Hackerangriff auf Zug simuliert

Der Sicherheitsanbieter Sophos hat in Zusammenarbeit mit der Firma Koramis einen digitalen Angriff auf eine Modelleisenbahn simuliert. Der „Honeytrain“ zeigt was passieren kann, wenn ein Schienennetz ohne ausreichenden Schutz mit dem Internet verbunden ist. „Honeytrain“ ist eine Anlehnung an den Begriff „Honeypot“, der ungesicherte Computer oder Server beschreibt, um das Verhalten von leichtsinnigen Nutzern im Internet zu Analysezwecken zu simulieren. Das Ergebnis: Innerhalb von sechs Wochen gab es 2,7 Millionen Angriffe auf das System. Und zwei hätten größeren Schaden anrichten können, erklärte Sophos nun.

Ein Großteil der Zugriffsversuche erfolgte auf die Firewall und den Media-Server – zwei Angreifer haben sich außerdem erfolgreich in einem sogenannten HMI-Server (Human Machine Interface) eingeloggt. Über diese Schnittstelle hätten Angreifer ohne Probleme Signale verändern können. Das Angriffsmuster lässt darauf schließen, dass die Angreifer konkret die Kontrolle übernehmen wollten.  Als Angriffspunkt  dienten sogenannte Wörterbuchattacken, bei denen anhand einer Wortliste ein unbekanntes Passwort ermittelt wird.

„Honeytrain“ wirkte auch deshalb besonders echt, weil die Verantwortlichen für die Simulationen echte Industrie-Steuerungssysteme verwendeten, inklusive der originalen Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik. Auf der eigens konzipierten und ebenfalls manipulierten Website konnten Angreifer augenscheinlich echte Überwachungsvideos ansehen, die Fahrpreise erhöhen oder Zugverbindungen streichen.

Ziel des Projekts war es zu demonstrieren, dass gerade veraltete Industrieanlagen, einmal ans Internet angeschlossen, schnell das Ziel von Hackern werden können. Gleichzeitig wollte man aber auch mehr über die Vorgehensweise potentieller Angreifer erfahren und was genau ihre Motivationen sind. Das Ergebnis ist eindeutig: „Die Angreifer beim HMI-Server hätten genau gewusst, wo sie sich befanden“, sagte Chester Wisniewski von Sophos. Es ging ihnen darum, das System zu kontrollieren. Dabei wurden industrielle Komponenten ausgelesen, die Hacker hätten dann die Stirnbeleuchtung eines Zuges aktiviert. Der Versuch, auch Zugriff auf die Signalsteuerung zu bekommen, sei allerdings erfolglos geblieben. Theoretisch hätten sie auch Weichen umstellen oder das komplette System lahmlegen können, sagte Wisniewski.

Der erfolgreiche Angriff auf den Media-Server diente einem Angreifer dazu, Chaos zu stiften – neben einem simulierten Überwachungsvideo von einem Bahnsteig hinterließ er den Kommentar „Big Brother is Watching You“.