Störung der Wasserversorgung durch „intelligente“ aber böse Bienen
Internetseiten kämpfen heute mit Angriffen dummer Computersklaven – es droht jedoch die Störung der Wasserversorgung durch „intelligente“ aber böse Bienen — und „öffentliche Panik“
Von Joachim Jakobs
Kürzlich berichtete Compliance 4.0 über eine Datenpanne im Verteidigungsministerium und seinen nicht zur Selbstverteidigung fähigen Verteidigungsminister. Jetzt wurde der Bundesnachrichtendienst (BND) angegriffen: „Hacker sorgen für zeitweisen Ausfall von BND-Website – Mehrere Geheimdienste und Sicherheitsbehörden waren einem Medienbericht zufolge Ziel sogenannter DDoS-Attacken. Die Seite des BND fiel demnach mehrere Stunden aus.“
Woher hätten die Verantwortlichen im Auslandsnachrichtendienst auch wissen sollen, dass sie — ausgerechnet in Kriegszeiten! — ein attraktives Kriegsziel darstellen?! Zu den betroffenen Geheimdiensten und Sicherheitsbehörden dieser „Distributed Denial of Service“-Angriffen (DDoS) gehören auch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und das Datenportal des Bundes. Wenige Tage vorher beklagte der Bundeskanzler zu allem Überfluss den vermeintlichen Rückstand bei der Digitalisierung: „Insbesondere im Bereich der Dienstleistungen und der Digitalisierung hat Europa nicht den gleichen Fortschritt wie etwa die USA erreicht.“ „Zum Glück!“ möchte man sagen — damit wäre ja die Angriffsoberfläche noch größer als sie ohnn schon ist!
Der Überlastungsangriff auf die Aargauer Gemeindeverwaltung Ende November beweist vielmehr, dass DDoS-Angriffe „ein großes Problem für kleine Unternehmen“ sind und diese deshalb „mehr denn je“ einen entsprechenden Schutz benötigen.
Dazu muss die Verantwortliche zunächst einmal verstehen, was denn so ein „Denial of Service“ ist — die Deutsche Übersetzung Von „Denial“ („Verweigerung“) und „Service“ („Dienst“) trifft es schon recht präzise. „Meist geschieht das durch Überlastung eines Rechnernetzes oder Netzwerkdienstes“ heißt es bei Wikipedia. Man muss also eine Internetseite nur oft genug aufrufen, damit die irgendwann unter der Last zusammenbricht — wobei es nicht nur um Internetseiten geht; weiter schreiben die Autorinnen des Internetlexikons: „Ein DoS-Angriff überlastet eine knappe Ressource eines IT-Systems wie beispielsweise den Internetzugang, die CPU oder den Arbeitsspeicher, damit das überlastete System auf Anfragen nicht oder nur sehr langsam antwortet. Im einfachsten Fall geschieht dies durch das Senden vieler Anfragen an das angegriffene Ziel.“ Nun sind aber Internetseiten. die Zugänge zu diesen, CPU und Arbeitsspeicher mittlerweile aber extrem leistungsfähig geworden. Somit müssen die Angreiferinnen auch mit extremer Last daherkommen, um den gewünschten Effekt zu erzielen. Dazu werden „Botnetze“ betrieben — dabei handelt es sich um „eine Gruppe automatisierter Schadprogramme, sogenannter Bots. Die Bots (von englisch: robot „Roboter“) laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen, ohne Einverständnis des Eigentümers, zur Verfügung stehen. In Deutschland gab es 2010 über 470.000 solcher Bots, von denen im Durchschnitt etwa 2.000 pro Tag aktiv waren.“
Bild: Wikipedia
Die Sicherheitsfirma avast weiß, „wie man ein Botnet erstellt“: „Um ein Botnet zu erstellen und zu nutzen, muss ein Hacker einen dreistufigen Angriff durchführen: Infizieren der Geräte der Opfer, Vergrößern des Botnets und schließlich Aktivieren des Botnets.
1. Infizieren der Opfer: Der Bot-Herder muss seine Botnet-Malware auf die Computer seiner Opfer bringen. Der Download und die Installation des Botnets erfolgt häufig über Malware oder mit Social-Engineering-Tricks.
Der Hacker kann seine Opfer über Trojaner-Malware (die sich als harmlos tarnt) infizieren, indem er Websites mit Malvertising-Werbung infiziert, die Besucher angreifen kann, indem er Sicherheitslücken ausnutzt oder mit Phishing-Angriffen, die die Opfer zur Installation der Malware verleiten.
2. Vergrößern des Botnetzes: Zombie-Computer im Botnet können vom Bot-Herder genutzt werden, um weitere Geräte zu infizieren. Manche Botnet-Malware kann sich automatisch verbreiten, indem sie Netzwerke nach anfälligen Geräten durchsucht und diese infiziert, wenn sie gefunden wird.
Diese Technik ist besonders wirkungsvoll, wenn der Bot-Herder eine Zero-Day-Schwachstelle nutzt, die noch nicht bekämpft werden kann.
3. Aktivieren Sie das Botnet: Wenn das neue Botnet eine ausreichende Größe erreicht hat, kann der Bot-Herder die kombinierte Kraft aller infizierten Geräte für alles Mögliche nutzen, von verheerenden DDoS-Angriffen bis hin zum Kryptomining.“
Für die Angreiferinnen ist es dabei besonders attraktiv, wenn sich die Schwachstelle in zahlreichen IoT-Geräten oder in Servern findet: „Das Gorilla-Botnetz infiltriert anfällige IoT-Geräte und -Server. Es sucht nach bekannten Schwachstellen in Software und Firmware und nutzt diese Schwachstellen, um Systeme zu kompromittieren. Sobald ein Gerät angegriffen wurde, stellt es eine Verbindung zu einem seiner Command-and-Control-Server (C2) her, so dass Gorilla groß angelegte Angriffe aus der Ferne koordinieren kann.
Nach der Verbindung mit dem C2-Server tritt Gorilla in Aktion und startet eine Reihe von DDoS-Angriffen (Distributed Denial of Service). Unter Verwendung verschiedener Methoden wie UDP Flood, SYN Flood und ACK Flood überflutet das Botnet das Netzwerk des Ziels mit einer übermäßigen Menge an Datenverkehr. Diese ständige Datenflut kann Dienste lahmlegen und Websites und Anwendungen unbrauchbar machen.
Um auf infizierten Systemen aktiv zu bleiben, verwendet Gorilla verschiedene Techniken, um die Kontrolle zu behalten. Er erstellt eine Dienstdatei namens custom.service im Verzeichnis /etc/systemd/system/, die automatisch beim Systemstart ausgeführt wird. Außerdem ändert Gorilla wichtige Systemdateien wie /etc/profile und /boot/bootcmd, um bösartige Skripte auszuführen, sobald das System neu gestartet wird oder sich ein Benutzer anmeldet.“
2008 soll das Mariposa Botnetz 12 Millionen Sklaven umfasst haben. Auch mit dummen Sklaven lassen sich bemerkenswerte Effekte erzielen: Solang die Angriffe auf Internetseiten beschränkt bleiben, kostet deren Wiederherstellng die Verantwortliche ein wenig Geld: „Laut neuen Zayo -Daten dauerte der durchschnittliche DDOS -Angriff im Jahr 2023 68 Minuten. Bei ungeschützten Organisationen schoss durchschnittlich 6.000 US -Dollar pro Minute jedes Angriffs aus, was zu überraschenden durchschnittlichen Durchschnittskosten von 408.000 USD für Unternehmen für DDOS -Angriffe führt.“
Physische Bedrohungen dagegen sind selten — das könnte sich ändern: Cyber-Physische Systeme (CPS, wie etwa industrielle Prozesse) sollen ans Netz geklemmt werden — der German Water Patnership e.V (GWP) — „als einziges Netzwerk der international ausgerichteten deutschen Wasserbranche“ verkündet die frohe Botschaft: „Wasser 4.0 stellt die Digitalisierung und Automatisierung in den Mittelpunkt einer Strategie für eine ressourceneffiziente, flexible und wettbewerbsfähige Wasserwirtschaft […] In der Umsetzung von Wasser 4.0 sind Cyber Physical Systems (CPS) Treiber der optimalen Vernetzung virtueller und realer Wassersysteme, wobei Planung, Bau und Betrieb weitgehend von Software durchdrungen werden.“
Wem das bislang dumme Wasser nicht reicht und meint, diesem „Intelligenz“ verpassen zu müssen, sollte sich bewusst sein, dass damit Risiken einhergehen. Eine Erfahrung die American Water, ein in New Jersey beheimateter Wasserversorger machen musste. Glücklicherweise soll lediglich die Abrechnung, nicht die Wasserversorgung selbst betroffen sein.
Das Cyber Magazin warnt jedoch unter Verweis auf die US-Bundesregierung:
„DDoS -Angriffe können den Betrieb einer Organisation erheblich stören, einschließlich derjenigen, die kritische Infrastruktur wie Wassersysteme kontrollieren […] Dies kann zu Ausfallzeiten und betrieblichen Rückschlägen führen und sowohl kurz- als auch langfristig schwerwiegende Schäden an industriellen Kontrollsystemen (ICS) verursachen und den Ausfall kritischer Funktionen zur Folge haben.“
„Geopolitische Spannungen“ sollen „erheblich“ zu diesen DDoS-Angriffen beitragen: „Die Ukraine verzeichnete einen Anstieg der DDOS -Angriffe um 519%.“
Sogar um die Sicherheit der „öffentlichen Gesundheit“ wird gefürchtet. Die Firma Radware entwickelt den Gedanken weiter: „Kritische Infrastrukturen wie Stromnetze, Ölpipelines und Wasserversorgung, aber auch Finanzinstitute können zur Zielscheibe massiver Angriffe werden, wenn sich zwei Staaten bekriegen. DDoS-Angriffe erweisen sich als besonders effektiv, weil die Täter schwer zu ermitteln sind. Schließlich bestehen die Hauptziele nationalstaatlicher Angriffe darin, nicht auf frischer Tat ertappt zu werden und durch Schuldzuweisungen an eine andere Nation die Außenpolitik zu manipulieren.“
„Die Folgen eines erfolgreichen DoS-Angriffs können Dienstausfälle, Sicherheitsrisiken und öffentliche Panik sein.“
Dieses Bewusstsein schärft die Sinne für die absehbare technische Entwicklung — Zur Gewinnung der Sklaven war früher die Unterstützung der Nutzerin notwendig: „Das Installations-Programm des Bots wird per E-Mail an viele Adressen geschickt, und der Empfänger wird dazu aufgefordert, das Programm auf seinem Computer auszuführen. Mitunter wird auch nur ein Link auf eine infizierte Webseite versandt.“
Das hat sich geändert — A10 Networks, Inc. weiß, wie: „Das Mirai-Botnet, das erstmals 2016 beobachtet wurde, hat sich durch KI-gesteuerte Verbesserungen weiterentwickelt. Durch den Einsatz von KI sind die Mirai-Varianten immer geschickter darin geworden, der Erkennung zu entgehen und hochwertige Ziele auszuwählen. KI-Algorithmen analysieren den Netzwerkverkehr, um die anfälligsten Geräte zu identifizieren, so dass das Botnet seine Angriffe ausweiten und intensivieren kann. Diese Entwicklung hat zu ausgefeilteren und hartnäckigeren DDoS-Kampagnen geführt.“
Die per KI gewonnenen Sklaven werden in sogenannten Hivenets („Bienenstöcken“) zu schlauen, aber bösen Bienen aufgemotzt, wie Christian Vogt, Senior Regional Director Germany bei Fortinet erläutert „Angesichts raffinierter Attacken wie Hajime, Devil’s Ivy oder Reaper gehen wir davon aus, dass Cyber-Kriminelle Botnets durch intelligente Cluster aus kompromittierten Geräten – so genannte „Hivenets“ – ersetzen werden, um noch wirkungsvollere Angriffsvektoren zu schaffen. Diese Hivenets werden selbstlernend sein, um anfällige Systeme in bislang ungeahntem Ausmaß effektiv anzugreifen. Sie werden miteinander kommunizieren, lokale Informationen teilen und dadurch als Kollektiv handeln können. Zudem wird es intelligente „Zombies“ geben, die auch ohne Anweisung vom Bot-Herder auf Befehl aktiv werden. Infolgedessen werden Hivenets exponentiell zu Schwärmen anwachsen. Dabei werden sie immer besser darin werden, mehrere Opfer anzugreifen und zugleich Abschwächungs- und Gegenmaßnahmen auszuhebeln. Auch wenn diese Attacken bislang keine Swarm-Technologie verwenden, weil sie im Code Spuren hinterlässt, könnten Angreifer sie dennoch lernfähig machen. Cyber-Kriminelle werden Schwärme kompromittierter Geräte oder Swarmbots einsetzen, um verschiedene Angriffsvektoren gleichzeitig auszumachen und anzugreifen. Dadurch werden blitzschnelle Attacken mit gewaltigem Ausmaß möglich. Weil die Angriffe aber derart schnell erfolgen, nimmt jedoch die Vorhersagbarkeit ab, die für eine erfolgreiche Abwehr unerlässlich ist. FortiGuard Labs hat dieses Jahr in nur einem Quartal 2,9 Milliarden Kommunikationsversuche von Botnets aufgezeichnet. Das verdeutlicht den Ernst der Lage und gibt einen Vorgeschmack auf den gewaltigen Schaden, den Hivenets und Swarmbots anrichten können.“
Bild: ChatGPT/Dall-E
USTelecom — „die Breitband Vereinigung“ der USA rät ebenfalls zur „Vorsicht vor den schwärmenden Hivenets“: „Stellen Sie sich Tausende von Bienen vor, die ein einziges Ziel anschwärmen. Das ist, kurz gesagt, ist ein Swarmbot. Swarmbots können herkömmliche Cyber-Abwehrsysteme oft allein durch ihre schiere Größe überwältigen. Erschwerend kommt hinzu, dass diese Bots von einer künstlichen Intelligenz gesteuert werden, die als Hivenet bekannt ist. Hivenets sind ‚Botnets, die für sich selbst denken’ und die Fähigkeit haben, während eines Angriffs zu lernen. Die Fähigkeit, in Echtzeit zu lernen, ist ein großer Teil dessen, was sie so gefährlich macht. Während herkömmliche Botnets auf Befehle von ihren Betreibern warten mussten, koordiniert das Hivenet die Strategien automatisch auf der Grundlage dessen, was die Swarmbots lernen.“ Ihr volles Potential werden die bösen Bienen entfalten, wenn sie von Quantencomputern betrieben werden.
Dabei ist die Wasserwirtschaft nicht die einzige Branche, die sich an der technischen Leistungsfähigkeit berauscht:
„Von der 5G-Technologie können viele Branchen profitieren. Dazu gehören unter anderem die Automobilbranche, die Verkehrswirtschaft, die Industrie und die Energiewirtschaft. Auch im Gesundheitssystem und in der Landwirtschaft bringt das schnelle Netz Vorteile“
Bild: Adobe
„5G in Smart Cities verbessert das Leben in der Stadt durch vernetzte IoT-Geräte, Datenspeicherung, Cloud-Zugang, Edge Computing, KI und ML sowie intelligente Automatisierung. Mit anderen Worten: Smart Cities erfordern viele verschiedene Technologien, die Erfahrung, sie zu verbinden, und das Wissen, um die Daten zu nutzen. Diese Fähigkeiten erfordern einen Partner mit nachgewiesener Erfahrung in verschiedenen Datenintegrationen und Analysen, einschließlich KI-Lösungen für die Telekommunikation, und der Vision, das bisher Unmögliche möglich zu machen.“
Ich konnte jedoch beim German Water Patnership e.V keinen Hinweis darauf finden, dass sich der Verband auch nur im Ansatz mit der NIS-2 und weiteren Themen der Regelkonformität bei der Vollautomatisierung der Welt beschäftigt hätten.
Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.