Honeynet des TÜV Süd: Simuliertes Wasserwerk wurde sofort angegriffen

Über das Internet anderen das Wasser abdrehen: Das haben Unbekannte in den vergangenen Monaten rund 60.000-mal versucht. Allerdings war das vermeintliche Wasserwerk in Wirklichkeit eine Simulation, die das Sicherheitsunternehmen TÜV Süd im Internet aufgesetzt hatte.

backwards forwards

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Abteilungsleitung (m/w/d) Max-Planck-Institut für Radioastronomie, Bonn (öffnet im neuen Fenster)

Data Scientist (m/f/d) Advantest Europe GmbH, München (öffnet im neuen Fenster)

(Senior) IT-Systemadministrator Windows / 365 (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)

Trainee IT Software Support Analyst ERP (m/w/d) CSB-System SE, Geilenkirchen (öffnet im neuen Fenster)

Cloud Administrator / DevOps Engineer Internet of Things (IoT) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

Consultant (m/w/d) für den Public Sector SGB VIII PROSOZ Herten GmbH, Herten (öffnet im neuen Fenster)

(Senior) Cyber Security Exposures and Vulnerabilities Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

(Senior) IT-Systemadministrator Windows / Infrastructure (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)

Der TÜV hatte ein System eingerichtet, das das Wasserwerk einer deutschen Kleinstadt simuliert. Solche Systeme werden als Honeynet bezeichnet. Sie hätten "ein sogenanntes High-Interaction-Honeynet eingerichtet, das reale Hardware und Software mit einer simulierten Umgebung kombinierte" , sagt Armin Pfoh(öffnet im neuen Fenster) , Leiter des Bereichs Strategie und Innovation beim TÜV Süd.

Die meisten Angreifer kamen aus China und den USA

Das System sei acht Monate am Netz gewesen, berichten die TÜV-Experten. In der Zeit sei über 60.000-mal zugegriffen worden. Die Zugriffe hätten sie in 150 Länder zurückverfolgen können. Mit Abstand die meisten kamen von IP-Adressen in China und Hongkong (2995) und den USA (2318), weit dahinter folgt Südkorea (934). 366 deutsche IP-Adressen protokollierten die Sicherheitsforscher. Allerdings ließen die IP-Adressen nur bedingt Rückschlüsse auf den tatsächlichen Standort des Zugreifenden zu, schränkten sie ein. Zum Teil sei auch über verdeckte oder verschleierte IP-Adressen zugegriffen worden.

Auf das simulierte Wasserwerk sei nicht nur über Standardprotokolle, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm zugegriffen worden. "Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt" , sagt Thomas Störtkuhl, Sicherheitsexperte beim TÜV Süd. Das bedeute, dass Sicherheitslücken in Steuerungsanlagen entdeckt würden und dass die Systeme gefährdet seien.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit dem Linux-Wissensbundle zur LFCS-Zertifizierung

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking: Analyse von Malware und Cyberbedrohungen (E-Learning)

zum Kurs

Das Honeynet fiel sofort auf

Die ersten Zugriffe hätten sie praktisch in dem Moment verzeichnet, als das Honeynet ans Netz gegangen sei, sagen die TÜV-Experten. Es werde also "selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht" , sagt Störtkuhl. Gefährdet seien aber nicht nur Versorgungseinrichtungen, sondern auch produzierende Unternehmen. "Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen."

Die TÜV-Experten raten, Versorger und Unternehmen sollten "ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln" . Letztere sollten auch Industrieprotokolle mit einbeziehen.

• Reklame Hier geht es zur AVM Fritzbox 7590 AX bei Amazon