge. Auf die Idee, dass ein Hacker die Steuerung der Liftanlage übernommen hat, kam man bislang als Letztes. Ab sofort müssen wir uns jedoch damit vertraut machen, dass diese Variante realistisch ist.

Aus Ransomware wird Siegeware

Cyberkriminelle visieren nach Rechnern, Servern und Smartphones nun Smart Buildings an. Wenn Hacker das Konzept von Ransomware auf Gebäudeautomatisierungssystemen anwenden, entsteht eine explosive Mischung. Experten bezeichnen diese neuartige Form von Erpressung als „Siegeware“ (Siege, engl. für Belagerung). Sie nutzt die digitalen Möglichkeiten eines vernetzten Gebäudes für den Systemmissbrauch – beispielsweise um dort den Strom zu kappen, Lifte lahmzulegen oder Klimaanlagen auszuschalten – oder alles gleichzeitig. Erst gegen die Bezahlung eines üppigen Lösegeldes erhält der Besitzer die Kontrolle zurück. Ob das jedoch immer der Fall sein wird, ist fraglich. In der Vergangenheit haben Kriminelle nur in seltenen Fällen nach der Auslösung die befallenen Systeme freigelassen.

Wer jetzt an eine fiktive Bedrohung denkt oder ein Proof of Concept erwartet, der muss sich eines Besseren belehren lassen. Denn Siegeware ist längst Realität. So erhielt der Verwalter einer Immobiliengesellschaft, der für ein Dutzend Gebäude in mehreren amerikanischen Städten verantwortlich ist, folgende Nachricht auf sein Smartphone: „Wir haben alle Kontrollsysteme in Ihrem Gebäude in der XXXstraße 400 gehackt und werden sie für drei Tage ausschalten, wenn Sie nicht innerhalb von 24 Stunden 50.000 Dollar in Bitcoin bezahlen.“

Das Gebäude an dieser Adresse ist eine von mehreren medizinischen Kliniken im Portfolio des Unternehmens. Alle Gebäude nutzen sogenannte Building-Automation-Systeme (BAS), um Heizung, Klima und Lüftung (HLS im Deutschen) sowie Brandmelde- und Steuerungssysteme, Beleuchtungs- und Sicherheitssysteme und vieles mehr fernzusteuern. Bis zu acht unterschiedliche Systeme hat der Verwalter normalerweise via Fernzugriff unter Kontrolle. Es ist nicht auszudenken, was ein Ausfall der Gebäudeautomatisierung für die Patienten bedeutet hätte.

In weiser Voraussicht hatte das Unternehmen einen effektiven Krisenreaktionsplan erarbeitet und ging nicht auf die Erpressung ein. Obwohl das Szenario für sie komplett neu war, konnte das IT-Team schnell Backup-Maßnahmen einleiten. So blieb es letztlich nur bei einer temporären Störung des Krankenhausalltags, der kaum ins Gewicht fiel.

Fernzugriff: Vom Komfortspender zur Gefahrenquelle

Es liegt auf der Hand, dass die „Geiselnahme“ von Gebäuden zum stetig wachsenden Arsenal von Cyberkriminellen gehört, wenn der Grad der Automatisierung und Vernetzung weiter zunimmt. Heute haben es Angreifer recht einfach: Sie müssen „nur“ die BAS über das Internet hacken und übernehmen die volle Kontrolle über alle Funktionalitäten wie die Steuerung der Raumtemperatur, Türschlösser, Alarme, Aufzüge und vieles mehr. Sie nutzen also die Möglichkeiten der Fernwartung aus, die eigentlich ein hohes Maß an Komfort bei geringeren Kosten bieten sollen. Ein Techniker muss beispielsweise bei einer Störung nicht mehr persönlich erscheinen und die Fehlersuche starten. Dies geschieht heute alles von einem zentralen Kommandopult aus, unabhängig vom Standort. Per Knopfdruck lassen sich so aus der Ferne viele Probleme lösen oder gewünschte neue Einstellungen umsetzen.

Viele Building-Automation-Systeme lassen sich über ein Web-Portal aus der Ferne steuern, das oft nicht ausreichend geschützt ist. Bild: Eset

Problematisch wird es dann, wenn der Fernzugriff auf Performance und nicht auf Sicherheit ausgelegt ist. Oftmals setzen Hersteller nur auf eine simple Kombination aus Benutzername und einem Passwort als Zugangssicherung. Security by Design, Abwehrmechanismen gegen Brute-Force-Angriffe oder eine Zweifaktor-Authentifizierung könnten schnell für mehr Sicherheit sorgen. Allerdings fallen sie immer noch zu oft aus Kostengründen weg.

So einfach übernehmen Hacker das Kommando

Hacker-Angriffe auf Industrieanlagen waren in der Vergangenheit mehrfach von Erfolg gekrönt, obwohl diese schwer gesichert waren. Angreifer mussten dafür hohe Hürden nehmen, viele Ressourcen einsetzen und professionelles Know-how besitzen. Ein gutes Beispiel dafür ist der Wurm Stuxnet, der speziell zum Angriff auf ein System zur Überwachung und Steuerung (SCADA-System) des Herstellers Siemens – die Simatic S7– entwickelt und eingesetzt wurde. Stuxnet brachte unter anderem das iranische Atomprogramm über einen längeren Zeitraum nahezu zum Erliegen.

Der Verdacht liegt natürlich nahe, dass die Steuerung in Smart Buildings ähnlich stark abgesichert ist und nur Profihacker mit entsprechender Unterstützung diese angreifen können. Doch die untersuchten Beispiele zeigten, dass diese Vermutung falsch ist. Als einzigen Schutz kommen häufig nur Benutzername und Passwort zum Einsatz. Jeder durchschnittlich begabte Cyberkriminelle kann somit erfolgreiche Angriffe durchführen, weil keine moderne Sicherheitssystematik die Gebäude schützt.

Einfache Opfersuche via Shodan

Doch wie finden Cyberkriminelle überhaupt ihre Opfer? Im Internet gibt es zu dieser Frage viele Antworten, besonders einfach klappt das mit der Suchmaschine „Shodan“ (www.shodan.io). Eine Suche nach „BAS“ im August 2019 führte zu knapp 22.000 weltweiten potenziellen Zielen, die über das öffentliche Internet erreichbar waren. Darunter befinden sich auch über 400 in Deutschland, 59 in der Schweiz und 56 in Österreich. Die Informationen waren säuberlich aufgelistet und mit vielen Angaben bezüglich der IP-Adresse über SSL-Details bis hin zum eingesetzten Router angereichert (siehe Bild oben).

Mit diesem Wissen und einer Liste seiner Opfer hat ein Angreifer quasi freie Bahn. Im einfachsten Fall probiert er die Standardbenutzernamen mit dem entsprechenden Passwort für diesen Systemtyp aus, ob Zugang gewährt wird. Informationen lassen sich durch eine Internetsuche leicht finden. Wenn ein Verantwortlicher die Standardeinstellungen nicht verändert und die Anzahl der erfolglosen Login-Versuche nicht beschränkt hat, kann sich ein Krimineller Zugang verschaffen. Kommt er damit nicht zum Erfolg, setzt er auf die klassische Wörterbuch-Attacke mit Datensätzen der meist genutzten Anmeldeinformationen oder erbeuteten Informationen aus dem Darknet. Im schlimmsten Fall greifen Hacker auf Brute-Force-Methoden und/oder Login Cracker zurück. Letztere erfreuen sich im Internet großer Beliebtheit. Sie lassen sich im Internet leicht finden und bieten immer öfter eine einfache Bedienung.

Der Mühen Lohn: ein offenes Dashboard

Man will es kaum glauben: Aber nach der Einwahl in das System fehlen weitere Sicherheitsvorkehrungen. Live-Dashboards lassen sich problemlos – ohne erneute Abfrage – aufrufen und bedienen. Das bietet dem Cyberkriminellen nicht nur alle Möglichkeiten, sondern lässt auch direkt Rückschlüsse zu, welche Geräte an welchem Standort zum Einsatz kommen.

Wie es besser geht, zeigen viele Ratschläge für Unternehmen, die das Risiko von Siegeware eindämmen können. Ein guter Ausgangspunkt ist etwa „Intelligent Building Management Systems: Guidance for Protecting Organizations“ auf den Webseiten der Security Industry Association. Ebenfalls sehr informativ ist das VDMA Einheitsblatt EB-24774, „IT-Sicherheit in der Gebäudeautomation“. Eine Frage bestimmt das zukünftige Handeln: Wie hoch ist der Automatisierungsgrad der Gebäudetechnik und wie gut ist der Zugriff geschützt? Nicht nur in der Bauphase sollten sich Bauherren, Hausverwaltungen und Auftragnehmer wegen der Problemfelder Sicherheit und Fernzugriff an einen Tisch setzen. So praktisch es ist, über ein Web-basiertes Login jederzeit und aus der Ferne zugreifen zu können, so oft wissen der Verwalter/Eigentümer gar nichts davon. So holen sie sich schlimmstenfalls eine Gefahrenquelle ins Haus, von der sie keine Kenntnis haben.

Beim Einsatz einer Internet-basierten BAS sollten sich alle Beteiligten folgende Fragen stellen: Befindet sich der Login hinter einer Firewall? Benötigt er eine VPN-Verbindung? Ist er durch eine Zwei-Faktor-Authentifizierung oder nur durch ein Passwort abgesichert? Ist Letzteres der Fall, sollte man unbedingt klären, wie komplex das Passwort ist und ob bereits als absolutes Minimum eine Beschränkung der fehlgeschlagenen Login-Versuche inklusiver Sperrung implementiert wurde.
Sobald eine der genannten Maßnahmen nicht eingehalten wird, bedeutet dies, dass das Gebäude mehr oder weniger schutzlos den Angreifern ausgeliefert ist. Da 2FA und andere Schutztechnologien etabliert, preiswert und einfach zu bedienen sind, gelten sie als Stand der Technik. Wird dieser nicht eingehalten, stehen nach einem erfolgreichen Angriff durch Siegeware Klagen der betroffenen Mieter und anderer Opfer nichts im Wege.

Michael Klatte ist PR Manager DACH bei Eset Deutschland, www.eset.de.