Hacker entdeckt Sicherheitslücke bei Tankstellen

Manipulierte Treibstoffpreise, gekaperter Zahlungsverkehr: Sicherheitslücken machen Tausende Tankstellen für Hacker angreifbar. Aron Molnar, A1 Digital Security-Experte und einer der besten Hacker Europas, gibt Tipps, wie sich Tankstellenbetreiber vor Cyberangriffen schützen können.

Unbekannte verschaffen sich über das Internet Zutritt zur seriellen Schnittstelle einer Tankstelle. Sie legen das Tankstellensystem lahm, manipulieren die Treibstoffpreise sowie die Füllstände der Treibstofftanks und umgehen die Zahlungsterminals, um den Zahlungsverkehr zu kapern. Anschließend stehlen die Unbekannten gespeicherte Kundenidentitäten samt Fahrzeugkennzeichen. Nach wenigen Minuten ist der Cyberangriff vorbei – ohne dass die Täter auch nur einen Fuß in die Tankstelle gesetzt haben.

 

Rund drei Prozent aller US-amerikanischen Tankstellen ohne Passwortschutz

Was wie der Plot eines Hollywood-Blockbusters klingt, ist leider reale Bedrohung. Bereits im Jahr 2015 stellte der US-amerikanische Security-Anbieter Rapid7 bei einer landesweiten Untersuchung in den USA fest, dass von den ungefähr 150.000 Tankstellen des Landes über 5.300 ohne Passwortschutz mit dem Internet verbunden waren. Das sind rund drei Prozent aller Tankstellen der USA.

 

Auch deutsche Tankstellen betroffen

Jetzt, vier Jahre später, haben die Security-Experten von A1 Digital bei einer Untersuchung deutscher Tankstellen ebenfalls Schwachstellen in einer Steuereinheit gefunden, mit der Kriminelle in der Lage sind, Tankstellensysteme zu sabotieren und diese zu ihren Gunsten zu manipulieren. „Die betroffene Steuereinheit wird von Tankstellen weltweit verwendet. Auch in Deutschland und Österreich kommt sie zum Einsatz“, sagt Aron Molnar, Security-Experte bei A1 Digital und einer der besten Hacker Europas. Die Schwachstelle betrifft ein sogenanntes Embedded System, ein eingebettetes System, von dem weltweit mehrere Zehntausend Einheiten installiert wurden und die nach wie vor online sind. Hacker wären so in der Lage, via Fernzugriff die Kontrolle über betroffene Tankstellensysteme zu erlangen.

 

72 Prozent aller Unternehmen betroffen von Cyberangriffen

Neben all den Vorteilen, die die Digitalisierung mit sich bringt, sind Angriffe von Cyberkriminellen einer der wenigen Nachteile. Laut einer aktuellen Studie des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG waren 72 Prozent aller Unternehmen in den vergangenen zwei Jahren Monaten Opfer von Cyberangriffen, 50 Prozent litten in Folge unter einer Unterbrechung ihrer Geschäftsprozesse. „Noch immer gibt es bei Unternehmen unzureichende Sicherheitskonzepte und fehlt es am Problembewusstsein“, stellt Aron Molnar fest. Außerdem gab es im vergangenen Jahr pro Tag durchschnittlich 40 neue Sicherheitslücken in Infrastruktur- und Anwendungskomponenten.

 

Verborgene Arbeiter: eingebettete Systeme

Embedded Systems arbeiten in Haushaltsgeräten, medizinischen Apparaturen und Logistiksystemen und steuern wichtige Aufgaben, die unseren Alltag einfacher und sicherer machen. Jährlich werden mehr als drei Milliarden eingebetteter Komponenten und Geräte angeschlossen, in denen 98 Prozent aller produzierten Mikroprozessoren verbaut werden, so eine Erhebung des Innovationszentrums Smart Embedded Systems des Fraunhofer-Instituts Kaiserslautern. „Anhand dieser Dimension wird deutlich, dass unsere heutige Gesellschaft und unsere Wirtschaft ohne Embedded Systems nicht existieren könnte“, sagt Molnar. Entsprechend hoch seien die Vorgaben an die Zuverlässigkeit und die funktionale Sicherheit solcher Systeme. „Systemische Schwachstellen sind somit keine Option, vor allem dann nicht, wenn durch Sicherheitslücken wie bei Tankstellen eine Gefahr für Menschen und Umwelt ausgeht.“

Reelle Gefahr eines Hacks

„Im aktuell vorliegenden Fall wurde die Steuereinheit, die ursprünglich nur dem Vor-Ort-Personal der Tankstellen zugänglich war, in ein zentrales System integriert und mit dem Internet verbunden“, so der Experte. „Da diese Steuereinheit in der Konzeptionierung nicht darauf ausgelegt war, mit dem Internet verbunden zu werden, fehlen auch Sicherheitsmaßnahmen und -konzepte wie Berechtigungssysteme oder Verschlüsselung.“ Es ist auch denkbar, die vernetzten Steuerungssysteme zu kapern und als Sprungbrett zu anderen, internen Systemen zu missbrauchen. Angreifer wären damit potenziell in der Lage, Zugang zu weiteren Schnittstellen zu erlangen, Treibstoffpreise zu manipulieren oder die Zahlungsterminals zu umgehen und den Zahlungsverkehr zu kapern.

 

Alte onlinefähige Geräte werden zu oft vernachlässigt“

Aron Molnar: „Wenn es um internetfähige Geräte, Systeme oder Systembestandteile geht, konzentrieren sich Unternehmen oft vorrangig auf neue und innovative Vorrichtungen. Dabei vernachlässigen sie jedoch Systeme, die bereits vor vielen Jahren installiert und dann vergessen wurden – und damit für Angreifer eine mögliche Eintrittspforte in das Unternehmensnetzwerk darstellen.“ Nicht nur für Tankstellenbetreiber sind die Folgen eines dadurch entstehenden Schadens nur schwer absehbar. „Denken Sie an einen Angriff auf die Stromversorgung eines Landes – wie etwa jenen von 2015 auf der Halbinsel Krim. Durch das Ausnutzen der vorliegenden Sicherheitslücke könnte man bereits im Vorfeld Tankstellen so manipulieren, dass kein Treibstoff mehr nachbestellt wird. Damit kann ein Angreifer auf die Treibstoffversorgung nicht nur von Fahrzeugen, sondern auch Notstromgeneratoren Einfluss nehmen und lokale Engpässe schaffen.“

 

„Security schon bei der Planung solcher Systeme berücksichtigen“

Security-Experte Aron Molnar empfiehlt deshalb Tankstellenbetreibern einerseits, in die Jahre gekommene Tankstellennetzwerke auf Sicherheitslücken hin überprüfen zu lassen. „Zum anderen raten wir Betroffenen, bereits bei der Produktimplementierung neueste Sicherheitsaspekte zu berücksichtigen und entsprechende Systeme regelmäßig auf ihre Sicherheit hin zu überprüfen. Systeme, die man nicht absichern kann, müssen abgeschottet werden – und bleiben“, sagt Molnar.

 

Vier Fragen an Aron Molnar, Security-Experte bei A1 Digital

Wann ist die Sicherheitslücke das erste Mal öffentlich geworden?

Aron Molnar: Zum ersten Mal wurde diese Sicherheitslücke Anfang 2015 entdeckt, als das US-amerikanische Technologie-Unternehmen Kachoolie, ein Hersteller von Produkten für die Mineralöl- und Erdgasindustrie, durch Zufall darauf gestoßen war. Im Anschluss ergab eine US-weite Untersuchung, dass von den ungefähr 150.000 Tankstellen des Landes rund 5.300 ohne Passwortschutz mit dem Internet verbunden waren.

 

Welche Daten können durch die Sicherheitslücke nach außen gehen? Und welchen Schaden kann das anrichten?

Aron Molnar: Es können Daten ausgelesen werden wie etwa der Füllstand, Temperatur, Treibstoff-Anlieferungen der letzten Zeit. Es können außerdem Tests gestartet und Daten verändert werden wie etwa Warnungen, dass Tanks vermeintlich leer sind und Treibstoff nachbestellt werden müsse.

 

Welche Lösungen bietet A1 Digital für diesen Sicherheitsvorfall an?

Aron Molnar: Da es sich um eine Netzwerkdesign-Schwachstelle handelt, gibt es hier keine One-size-fits-all-Lösung. Grundsätzlich können wir die Geräte in ein abgeschottetes Netzwerk integrieren, sodass sie nur noch über das jeweilige Firmensystem erreichbar und nicht öffentlich sind.

 

Was empfehlen Sie betroffenen Kunden, wie sie mit solchen Vorfällen umgehen sollten?

Aron Molnar: Wir empfehlen, dass – ganz besonders im Bereich der Industrie – Sicherheit im Sinne der Security bereits bei der Planung entsprechender Systeme berücksichtigt werden muss. Systeme, wie die der betroffenen Tankstellen, die nicht öffentlich erreichbar sein dürfen, müssen unbedingt abgeschottet werden.