ENISA - Kritische Infrastrukturen in Europa sind nicht ausreichend auf Cyberspionage-Angriffe vorbereitet

Kritische Infrastrukturen in Europa sind nicht ausreichend auf Cyberspionage-Angriffe vorbereitet - etwa von Informationen stehlender Malware wie Duqu. Das geht aus einem Bericht (PDF) der EU-Cybersecurity-Behörde Enisa hervor.



Bericht: https://www.enisa.europa.eu/media/news-items/duqu-analysis

Industriellen Kontrollsystemen (ICS) mangelt es demnach an Sicherheitsstandards, Richtlinien und Vorschriften. "Europa fehlen insbesondere spezifische Initiativen und Verfahren, um die Sicherheit von ICS zu gewährleisten", heißt es in dem Bericht. Es gebe eine "Vielzahl technischer Schwachstellen", und das Management von Unternehmen sei nicht ausreichend involviert.

Im ersten Quartal 2012 will die EU-Sicherheitsbehörde eine Studie veröffentlichen, die sich mit der Sicherheit europäischer Systeme beschäftigt. Nach eigenen Angaben hat die Enisa über 100 Bedrohungen und Herausforderungen identifiziert. Zudem enthält der Bericht eine Umfrage zu existierenden paneuropäischen und internationalen Sicherheitsvorkehrungen für ICS.

Duqu ist ein mit Stuxnet verwandter Trojaner. Seine Autoren hatten Symantec zufolge Zugriff auf den Quelltext von Stuxnet. Während letzterer aber Industriekontrollsysteme (Scada) von Siemens ins Visier nahm und damit anscheinend das Kernforschungsprogramm des Iran sabotieren wollte, installiert Duqu auf Windows-Systemen eine Hintertür und sammelt Dokumente wie Konstruktionspläne.

Ein unabhängiger Sicherheitsforscher hatte Duqu im Oktober entdeckt und ihn Sicherheitsfirmen wie McAfee und Symantec gemeldet. Der Trojaner nutzt eine Zero-Day-Lücke in Windows aus, um Rechner mittels manipulierter Word-Dateien zu infizieren. Microsoft zufolge steckt ein Fehler in der Verarbeitung von Win32k-Truetype-Schriften. Seit Anfang November steht ein temporärer Fix für die Schwachstelle zur Verfügung."

Quelle: http://www.zdnet.de/news/41558528/enisa-europa-ist-nicht-auf-duqu-vorbereitet.htm

"Industriellen Kontrollsystemen (ICS) mangelt es demnach an Sicherheitsstandards, Richtlinien und Vorschriften."

"Es gebe eine "Vielzahl technischer Schwachstellen", und das Management von Unternehmen sei nicht ausreichend involviert."

Aussagen, die sich leider nicht nur auf industrielle Kontrollsysteme (SCADA) beschränken.

Und die Situation wird durch den derzeitigen Trend, die Vernetzung von allen möglichen (unsicheren) Systemen, wahrscheinlich noch weit kritischer. Als besonderes Negativbeispiel muss hier die Thematik Smart Metering angeführt werden. Durch die Absicht, ein in den Kinderschuhen steckendes System, in die hoch kritische Infrastruktur der Stromversorgung zu implementieren, ohne gleichzeitig die negativen Erfahrungen der IKT-Welt aus den letzten Jahrzehnten zu berücksichtigen, werden kaum abschätzbare Risiken für die gesamte Gesellschaft eingegangen.