Wurde die Nürnberger U-Bahn gehackt?
Wer vorgestern den Report aus München im ersten Programm gesehen hat der mochte seinen Augen nicht trauen: Eine U-Bahn in „einer deutschen Großstadt“ wurde demonstrationshalber von einem Herren namens Marco di Filippo gehackt – oder scheinbar doch nicht, so genau weiß man das nicht. Zweck der Übung war, zu demonstrieren, wie verwundbar wichtige Infrastruktur für islamistische Angriffe eines „Cyber-Terrorangriffs“ sei. Bei der U-Bahn, die als Demonstrationsobjekt herhielt, handelte es sich um die Nürnberger U-Bahn, genauer: Ziel des Angriffs war die Steuerung der vollautomatischen, fahrerlosen U-Bahnen der Linien 2 und 3.
Der Bericht ist übrigens auf den Seiten das Bayerischen Rundfunks zu sehen.
Bevor ich mich mit der VAG beschäftige, möchte ich einmal etwas auftrennen, was in meinen Augen nicht ursächlich zusammenhängt, nämlich den islamisch motivierte Terrorismus auf der einen Seite und die Angreifbarkeit von Infrastruktur – sofern ihre Steuerung vernetzt oder fernwartbar ist – auf der anderen Seite: Beides hat nicht zwingend etwas miteinander zu tun, denn der reine Umstand, dass ein technisches Netzwerk immer angreifbar ist, hat noch nichts mit der Motivation den Angreifer zu tun. Insofern sehe ich auch nicht, dass die Nürnberger U-Bahn ein besonders beliebtes Angriffsziel sein sollte – warum auch?
Interessant ist für mich noch ein anderer Aspekt: Wenn jemand „aus Hackerkreisen“ eine entsprechende Demonstration fährt, dann ist – aller Erfahrung nach – zuallermeißt mindestens einer der folgenden zwei Punkte gegeben, die dem Demonstrationsgegenstad innewohnen: Entweder ist das Demo-Objekt leicht zu hacken oder aber der Hack ist echt spektakulär. Zu letzteren Fällen zähle ich auch Hacks, die für sich genommen keine per se spektakulären Objekte betreffen, sondern Objekte die vielverbreitet, omnipräsent sind. Nun kann ich an dieser Stelle nur mutmaßen, allerdings drängt sich mir die Frage auf, ob im Falle der Steuerung der fahrerlosen U-Bahn in Nürnberg nicht tatsächlich beides der Fall war. Wer den entsprechenden Bericht der Nürnberger Zeitung zwischen den Zeilen liest und das Video des BR mitsamt den Kommentaren von Herrn Filippo einmal aus dieser Perspektive auf sich wirken lässt, der könnte unter Umständen zu so einem Schluss kommen.
Zahllose computerbasierte Systemsteuerungen seien so schlecht gesichert, dass sie von außen problemlos angegriffen, ja übernommen werden könnten. (Quelle: NZ)
Das für sich genommen ist nichts Neues; das es die Nürnberger U-Bahn getroffen hat, ist angesichts der Komplexität ihrer Steuerung aber auch nicht verwunderlich. Je komplexer eine Steuerung ist, je mehr Hierarchien auf diese Steuerung zugreifen können, desto größer ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke findet und zu nutzen versteht. Die möglichst exakte und kleinteilige Fernwartbarkeit und ein möglichst lückenloses Monitoring begünstigen genau diesen Umstand.
Und: An dieser Stelle muss ich leider etwas ätzen: Schon bei Stuxnet war es eine Siemens-Steuerung, die Kern des Angriffs war. Und im Video zu sehen ist die Softwaresteuerung einer Simatic. Ich gehe davon aus, dass man beim BR so sorgfältig arbeitet, dass das keine „Symbolscreenshots“ waren.
Über die Reaktion der VAG wundere ich mich sehr. Ich kann das Beschwichtigen der Pressesprecherin nicht verstehen. Eine gute Krisen-PR sieht erst mal anders aus, außerdem ist auch die VAG vor einem generell existierenden Problemkomplex nicht gefeit. Dies einfach zu behaupten trägt im Übrigen nichts zur Erhöhung der Sicherheit bei. Ich hätte mir als Statement seitens der Verkehrsbetriebe erstens ein klares Bekenntnis zu in solchen Fällen einzuleitenden unabhängigen Audits von absoluten Profis erwartet (nicht nur von VAG-Leuten, Betriebsblindheit, wissenschon, sowas muss extern bearbeitet werden). Ich hätte weiterhin erwartet, dass man Herrn di Filippo – öffentlich – einlädt und ihn seinen Hack seine Simulation demonstrieren lässt. Außerdem hätte ich mir die Demut gewünscht, einzugestehen, dass es eine wirklich sichere Anlagensteuerung nicht geben kann. Nichts dergleichen ist passiert. Stattdessen wird die VAG-Pressesprecherin wie folgt zitiert:
Er hat uns nicht gehackt. Dies wäre auch strafbar. (Quelle)
Ohgottohgottohgott!! „Dies wäre auch strafbar“ – einmal Naivität für 500, bitte! Der BR zeichnete im Groben folgendes Szenario: Wir sind von islamistischen Cyber-Terror verwundbar, weil unsere Infrastruktur angreifbar ist (wie gesagt, ich halte das für einen Fehlschluss, wir sind nicht von Islamisten allein angreifbar, wir sind von jedem angreifbar, der die Technik beherrscht – und darunter fallen logischerweise als Teilmenge auch Islamisten, klar). Dem cyber-terrorisierenden Taliban, liebe VAG, dürfte es allem Ermessen nach scheißegal sein, ob dies auch strafbar wäre.
Um gleich dem nächsten Fehlschluss hinterherzusteigen: Der NZ-Journalist resümiert am Ende seines Artikels:
So oder so: Viele kommunale IT-Systeme sind offenbar sehr verwundbar. Ob die U-Bahn-Steuerung VAG dazu- gehört, die Kraftwerks-Steuerung N-Ergie oder gar die Stadt Nürnberg selbst, bleibt vorerst offen. (Quelle)
Wieso? Wieso sollen gerade die kommunalen Systeme sich für derartige Angriffe besonders anbieten? Was hat das Kraftwerk der N-ERGIE oder gar die Stadt selbst nun mit den (möglicherweise vorhandenen) Sicherheitslücken der RUBIN-U-Bahn zu tun? Ich sehe da keinen zwingenden Zusammenhang. Ich bin tatsächlich der Meinung: Es kann leider jeden treffen. Wichtig ist, seine eigenen Security auf möglichst hohem Niveau zu halten, um nicht die grinsende Beute potenzieller Angreifer zu werden. Wichtig ist auch, zu begreifen, dass IT-Sicherheit ein prozesshaftes Ding ist und tagtäglich erstritten und gewahr werden will.
Weiterhin: Wirklich kritische Infrastruktur gehört, auch wenn die Alternative im Zweifel sauteuer ist (z.B. Standleitungen) einfach nicht ans Internet. Und auch nicht zwingend ans öffentliche Telefonnetz (Anachronismusalarm! Das öffentliche Telefonnetz ist ja quasi das Internet. Ich prangere das an, ernsthaft!). Der Aufwand, den dann ein Angreifer betreiben müsste, wäre nämlich ungleich höher und würde auch die Anwesenheit des Angreifers vor Ort voraussetzen, was Ergreifbarkeit oder Verhinderung ermöglicht – und für den Angreifer ungleich höhere Risiken mit sich bringt. Einfach nur zu behaupten, die eigenen Systeme seien sicher, bringt: Nichts.
Btw.: Ich bin kein IT-Sicherheitsexperte. Das was ich hier zum Thema IT-Sicherheit fallen lasse, sind allgemein anerkannte und ganz basale Axiome. Sie sind so geläufig, dass sie schon fast wie Plattitüden wirken. Ich bin mir dessen vollauf bewusst. Umso mehr erschreckt es mich, dass dieses Basiswissen weder bei den Damen und Herren Journalisten noch bei Unternehmen wie der VAG gesetzt ist. Vielleicht ist ja genau dieser Umstand die eigentliche, gravierendere Sicherheitslücke.
Update, 17.01.2015, 17:40: Der Herr Felme von der Stadt Nürnberg hat´s übrigens begriffen.