:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schadprogramme als Steuermann Schifffahrt in der IoT-Falle
Schiffe sind die größten Komponenten des Internets der Dings (IoT), und sie sind oft nicht besser geschützt als eine Webcam für 20 Euro. Ein deutscher Sicherheitsexperte knackte die IT einer Millionen-Euro Jacht binnen kürzester Zeit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Supertanker und Luxusjachten haben eines gemeinsam, sie sind schwimmende Computernetzwerke. Den Kontakt zum Internet hält, wie in jedem Büro, ein Router. Der ist allerdings auf See etwas Besonderes, arbeitet via Satellit, ist fit für Sturm und Regen und auch etwas teurer als der typische Edge-Router. Dafür erhält der Eigner Zugang zum Internet auf hoher See. Zum Beispiel um zu surfen, über Voice-over-IP zu telefonieren, oder mit dem Smartphone die Kajütenbeleuchtung stimmungsvoll gestalten. Der deutsche Sicherheitsspezialist Stephan Gerling brachte für einen Bekannten dessen Luxusjacht IT-mäßig auf den neuesten Stand und erkannte die Gefahren der umfangreichen Vernetzung. Alle wichtigen Komponenten des Schiffes sind über ein Bussystem untereinander verbunden, und dieses über ein Gateway über den Router mit dem Internet. Das bietet viel Komfort, aber eben auch Risiken.
Heute lächelt niemand mehr über den James Bond Thriller "Der Morgen stirbt nie" von 1997. Damals jagte Bond einem heimtückischen GPS-Sender hinterher, der Schiffe durch falsche Angaben ins Verderben manövrierte. Aber warum das GPS-Signal mit viel Aufwand fälschen und dann den Störsender auch noch in die Nähe des fremden Schiffes bringen, wenn es doch viel direkter geht. Denn Supertanker und Luxusjachten haben eine weitere Gemeinsamkeit: Nur selten steht der Steuermann selbst am Ruder. Die langweilige Routinenavigation auf dem weiten Meer überlässt man dem Autopiloten. Das ist eigentlich nicht erlaubt, aber auf See schwer zu kontrollieren.
Angriffe nicht nur theoretisch möglich
Es wäre fatal, wenn man über das Internet auf diese Steuerkomponente zugreifen könnte. Stephan Gerling erläuterte auf der Konferenz IT-Defense 2018 erstmals, dass ein solcher Hack konkret umsetzbar ist. Möglich wurde der Angriff durch einen Router mit etlichen Sicherheitslücken. Gerling fand ein Generalpasswort, welches den Zugang zu allen Geräten dieses Typs ermöglichte. Die Idee dazu entstand, als er seine IT-Installation mit dem branchenüblichen Tool Wireshark überprüfte. Der unverschlüsselte Datenverkehr über das FTP-Protokoll zeigte erste Angriffspunkte. Anschließend war es ihm möglich, den Source Code des verwendeten Routers auszulesen und zu decompilieren. Im Source Code waren die Zugangkennungen fest verankert.
"Das Hauptproblem des Jacht-Routers war, dass in der Konfiguration Username und Passwort im Source Code fest verankert waren und nicht durch den Betreiber geändert werden konnten", sagt Stephan Gerling.
Startet der Nutzer zum Beispiel seinen Browser, um auf das Internet zuzugreifen, ruft die Software per FTP den Router auf, benutzt den Username und Passwort aus dem Source Code und loggt sich ein. "Als nächstes wird eine XML Datei vom Router zur Software, also etwa iOS, Android oder Windows übertragen. In dieser XML-Datei steht im Klartext die Konfiguration, inklusive Zugangsdaten für WLAN und WAN"; "Das ist purer Leichtsinn", meint Stephan Gerling.
Eine zusätzliche Gefahrenquelle ist der Management Port Routers für die Fernwartung des Routers. Auch auf ihn konnte man aus dem Internet mit den gleichen Zugangsdaten zugreifen. "Dieses Passwort ist für alle Router, die mit dieser Software ausgestattet sind, das Gleiche. Wer also den Source Code ausließt und sich näher ansieht, erhält Zugriff auf alle Schiffe, die mit diesem System ausgestattet sind, sofern sie mit dem Internet verbunden sind. IoT Suchmaschinen wie Shodan helfen bei der Suche nach geeigneten Zielen", so Gerling.
Um die Herrschaft über ein Schiff zu übernehmen, ist es dann nur noch ein kleiner Schritt. Alle wichtigen Sensoren und Aggregate des Schiffes hängen an einem zentralen Bussystem, dem NMEA 2000 Bus. Spritzwassergeschützte Stecksysteme verbinden GPS, Tiefenmesser, Windmesser, Kompass und Autopilot. Mit dem Bus sind aber auch der Schiffsmotor, das Ruder, der Feueralarm und der Stromerzeuger verbunden. Wer den Bus beherrscht, der beherrscht das Schiff! Technisch baut NMEA 2000 auf dem aus der Autoindustrie bekannten CAN Bus auf. Was geschieht, wenn Hacker diesen Bus übernehmen zeigten, 2013 und 2014 Hacker Charlie Miller und Chris Valasek. Sie drangen über den Entertainmentzugang in den CAN Bus eines Autos ein schließlich übernahmen sie die Herrschaft, konnten Licht ein und ausschalten, aber auch die Lenkung übernehmen und Gas geben, alles zu Demonstrationszwecken auf einem Testgelände.
Um nun auf das interne Steuerungsnetz, den NMEA 2000 Bus zugreifen zu können, muss ein TCP/IP Gateway ins Bordnetz erreichbar sein. „Ist dies der Fall, lassen sich gefälschte NMEA Datagramme in das Steuerungsnetz absetzen“, warnt Stephan Gerling, „Inwieweit das Auswirkungen hat, ist noch Teil der Forschung.“ Forschung ist in diesem Fall ein problematisches Wort. Welcher Eigner riskiert schon eine Millionen Euro teure Jacht für ein Experiment?
Ein weiteres Einfallstor ist das WLAN, das der Mannschaft zur privaten Kommunikation zur Verfügung gestellt wird. Auf vielen Schiffen verzichtet man auf Zugangsbeschränkungen und Passwörter. Auf dem Pazifik kein Problem, in Küstengewässern aber eine enorme Gefahrenquelle. Aufgrund der hohen Reichweite auf See könnten Hacker schon bei der Einfahrt in den Hafen in das Bordnetz eindringen, erst recht aber im Hafen. Die maritime IT-Security steht noch ganz am Anfang.
Unfälle oder Cyber-Angriffe?
Gerling wies in seinem Vortrag auf der IT-Defense 2018 München auf eine ganze Reihe von Vorfällen mit Schiffen hin, die ihn motivierten, die IT auf See einmal näher zu betrachten.
Im Februar 2017 konnte ein Containerschiff nach einem IT-Problem 10 Stunden nicht auf die eigene Navigation zugreifen. Im selben Monat lief der Lenkwaffenkreuzer USS Antietam vor Tokio auf Grund, drei Monate später kollidierte der Lenkwaffenkreuzer USS Lake Champlain mit einem Fischerboot. Die US-Navy geht in einem Untersuchungsbericht von „vermeidbare Fehler“ von Kapitän und Crew aus. Aber spielte die IT vielleicht auch eine Rolle? Die Pechsträhne der Navy geht 2017 immer weiter. Am 17. Juni 2017 kollidierte der Zerstörer "USS Fitzgerald" südwestlich von Yokosuka mit dem unter philippinischer Flagge fahrenden Containerschiff "ACX Crystal". Es wird gemutmaßt, dass das der digitale Autopilot des Containerschiffs gehackt worden sein könnte. Die USS John S. McCain traf es am 21.8.2017, sie wurde von dem Tanker "Alnic MC" getroffen. Die US-Schiffe blieben mit knapper Not schwimmfähig. Infolge der Vorfälle starben insgesamt 17 Crewmitglieder, die Schäden an den Schiffen werden mit über 700 Millionen Dollar angegeben. Besonders auffällig sind die Schadensverläufe. Die Schiffe rammten einander wie zu Zeiten der antiken Seekriege. Haben Schadprogramme am Ruder gestanden?
Reeder bewerten Cybersicherheit neu
Die Cyber Defence Conference 2017 der Deutsche Gesellschaft für Wehrtechnik (DWT) thematisierte die Vorfälle aus Sicht der deutschen Marine. Brigadegeneral Christian Leitges wies im Dezember 2017 in Bonn auf die Notwendigkeit hin, sich gegen die Gefahren aus dem Cyberraum zu schützen. Die Marine versucht, künftige Mehrzweckkampfschiffe wie (MKS) 180 auch gegen die Gefahren der Computertechnik zu schützen. Schadprogramme, so der General, können sogar über das Radar in die Schiffsnetzwerke eindringen.
„Die Reeder sind inzwischen auf das Thema aufmerksam geworden“, erläutert der Sprecher des Bundesverbandes Christof Schwaner. Ganz allgemein ist allen Beteiligten klar, das massiver Nachholbedarf besteht.
Auslöser des Umdenkens ist der IT-Gau der größten Containerreederei der Welt. Über die Niederlassung in der Ukraine, wo ein infiziertes Update einer staatlichen Steuersoftware in das Netz gelangte, drang der Kryptotrojaner NotPetya in der Maersk Netz ein und legte weltweit die Riesenschiffe der Reederei lahm. 15 Prozent des Welthandels froren quasi ein, weil niemand mehr wusste, welcher Container wo ausgeladen werden sollte. Teilweise kehrte man zu Papier und Bleistift zurück. Für mehrere Wochen im Juli, so der Geschäftsbericht der Firma, sank das Handelsvolumen der Firma deutlich. Betroffen waren auch der Logistikdienstleister Damco und die Firma APM Terminals. Sie betreibt Containerhäfen und Verladestationen weltweit. Der Schaden wird auf minimal 300 Millionen Dollar geschätzt.
Seit Juli 2017 verteilen die Reeder eine Kurzeinführung in die IT-Sicherheit für den Seemann. Auf 47 Seiten geben die „Guidelines On Cyber Security Onboard Ships“ einen theoretischen Abriss der Gefahren des Internets. Die praktische Umsetzung obliegt dann den Mannschaften und Offizieren.
(ID:45231483)
:quality(80)/p7i.vogel.de/wcms/0b/9f/0b9f30efb53dcffe2da9fc0c13922b1a/0109784673.jpeg "Mit dem Cyber Resilience Act will die EU Bürger, Unternehmen, Behörden und Organisationen besser vor Cyberangriffen schützen. (Bild: viperagp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/d1/9bd17e8bf0ba171cbf94c6d7d6fa4599/0107250529.jpeg "Cyberkriminalität entwickelt sich in einem rasanten Tempo. Sie bildet die Kehrseite zu den Vorteilen der Digitalisierung. (Bild: James Thew - stock.adobe.com)")