Nicht anwesende Hausbesetzer

Kriminelle haben im Bereich der Cyber-Kriminalität ein neues „Geschäftsfeld“ entdeckt. Konkret haben sie für Ransomware einen neuen Einsatzbereich gefunden. Sie besetzen Gebäude, ohne persönlich anwesend zu sein. Wie das geht? Sie kapern ganze Smart Buildings und rücken die Kontrolle über diese Gebäude erst gegen Lösegeld wieder heraus.

Sie verbreiten sich in unserer heutigen Welt immer weiter. Die Rede ist von Smart Buildings. Dabei geht es nicht nur darum, dass man bequem mit dem Smartphone die Heizung vorwärmen oder sich die Bilder der Sicherheitskamera im Garten anschauen kann. Heute geht es um ganze Fertigungs- und Wertschöpfungsketten, welche automatisiert in smarten Fabriken produziert werden. Die Anwendungsbereiche sind extrem vielseitig. Im Gegenzug sind dadurch leider auch die Angriffsvektoren extrem vielseitig.

Ungutes Gefühl

Für viele Menschen ist eine beklemmende Vorstellung in einem Fahrstuhl stecken zu bleiben. Die Gedanken kreisen um die mögliche Ursache des unfreiwilligen Stopps. Ein elektrischer Defekt? Vielleicht ein mechanisches Problem mit dem Aufzug? Kaum einer kommt auf die Idee, dass Hacker die Steuerung der Aufzüge gekapert haben könnten. Nun, diese Möglichkeit sollten wir in naher Zukunft eher berücksichtigen. Denn Kriminelle haben ein neues Geschäftsmodell für sich entdeckt.

Von der Ransomware zur Siegeware

Kriminelle im Cyberraum sind über ein altbekanntes Ziel nun zu einem neuen gekommen. Nach Rechnern, Severn und Smartphones der Nutzer stehen nun Smart Buildings im Fokus. Dabei ist die Vorgehensweise denkbar einfach, weil aus bestehenden und bewährten Attacken abgeleitet. Wenden diese Cyberkriminellen das Prinzip der Ransomware auf ein automatisiertes Gebäude an, dann entsteht eine brisante Mischung. Es ist das, was Experten als „Siegeware“ bezeichnen. Darin steckt das Wort „siege“, was aus dem Englischen übersetzt so viel bedeutet wie Belagerung. Und genau das ist es auch, was hier passiert. Die Hacker nutzen die digitalen Möglichkeiten eines Gebäudes, um auf dessen Funktionen und Infrastruktur zuzugreifen. Vom Stromausfall bis hin zu gekaperten Aufzügen, stillstehenden Fertigungsbändern und außer Kontrolle geratener Klima- und Kältegeräte ist grundsätzlich alles möglich, was heute in einem smarten Gebäude einer digitalen Steuerung unterliegt – und das ist so gut wie alles.

Erst gegen Bezahlung erlangt der Eigentümer die Kontrolle über sein eigenes Gebäude wieder zurück. Hier schließt sich der Kreis zur bereits bekannten Ransomware. Auch hier werden erst nach Zahlung eines Lösegelds die gesperrten Daten auf den befallenen Rechnern wieder verfügbar gemacht. Leider schließt sich an dieser Stelle auch der Kreis an anderer Stelle zur Ransomware – es ist fraglich, ob die Freigabe nach Zahlung des Lösegelds tatsächlich erfolgt. Bereits in der Vergangenheit haben die wenigsten Hacker die befallenen Systeme nach der Zahlung tatsächlich „freigelassen“. Dabei ist all das keine fiktive oder überspitzt dargestellte Bedrohungslage. Eine 2019 verfasste Studie vom IT-Sicherheitsunternehmen Kaspersky ergab, dass bereits 2019 37,5 Prozent aller Rechner, die für die Steuerung automatisierter Gebäude verantwortlich sind, bereits angegriffen wurden.

Zielscheibe Automation

Viele Gebäude der neuesten Generation verfügen heute über ein BAS-System. Das steht für „Building Automation Systeme“. Damit lässt sich die Heizung, Klima und Lüftung sowie Brandmelde- und Steuerungssysteme, Beleuchtungs- und Sicherheitssysteme und vieles mehr fernsteuern. All diese Systeme sind von der Ferne zu administrieren. Wenn man sich nur fiktiv ausmalt, was ein Ausfall all dieser Systeme beispielsweise in einem Krankenhaus an Auswirkungen hätte. Die „Geiselnahme“ von Gebäuden wird steigt zunehmen, parallel zur Zunahme smarter Gebäude. Das Einfallstor ist aktuell recht einfach und für die Kriminellen komfortabel. Die Schwachstelle ist oftmals genau dieses BAS-System, besser gesagt der Fernzugang dazu. Dieser kann per Internet und Webbrowser gehackt werden. Danach haben die Eindringline Kontrolle über alle Funktionalitäten wie Steuerung der Raumtemperatur, Türschlösser und Schließanlagen, Alarme, Aufzüge, Stromverteilersysteme und vieles mehr. Es wird also gezielt die Möglichkeit der Fernwartung ausgenutzt.

Dabei ist diese nicht partout schlecht. Sie hat nach wie vor handfeste Vorteile. Der Komfort ist in dieser Richtung hoch, bei gleichzeitig relativ geringen Kosten. So muss nicht in jedem Fall ein Techniker vor Ort um eine Störung beheben zu können. Eine Änderung der Einstellung der Automation lässt sich per Fernzugriff im Handumdrehen realisieren.

Problematisch wird es dann, wenn der Fernzugriff nicht auf Sicherheit, sondern auf Leistung ausgelegt ist. In den meisten Fällen erfolgt der Zugang zu solch sensiblen Bereichen lediglich durch eine Kombination aus Username und Passwort. Ist der Kunde an dieser Stelle bereits unachtsam und verwendet die „Glückskombination“ aus „Admin“ und „Passwort“ oder „123456“ als Passwort, erfordert es nicht mal mehr eine Handfertigkeit als Hacker. Und selbst wenn nicht – mit einfachen Brute-Force-Methoden lassen sich viele Zugangsdaten knacken. Eine Zweifaktor-Authentifizierung oder ein Begrenzen der Login-Versuch wird vielerorts aus Kostengründen nicht in Erwägung gezogen. Aber bereits diese beiden simplen Maßnahmen könnten eine erhebliche Steigerung der Sicherheit bewirken.

Wie finden die Hacker ihre Ziele?

Doch wie gelangen Hacker überhaupt an ihre Ziele? Auch hier ist die Antwort ernüchternd einfach. Über die Webseite „Shodan“, welche internetbasierte Anwendungen sucht und filtern kann, lassen sich aktuell ca. 35.000 Ziele weltweit auffinden, deren Fernzugänge für automatisierte Gebäudefunktionen erreichbar sind. Diese werden dort hübsch aufgelistet, mit entsprechender IP-Adresse und zugehörigen SSL-Informationen.

Alleine mit diesen Daten hat der Angreifer bereits freie Bahn. Er versucht die gängigen Standard-Passwörter und Usernamen, welche sich über das Internet bei den entsprechenden Herstellern ebenfalls leicht auffinden lassen, aus. Werden die Standardeinstellungen also nicht verändert, enden die Hürden für den Hacker genau dort. Ebenfalls sind, wie bereits erwähnt, in den seltensten Fällen die Anzahl der Anmeldeversuche begrenzt.

Was also tun?

Es steht und fällt alles mit der Frage, wie hoch der Automatisierungsgrad ist und wie gut der Zugriff darauf geschützt ist. Es ist besonders entscheidend, dass sich bestenfalls vor der Bauphase Bauherren, Hausverwalter und Auftragnehmer an einen Tisch setzen und die Problemfelder Sicherheit und Fernzugriff erörtern. So praktisch und bequem es sein mag, über ein webbasiertes Login jederzeit auf die automatisierten Systeme zugreifen zu können, so häufig kommt es hingegen auch vor, dass Verwalter und/oder Eigentümer gar nichts wissen von den Systemen, welche verwendet werden. Sie holen sich also nicht selten eine hausgemachte Schwachstelle ins Haus, von welcher sie nicht mal Kenntnis haben. Beim Einsatz eines BAS sollte man sich daher folgende Fragen dringend stellen:

  • Ist das Login hinter einer leistungsstarken Firewall?
  • Benötigt er eine VPN-Verbindung?
  • Ist eine Zwei-Faktor-Authentifizierung eingerichtet (2FA)?
  • Sind die Passwörter und Usernamen ausreichend sicher und werden diese ggfs. regelmäßig gewechselt?
  • Gibt es ein Maximum an Anmeldeversuchen und werden betreffende IP-Adressen entsprechend gesperrt nach mehrmaligem Login-Versuch?

Wer diese minimalen Standards nicht einhält, der muss sich vergegenwärtigen, dass sein Gebäude potenziellen Angreifern mehr oder weniger schutzlos ausgeliefert ist.

Ebenfalls nicht zu vernachlässigen: Da bspw. die 2FA und andere Schutzmaßnahmen etabliert, preiswert und einfach zu bedienen sind, gelten sie als Stand der Technik. Wird dieser bewusst nicht eingehalten, stehen eventuellen Klagen gegen den Betreiber des Gebäudes durch Mieter nach einer Attacke kaum noch juristische Hürden im Wege.

Sicherheit ist nicht zuletzt eben auch eine Haftungsfrage.