Die Stadtwerke Karlsruhe standen kurz vor einem erfolgreichen Ransomware-Angriff

[DMW007]

Das nennt ihr erfolgreich abgewehrt, liebe Stadtwerke in Karlsruhe? Angreifer konnten erfolgreich in Systeme des Energieversorgers einbrechen, der Strom an bis zu 140.000 Kunden liefert. Laut dem Bericht konnten sie sich danach selenruhig umsehen und neben internen Daten auch das Passwort eines Mitarbeiters ergattern. Sie kamen aber nicht auf Anhieb auf alle Systeme - offenbar haben die Stadtwerke also zumindest grundlegende Maßnahmen umgesetzt, was genau beschreibt der Bericht nicht. Erwischt wurden sie offensichtlich aber erst, weil sie unvorsichtig wurden und neben Logdateien auch Notizen für die Kollegen hinterließen. Sie konnten sich also offenbar über längere Zeit störungsfrei im Netzwerk nicht nur umsehen, sondern hatten zudem Schreibzugriff.

Nur der GAU eines komplett verschlüsselten Netzwerks, wie es sonst meist als nächstes ansteht, konnte noch verhindert werden. Wenn ein Einbrecher an eurem Tresor scheitert und ihr das merkt bevor er mit mächtigerem Gerät wieder kommt, würdet ihr euch dann auch auf die Schulter klopfen?

Zum Kurzvideo auf YouTube

[Darkfield]

Und wenn man dann bedenkt das wir Zwangsweise ALLE auf diesen verfickten digitalen Stromzähler umgerüstet werden,
bei den Sicherheitsfanatikern, dann wird mir Speiübel!

[DMW007]

Schwieriges Thema, das ich auch auf meiner Liste habe: Grundsätzlich sieht es danach aus, als hätten die Potenzial, um bei der Energiewende zu unterstützen. Schon ganz einfache Dinge, wie z.B. den Verbrauch pro Tag (lokal) zu sehen, können für den Kunde hilfreich sein. So sieht man recht schnell, ob eine Energiesparmaßnahme sichtbare Wirkung zeigt. Umfangreicher wird es dann in Richtung Steuerung, dass Verbraucher zu bestimmten Zeiten laufen - etwa die Waschmaschine, wenn viel Solarstrom zur Verfügung steht, der nicht gespeichert wird/werden kann.

Das größte Problem sehe ich jedoch daran, dass die bisher eine geschlossene Black-Box sind. Zwar auditiert soweit ich mich erinnere, aber halt trotzdem proprietär. Da sollte mehr in Richtung offene Standards gehen, sodass man als Kunde die Kontrolle & Macht hat, was mit den Daten passiert. Und man nicht auf einen oder zwei Hersteller angewiesen ist. Wenn es dort Sicherheitslücken gibt, hat man ein riesiges Angriffspotenzial. Selbst der lesende Zugriff auf die Verbrauchsdaten ist - abgesehen von dem Eingriff in die Privatsphäre - durchaus für Missbrauch geeignet: Sieht ein Angreifer beispielsweise, dass der Verbrauch über den gesamten Tag konstant niedrig oder sogar bei null liegt, ist diese Wohnung sehr wahrscheinlich ein lohnendes Ziel für Einbrecher. Entweder steht sie leer, oder die Personen sind verreist. Selbst diesen Unterschied (der für Einbrecher wichtig ist - in einer leer stehenden Wohnung gibt es wohl weniger zu holen) ließe sich mit einem entsprechenden Verlauf ermitteln: War der Verbrauch vor ein paar Tagen oder Wochen noch deutlich höher, ist es wahrscheinlich nur eine temporäre Abwesenheit, also lohnt sich ein Einbruchsversuch. Selbst außerhalb vom Urlaub reicht ein Blick in die Verbrauchsdaten, um zu erkennen: Die Bewohner gehen z.B. zwischen 7 und 8 Uhr aus dem Haus, vor 14 Uhr ist nie einer da.

Die Liste könnte man noch weiter führen. Ohne bisher tiefer recherchiert zu haben befürchte ich, dass man dieses Thema suboptimal umsetzt und damit berechtigte Zweifel ausbaut, statt das möglichst positiv zu gestalten. Es fängt ja schon damit an, dass die Leute solche Zähler teilweise bereits einbauen müssen, die höheren Kosten aber auf den Verbraucher umgelegt werden. Mit allem wo ich als Nutzer nur eingeschränkt oder gar keine Wahl habe, sollte sehr sensibel umgegangen werden. Und kritischer Infrastruktur sowieso. In der Praixs scheint das jedoch oft der gleiche, alltägliche Murks zu sein. Ein Beispiel ist Bitmarck, der IT-Dienstleister für Krankenkassen. Der hat sich in einem halben Jahr gleich zweimal erfolgreich angreifen lassen. Beim Ersten kam es zu Datenlecks von Versicherten, der Zweite betraf zudem die elektronische Patientenakte. Das Grundproblem ist wieder einmal: So etwas hat keine Konsequenzen, außer man kann gröbsten Vorsatz nachweisen. Und das sind dann heftige Sachen, wo ich meist schon viel früher ansetzen würde. Oft kommt es gar nicht so weit, weil nicht jeder Angreifer die erbeuteten Daten morgen gleich auf dem Schwarzmarkt verkauft und klar ist, die stammen aus einem bestimmten Angriff.

Die Medien sind regelmäßig voll mit so was und ich will gar nicht wissen, wie hoch die Dunkelziffer ist. Öffentlich bekannt wird so was ja meistens nur, wenn es sich aufgrund des Ausmaßes nicht mehr leugnen lässt. Fällt ein Großteil der Systeme eines Unternehmens plötzlich aus und man schickt ggf. sogar die Mitarbeiter einige Tage bis Wochen heim, braucht man nicht viel Fantasie, dass dort wahrscheinlich eine Ransomware oder ein anderer IT-Angriff erfolgreich war. Manche halten sich so bedeckt, dass sie nicht mal das zugeben. Im Nachgang sowieso nicht, dann sind viele ja froh, wenn dieses unliebsame Thema endlich aus der Berichterstattung verschwunden ist. Im Grunde wäre das für alle aber eine wichtige Sache, wenn man zumindest transparent macht, wie der Angriff möglich war. Auch da haben wir aber noch eine große "Über seine Fehler spricht man nicht" Kultur.

[Darkfield]

Das ganze Geraffel einfach unter die GPL laufen lassen, und Sicherheitsexperten einfach mal ernst nehmen!