![Exposed Industrial Control Systems and Honeypots in the Wild [pdf]](/images/11D29800-9BDD-422B-A7A5-BB9DB399CEE3)
Industrie-Steuerungssysteme, bekannt als ICS (Industrial Control Systems), bilden das Rückgrat moderner kritischer Infrastrukturen und sind unverzichtbar für die Automatisierung und Digitalisierung zahlreicher Industrieprozesse. Von Stromerzeugungsanlagen, Stromnetzen bis hin zu Wasserver- und -entsorgungsnetzen steuern diese Systeme technische Abläufe, die unser tägliches Leben unmittelbar beeinflussen. Doch gerade durch ihre Bedeutung und Vernetzung sind ICS zunehmend Ziel potenzieller Cyberangriffe. Die Frage der Sicherheit und Sichtbarkeit dieser Steuerungssysteme gewinnt damit stetig an Brisanz. Im Zuge dieser Entwicklung rücken auch sogenannte Honeypots immer mehr ins Rampenlicht, die als Köder für Angreifer dienen und helfen, Cyberbedrohungen besser zu verstehen und abzuwehren.
Das Kernproblem vieler Industrie-Steuerungssysteme liegt in ihrem Ursprung: Viele dieser Systeme wurden jahrzehntelang konzipiert, als Vernetzung und Internetzugang noch keine Rolle spielten. Deshalb verfügen sie oft über keine robusten Sicherheitsmechanismen, tauschen Daten teilweise unverschlüsselt aus oder nutzen schwache Authentifizierungsmethoden. Dies macht sie anfällig für gezielte Angriffe, die katastrophale Auswirkungen haben können. Ein bekanntes Beispiel ist der sogenannte Stuxnet-Wurm, der Anfang der 2010er Jahre iranische Nuklearanlagen sabotierte, indem er gezielt auf SCADA-Systeme (Supervisory Control and Data Acquisition), eine Unterkategorie von ICS, abzielte. Auch der Angriff auf die Stromversorgung in der Ukraine 2015 belegt die reale Gefahr, die von kompromittierten ICS ausgeht.
Moderne Angreifer nutzen zunehmend das öffentliche Internet, um nach exponierten Industrie-Steuerungssystemen zu suchen. Historisch fokussierten Forscher und Sicherheitsexperten sich auf das Auffinden von offenen Ports, die typische ICS-Protokolle nutzen. Doch die bloße Existenz eines offenen Ports garantiert nicht, dass ein ICS-Protokoll auf dem Gerät tatsächlich aktiv ist. Erst durch fortschrittliche Anwendungsschicht-Scans kann präzise ermittelt werden, ob ein Steuerungssystem tatsächlich exponiert ist oder ob es möglicherweise eine Tarnvorrichtung ist, etwa ein Honeypot. Honeypots nehmen eine zwiespältige Rolle in der Cybersicherheitslandschaft ein.
Einerseits simulieren sie ICS-Umgebungen, um Angreifer anzulocken, und bieten somit wertvolle Einblicke in die Angriffsstrategien und -werkzeuge. Andererseits können sie die Analyse verfälschen, wenn sie im Rahmen von breit angelegten Scans als reale ICS-Systeme fehlinterpretiert werden. Nach neuesten Studien machen Honeypots zwischen 15 und 25 Prozent der als exponiert identifizierten ICS aus, wobei zwei Drittel dieser Honeypots mit mittlerer bis hoher Sicherheit als solche klassifiziert wurden. Die Identifizierung und Klassifizierung von ICS-Honeypots erfolgt durch eine Analyse verschiedener Attribute. Neben der Untersuchung offener Ports und bekannter Signaturen kommen auch Netzwerk- und Verbindungsinformationen zum Einsatz.
Dies ermöglicht es, Honeypots in unterschiedliche Sicherheitsstufen einzuteilen und deren Einfluss auf die Gesamtbewertung von exponierten Steuerungssystemen einzuschätzen. Diese Methode hilft, falsche Alarme zu reduzieren und gibt Betreibern und Sicherheitsdiensten ein realistischeres Bild der ICS-Landschaft im Internet. Die Vielzahl der weltweit eingesetzten industriellen Steuerungsprotokolle erhöht die Komplexität der Risikoanalyse erheblich. Es gibt mindestens siebzehn weitverbreitete Protokolle, die in unterschiedlichsten Industriezweigen zum Einsatz kommen. Dazu zählen unter anderem Modbus, BACnet, IEC 60870-5-104 und proprietäre Protokolle wie Siemens S7.
Die breite Verteilung dieser Protokolle macht es erforderlich, gezielte und mehrschichtige Scan-Technologien zu entwickeln, die eine genaue Identifikation erlauben. Die geografische Verteilung der exponierten ICS zeigt, dass bestimmte Regionen mehr betroffen sind als andere. Insbesondere Länder mit umfangreichen Industrienetzwerken und schnell wachsender digitaler Infrastruktur weisen eine höhere Anzahl öffentlich zugänglicher ICS auf. Interessanterweise korrelieren die Verteilungsmuster auch mit der Anzahl der eingesetzten Honeypots, was darauf hinweist, dass Sicherheitsforscher und Unternehmen gleichermaßen daran arbeiten, ihre Systeme zu schützen und Angreifer in die Irre zu führen. Die wachsende Digitalisierung der Industrie und die Migration zu Industrie 4.
0-Prinzipien erhöhen die Vernetzung der Steuerungssysteme weiter. Dies führt zwar zu Effizienzsteigerungen und Flexibilität, bringt aber auch neue Sicherheitsherausforderungen mit sich. Die eingangs erwähnten kritischen Infrastrukturen sind von Störungen oder Angriffen besonders sensibel betroffen. Eine Kompromittierung kann nicht nur finanzielle Schäden verursachen, sondern im schlimmsten Fall Menschenleben gefährden und die öffentliche Sicherheit beeinträchtigen. Angesichts dieser Herausforderungen ist eine Kombination aus präzisen Messmethoden, automatisierten Anwendungsschicht-Scans und der Integration von Honeypot-Technologien essenziell für eine realistische Einschätzung der Bedrohungslage.
Betreiber von Industrie-Steuerungssystemen können so gefährdete Komponenten identifizieren und gezielt schützen. Gleichzeitig bieten die gesammelten Daten Sicherheitsforschern wichtige Einblicke, um neue Abwehrstrategien zu entwickeln. Die Rolle von Honeypots wächst in diesem Kontext stetig. Sie helfen nicht nur bei der Erkennung neuer Angriffsvektoren, sondern ermöglichen auch das Monitoring von Angreifern in Echtzeit. Besonders ausgefeilte Honeypots, die ICS-Protokolle und Verhaltensmuster glaubwürdig nachahmen, erschweren es Cyberkriminellen, echte von gefälschten Systemen zu unterscheiden.
Dies kann Angriffe abschwächen oder verzögern und Sicherheitsanalysten wertvolle Zeit verschaffen. Nichtsdestotrotz müssen Honeypots mit Bedacht eingesetzt werden. Eine zu offensichtliche Honeypot-Implementierung kann von Angreifern erkannt und umgangen werden. Außerdem besteht die Gefahr, dass Honeypots selbst zu Angriffszielen werden oder als Ausgangspunkt für Schadcode-Distribution missbraucht werden. Zukunftsweisend ist die Kombination aus innovativen Scan-Technologien, datengetriebenen Analysen und hybriden Schutzansätzen, die menschliche Expertise mit automatisierten Lösungen verzahnen.
