Der digitalisierte Aufzug ist smart, vernetzt – und angreifbar. Wenn Cyberkriminelle die Kontrolle über die Steuerungssoftware gewinnen, ist Schicht im Schacht.
Der Aufzug bleibt mitten in der Fahrt stecken. Die Beleuchtung flackert, nichts geht mehr. Selbst auf den Notruf reagiert niemand. Ängstliche Blicke wandern durch die Kabine, von außen knirscht es. Dann reißen die Seile und der Aufzug rast ungebremst in die Tiefe.
Es ist ein Szenario wie aus einem Hollywood-Film. Zum Glück entspringen diese Bilder nur der Fantasie. Seit es Hochhäuser gibt, haben Menschen Angst vor einem Absturz der Aufzugskabine. Doch die Realität sieht ganz anders aus. Selbst wenn mehrere Stahlseile reißen, wie im November 2018 in einem Chicagoer Wolkenkratzer, kommen die Betroffenen mit dem Schrecken davon.
Absturz des Aufzugs unmöglich
„Derzeit ist es unmöglich, dass ein Aufzug einfach abstürzt“, erklärt Stefan Löbig, Geschäftsfeldleiter Fördertechnik von TÜV Hessen. „Wenn der Fahrkorb zu schnell wird – aus welchen Gründen auch immer – verhindert eine mechanische Vorrichtung den freien Fall“. Der Schutzmechanismus ist so alt wie die Aufzüge selbst. Der Fahrkorb ist mit einer Fangvorrichtung gesichert. Sobald ein zu hohes Tempo erreicht wird, sorgt ein Geschwindigkeitsbegrenzer für den Halt im Schacht.
Noch funktioniert der Begrenzer mechanisch, um die Fangvorrichtung auszulösen. Allerdings existieren in modernen Aufzügen bereits elektronische Steuerungen, die das notwendige Bremsmanöver einleiten, wenn die Geschwindigkeit einen gewissen Sollwert überschreitet. Manche Gebäude verfügen zudem über Aufzugsanlagen mit mehreren Kabinen pro Schacht. Hier steuern intelligente Systeme die sichere Beförderung. Doch die Elektronik ist angreifbar, inklusive möglicher Manipulationen an der Fangvorrichtung. Die Technik entwickelt sich weiter, konstant und rasant. „Einige Hersteller testen bereits die Aufzüge der Zukunft“, weiß Stefan Löbig. „Diese Anlagen kommen ganz ohne Tragseil aus und fahren auf elektromagnetischen Schienen von oben nach unten – und sogar von links nach rechts. Diese Entwicklung soll 2020 in Berlin erstmals zum Einsatz kommen.“
Safety trifft Security
Mit der zunehmenden Vernetzung von Anlagen im Internet der Dinge entstehen an vielen Orten neue und digitale Gefahren. Nicht nur in intelligenten Gebäuden trifft die Maschinensicherheit (Safety) auf Herausforderungen aus dem Bereich der Informationssicherheit (Security). Wenn die Elektronik oder die Steuerung mit dem Internet verbunden ist, kann der Aufzug gehackt wird. Cyberangriffe könnten den Lift zwischen den Etagen anhalten, den Notruf blockieren – oder bei neueren Systemen eine Kollision auslösen.
Um die digitalen Schwachstellen eines Aufzugs zu ermitteln, analysierte TÜV Hessen kurzerhand die Lifte im eigenen Gebäude. Dabei wurde das Team um Björn Eibich, Bereichsleiter Cyber- und Informationssicherheit von einem langjährigen Partner unterstützt. Die ausgebildeten und zertifizierten Spezialisten der QGroup ergänzten das Hacker-Team mit ihrem Know-how aus zahlreichen IT-Sicherheits-Projekten. „Wir wollten mit unserer Kenntnis des Gebäudes gezielt und systematisch nach Schwachstellen suchen“, beschreibt Björn Eibich die Herausforderung. Aus den Ergebnissen sollte eine Blaupause entstehen – denn die Sicherheitslücken des Aufzugs in der Darmstädter TÜV Hessen-Zentrale sind mit hoher Wahrscheinlichkeit auch in baugleichen Modellen vorhanden.
Software bietet viele Angriffspunkte
Da nahezu jedes elektronische System Schwachstellen enthält, wurden die TÜV-Hacker schnell fündig. Kaum war der Schaltschrank offen, zeigte die Untersuchung die ersten Ergebnisse. Beispielsweise konnte das Team um Björn Eibich und QGroup-Geschäftsführer Thomas Blumenthal auf die Administratoren-Ebene der Steuerung zugreifen. Wenn Cyberkriminelle diese Sicherheitslücke entdecken, könnten sie den Aufzug nach Belieben lenken – oder zwischen den Etagen jederzeit stoppen. „Das ist zunächst nichts lebensbedrohliches“, erklärt Björn Eibich, „aber es ist ein Ansatzpunkt um in einem kombinierten Cyberangriff auf ein Gebäude eine Panik auszulösen. Auch eine Geiselnahme mit anschließender Erpressung wäre denkbar“
Bei der Auswahl ihrer Opfer gehen die Kriminellen in den seltensten Fällen gezielt vor. Im Gegenteil: Die Popularität von Systemen wie Windows ist ihr Vorteil. Je mehr Office-Pakete in Unternehmen verwendet werden, umso wahrscheinlicher ist eine erfolgreiche Attacke. „Kleine oder mittelständische Unternehmen sind zumeist gar nicht das Ziel“, bestätigt Björn Eibich. „Die Angreifer nutzen einfach die Lücken der Massenware aus, um ihre Malware möglichst breit zu streuen.“ Das Ergebnis sind viele Kollateralschäden. Häufig ist die veraltete Software ein Angriffspunkt, den Cyberkriminelle ausnutzen können. Denn ohne Internet-Verbindung besteht keine Gefahr. Die Schwachstellen können erst ausgenutzt werden, wenn sie online erreichbar sind. Dann wird es allerdings schnell bedrohlich. Fehlende Updates sind eine willkommene Einladung, um die IT-Infrastruktur zu kapern und Lösegeld zu erpressen.
In der Zentrale von TÜV Hessen sind solche Konsequenzen nicht zu befürchten. Zum einen wurden die Schwachstellen mittlerweile behoben, zum anderen ist der Aufzug nicht mit dem Internet verbunden. Ein Zugriff von außen ist derzeit also nicht möglich. Weil die Steuerung aber die entsprechenden Schnittstellen enthält, könnte die Sicherheitslücke in anderen Aufzügen vorhanden sein.
Kombinierte Prüfungen
Von den Ergebnissen des internen Hacks profitieren Gebäudebetreiber und Facility Manager unmittelbar. „Wir wollen unseren Kollegen möglichst schnell eine Checkliste zur Verfügung stellen, damit sie bei einer Aufzugsprüfung auch gezielt nach der IT-Sicherheit fragen können“, sagt Björn Eibich. „Weil immer mehr Steuerungsaufgaben digitalisiert werden, sollten die Systeme rundum geschützt sein, um Gebäudeanlagen sicher zu betreiben“, ergänzt Stefan Löbig, „Das geht weit über die mechanische Prüfung hinaus.“
Die Cyberexperten können dafür die Aufzugsprüfung bereits im Vorfeld unterstützen. Eine Ist-Analyse könnte erste Anhaltspunkte liefern, wie umfangreich das Sicherheits-Update wird. Der Hack der eigenen Anlage zahlt sich dabei aus. „Anhand der IP-Adresse können wir bereits die einzelnen Geräte bestimmen und die passenden Lösungen bereitstellen“, sagt Björn Eibich. Eine digitale Unterstützung ist ebenfalls denkbar. Dafür wird die reguläre Aufzugsprüfung lediglich um relevante Fragen zur IT-Sicherheit ergänzt. Die vorhandenen Schwachstellen werden anschließend von einem Mitarbeiter der Business Unit Cyber- und Informationssicherheit beseitigt. Damit die Aufzüge auch in smarten und vernetzten Gebäuden die Menschen sicher von Etage zu Etage transportieren.