BlackIoT: Smarte Stromfresser sind gute Hacker-Tools

Ganze Stromnetze lahmlegen? Ganz einfach, sagen Security-Forscher. Mit einem Botnetz aus smarten Haushaltgeräten. Zum Beispiel.
 
"Das ist wirklich interessante Forschung", sagt Security-Guru Bruce Schneier über ein Papier, das "BlackIoT" übertitelt ist. Die drei Forscher der Princeton Universität selbst künden an: "Wir demonstrieren, dass ein Internet der Dinge, ein Botnet von Geräten mit hoher Wattleistung – wie Klimaanlagen und Heizungen – Angreifern die einzigartige Möglichkeit gibt, koordinierte Grossangriffe auf das Stromnetz zu starten."
 
Das heisst in Konsequenz, ganz banal und erschreckend zugleich, dass das IoT und andere Netzwerke wie das Stromnetz so direkt voneinander abhängig sind, dass Kriminelle über Infrastruktur-Netze hinweg Attacken fahren können.
 
Die Angriffstechnik heisst "MadIoT", die Manipulation der Nachfrage nach Strom. Die Forscher haben gleich fünf MadIoT-Angriffsvarianten entdeckt und in "State-of-theArt"-Simulationen durchgetestet.
 
Das Fazit der Forscher: "MadIoT-Angriffe führen zu lokalen Stromausfällen und im schlimmsten Fall zu grossflächigen Blackouts".
 
Ein solcher Blackout ist nicht nur Fiktion, sondern Wirklichkeit: In der Ukraine wurde im Dezember 2015 225'000 Menschen mit einer Cyberattacke der Strom abgeschnürt. Dort wurde der Angriff auf die physische Infrastruktur via das "Supervisory Control and Data Acquisition"-System (SCADA) ausgeführt, welches das Stromnetz überwacht und steuert.
 
Auch wurden kleinere Angriffe auf regionale Grids ausgeführt, beispielsweise 2018 in USA.
 
Dabei sei Manipulation der Strom-Nachfrage im ganz grossen Stil möglich, so die Forscher: Ein Botnetz aus elektrischen Wassererhitzern von der Grösse von Mirai "kann die Stromnachfrage in einer Region sofort um 3000 Megawatt verändern!" so die Forscher. Das sei vergleichbar mit einer erfolgreichen Übernahme des weltgrössten AKWs.
 
Das Resultat solcher Manipulationen seien Instabilitäten, kaskadierende Ausfälle und steigende Betriebskosten für die Netzbetreiber. Und Hacker könnten den Zeitpunkt ihrer Attacke frei wählen.
 
Die Forscher weisen in ihrem im August publizierten Bericht nicht auf Sicherheitslücken in bestimmten Haushaltsgeräten hin und zeigen auch nicht, wie genau diese gehackt werden könnten. Sie gehen von der Prämisse aus, dass viele dieser Geräte irgendwie kompromittiert und von Hackern kontrolliert werden könnten.
 
Dies ist wohl eine realistische Annahme angesichts der unzähligen Schwachstellen, die andere Sicherheitsforscher und Hacker im IoT und "smarten" Devices entdeckt haben. Der Rat der Forscher an Netzbetreiber und IoT-Anbieter ist denn auch banal: Beschäftigt euch ernsthaft mit dem Thema. Explizit angesprochen seien auch die Gesetzgeber, so die Wissenschafter.
 
Am preiswertesten und einfachsten wäre vermutlich die Härtung der IoT-Devices, aber hierfür scheinen die Incentives für die Branche noch zu fehlen. (mag)