Sicherheitsforscher warnen davor, dass Cyber-Kriminelle mit vergleichsweise einfachen Methoden einen Großteil der weltweiten Öl-Produktion kontrollieren könnten.
Die Kryptologen Alexander Polyakov und Mathieu Geli der Sicherheitsfirma ERPScan zeigen auf, wie es um die Sicherheit der IT- und Operational-Technology-Systeme (OT-Systeme) der Gas- und Öl-Industrie steht (PDF-Download). Dabei beschreiben sie vielfältige Angriffspunkte, um in ERP-Systeme einzusteigen. Hacker könnten so etwa im schlimmsten Fall 75 Prozent der weltweiten Öl-Produktion kontrollieren, warnen Geli und Polyakov.
In ihrem Vortrag auf der Sicherheitskonferenz Black Hat Europe in Amsterdam haben sie aufgezeigt, dass sich SCADA-Systeme nicht nur auf dem Stuxnet-Weg über einen USB-Stick infizieren lassen, sondern auch direkt über das Internet angreifbar sind. Über IT-Systeme OT-Systeme infiltrieren
Das Problem dabei ist, dass viele OT-Systeme eng mit IT-Systemen verzahnt sind, erläutern die Sicherheitsforscher. Das eröffne Angreifern die Möglichkeit, Attacken über das Internet oder Netzwerk einzuleiten. Als Beispiel führen sie Geräte in Fertigungsstätten an, die Daten zu Öl-Volumina sammeln und an das IT-System einer Öl-Firma zur Verarbeitung weiterleiten. Eben diese Verbindungen sollen oft unsicher sein und Hackern Zugriff auf etwa SCADA-Systeme gewähren.
In diesem Fall könnten die Angreifer zum Beispiel die Angaben zu den Öl-Vorräten manipulieren und so wirtschaftlichen Schaden mit Auswirkungen auf den Weltmarkt anrichten. In dieser Position sollen Angreifer auch Zugriff auf kritische Steuerungssysteme haben und eine ganze Fabrik lahmlegen können. Angreifbare Systeme weit verbreitet
Gelangt ein Hacker über ein IT-System in kritische Steuerungssysteme, kann er Schwachstellen innerhalb dieser ausnutzen. Dabei beziehen sich Geli und Polyakov unter anderem auf jüngst aufgedeckte Speicherfehler in SAP HANA. Die In-Memory-Datenbank kommt etwa im Rolta-OneView-System zum Einsatz, das in der Gas- und Öl-Industrie oft eingesetzt wird. Die Sicherheitsforscher haben bei ihren Untersuchungen zudem Schwachstellen in verschiedenen Oracle-Plattformen, OTC-Servern und SAP-Systemen gefunden, über die Angreifer in OT-Systeme einsteigen können. Auch unsichere Konfigurationen der Systeme sollen Angreifern Tür und Tor öffnen.
Admins müssen demnach neben den Verbindungen innerhalb eines IT-Systems auch die Verbindungen des OT-Systems auf Sicherheit überprüfen und so mögliche Einstiegspunkte für Angreifer ausfindig machen, raten Geli und Polyakov.