Cyberangriffe abwehren Gefahr aus dem Verborgenen

Führt ein wohlmeinender Mitarbeiter den scheinbar berechtigten Link aus, ermöglicht er Schadprogrammen den Zugriff auf das Gerät. Bösartiger ausführbarer Code breitet sich nun innerhalb des Unternehmensnetzwerkes aus.

Bild: Rockwell Automation; iStock, DRB Images
22.09.2016

Je stärker Maschinen und Anlagen vernetzt sind, desto anfälliger sind sie auch für Datendiebstähle und Sabotage. Ist ein Gerät im Unternehmen infiziert, greifen Schadprogramme schnell auf das ganze Netzwerk über. Schutz bietet eine Reihe von bewährten Verfahren und Verhaltensweisen.

Es ist ein häufiges Szenario bei Cybertattacken: Ein Mitarbeiter erhält eine offiziell aussehende E-Mail vom Verantwortlichen für IT-Sicherheit des Unternehmens. Diese fordert die Mitarbeiter dazu auf, sofort einen wichtigen Sicherheitspatch zu installieren. Dafür müsse lediglich auf den angegebenen Link geklickt werden. Führt ein wohlmeinender Mitarbeiter den scheinbar berechtigten Link aus, ermöglicht er Schadprogrammen den Zugriff auf das Gerät. Bösartiger ausführbarer Code breitet sich nun innerhalb des Unternehmensnetzwerkes aus. Kostspielige Sicherheitsvorkehrungen wie Firewalls, Systeme zum Erkennen und Vorbeugen von unerlaubten Zugriffen sowie Schwachstellenmanagement haben keine Chance mehr.

Arglose Anwender täuschen

Der übliche Ablauf bei Cyberattacken sieht folgendermaßen aus: Der Angreifer nutzt eine Schwäche im Netzwerk des Opfers, um die Malware einzuschleusen. Solche gezielten Übergriffe auf Schwachstellen in Soft- und Hardware nennt man Zero-Day-Attacken. Sie nützen Lücken aus, die unbekannt sind oder von den Herstellern der Komponenten noch nicht behoben wurden. Oft setzen die Angreifer auf das fehlende Verständnis der Anwender, gefälschte E-Mails oder Dateien zu erkennen. Der Malware-Code verwandelt das betroffene Gerät in eine sogenannte Botnetz- oder Zombie-Maschine. Sie sucht im Netzwerk nach weiteren unsicheren Geräten, auf die der Code weiterkopiert wird. Dadurch erhöht sich das Schadenspotenzial der Malware noch weiter. Außerdem werden die Netzwerkeigenschaften zurück an den Angreifer übermittelt, was dieser für zusätzliche Manipulationen nutzen kann.

Zero-Day-Angriffe werden erst erkannt, wenn ihre Ausbreitung und der dadurch entstandene Schaden bereits messbar sind. Je nachdem, welche Ziele die Angreifer verfolgen und auf welche Systeme sie Zugang haben, können dadurch Daten oder geistiges Eigentum entwendet, Diebstähle unterstützt, der Ruf des Unternehmens oder der Marke geschädigt und die Infrastruktur lahmgelegt oder zerstört werden.

Zero-Day-Attacken: 
Ein Milliardengeschäft

Eine sofortige Reaktion auf Zero-Day-
Angriffe ist aufwendig und meistens nicht besonders wirksam. Das liegt an der Funktionsweise der Malware. Sie agiert im Verborgenen und ist speziell darauf ausgelegt, kriminaltechnischen Maßnahmen zu entgehen und diese abzuwehren. Derartige Cyber-Angriffe sind Teil eines gigantischen, weltweiten Milliardengeschäfts. Jeden Tag entwickeln und verbreiten verschiedene Gruppen Zehntausende neue Varianten von Malware. Ein einheitliches Täterprofil gibt es nicht. Unter den Programmierern finden sich enttäuschte Mitarbeiter von Computerfirmen, unabhängige Opportunisten, staatliche Institutionen, wie zum Beispiel Geheimdienste, und politisch motivierte oder terroristische Organisationen.

Hoch entwickelte und komplexe Netzwerkarchitekturen, die über verborgene Kanäle einen anonymen Zugriff auf versteckte Dienste ermöglichen, verschärfen das Schadenspotenzial der Malware. Sogenannte AaaS-Netzwerke und -Tools (Anonymity as a Service) wurden vor Jahrzenten zur Unterstützung von Strafverfolgungsbehörden und Verteidigungsministerien entwickelt. Sie bieten offenen Zugang zu allen Computern mit Internetverbindung. Bei der Übertragung werden die Daten mehrschichtig verschlüsselt, um kritische Identifizierungsdaten zu verbergen, wie die Ausgangsadresse der Daten oder Informationen zur Benutzeridentifizierung. Eine angemessene Strafverfolgung ist dadurch nahezu unmöglich. Das macht Angriffe über die Netzwerke sehr attraktiv. In Zukunft wird die Anzahl der Übergriffe über diese Kanäle weiter zunehmen.

Schutz von Fertigungsanlagen

Die Bedrohung durch Cyber-Angriffe für produzierende Unternehmen lässt sich an der Vielzahl von Fälschungen und Kopien, von Fahrzeugen bis hin zu komplexer Militärausrüstung, erahnen, die den Markt überschwemmen. Hersteller müssen sich darauf einstellen, dass es Cyber-Kriminelle auf alle Arten von Produkten und geistigem Eigentum abgesehen haben. Eine genaue Betrachtung der einzelnen Bereiche von Produktionsanlagen kann Aufschluss über das Bedrohungspotential für einen Hersteller geben. Daraus lassen sich Maßnahmen ableiten für den Schutz seiner Investitionen und seines geistigen Eigentums.

Fertigungsbetriebe und andere Unternehmen versuchten bisher durch eigene Lösungen ihre Anlagen gegen Cyber-Angriffe zu schützen. Mit dem Anstieg der Bedrohungen und der Entwicklung technisch immer komplexerer Malware ist jedoch ein Umdenken erforderlich. Hersteller können sich zur Einhaltung der Produktionsanforderungen nicht allein auf das Prinzip „Sicherheit durch Unklarheit“ (Security through obscurity) verlassen. Darunter versteht man die Idee, Systeme zu schützen, indem ihre Eigenschaften und Spezifikationen geheim gehalten werden. Stattdessen vertrauen sie zunehmend auf industrielle Lösungen, die offene Standards, Tools und bewährte Verfahren einsetzen.

Erfolgreiche Verfahren 
zur Hackerabwehr

Das Herz der Netzwerksicherheit ist die Segmentierung. Sie sollte in jedem Werk eingesetzt werden. Das gewährleistet mehr Sicherheit und Effizienz bei der Verwaltung durch die Einrichtung einer industriellen demilitarisierten Zone (IDMZ), die das Netzwerk in kleinere Segmente oder Subnetze unterteilt. Bei diesem Verfahren wird die Sicherheit auf verschiedene Switch-Ebenen verteilt und der Zugang von Benutzern auf bestimmte vorgegebene Bereiche beschränkt.

Wichtig ist es außerdem, die Anwender in seinem Netzwerk zu kennen. Anwender sind in der Regel Personen oder Dienste von Betriebssystemen, die auf Netzwerkressourcen zugreifen. Je größer das Netzwerk, desto schwieriger wird die Koordination der einzelnen Berechtigungen von Mitarbeitern, Lieferanten, Maschinenbauern und Vertragspartnern. Betriebssysteme setzen zur Autorisierung und Bestätigung Dienste ein. Sie werden ebenfalls als „Anwender“ bezeichnet, da Systeme und Netzwerkadministratoren beim Zuweisen von Berechtigungen und Zugriffen dieselben Prinzipien anwenden. Typische Malware manipuliert Switch- und Router-Zugangslisten mit dem Ziel die Service-Account-Berechtigungen auszuweiten. Das ermöglicht dem Angreifer den Dienst mit den Berechtigungen eines Administrators zu nutzen und auf Fertigungsanlagen zuzugreifen. Um das rechtzeitig zu erkennen, empfiehlt sich vor allem ein einheitlicher und regelmäßiger Abgleich der Benutzer- und Service-Accounts mit den dokumentierten Vorgaben und Gerätespezifikationen.

Firmen sollten darüber hinaus ihre Lieferkette in Hinblick auf die Sicherheit überprüfen. Alle Hersteller sind auf Ausrüstung oder Produkte von anderen Zulieferern angewiesen. Auch sie können zum Ziel von Cyber-Angriffen werden. Fertigungsunternehmen sollten daher bei der Auswahl von Zulieferern und Partnern vorsichtig vorgehen und zum Beispiel um eine Offenlegung von deren Sicherheitsrichtlinien und -verfahren bitten.

Auch wenn normaler, unauffälliger Netzwerkbetrieb herrscht, müssen die IT-Sicherheitsexperten wachsam sein. Normaler Netzwerkbetrieb bedeutet nicht unbedingt, dass keine Gefahren bestehen. Cyber-Angriffe lauern im Verborgenen und sind speziell darauf ausgelegt, elektronische Sicherheitssysteme zu überwinden. Kriminelle Aktivitäten lassen sich früher erkennen, wenn Protokolle, Anmeldedaten und Zeitstempel regelmäßig auf unerwartete Änderungen hin überprüft werden.

Beim Fachpersonal sollten Unternehmen außerdem nicht sparen. Für die IT-Sicherheit bedarf es gut ausgebildeter Mitarbeiter. Um mit der Entwicklung der Schadprogrammen mithalten zu können, muss das dafür zuständige technische Personal regelmäßig in den Bereichen Mathematik, Informatik, Naturwissenschaften und Technologie (MINT-Fächer) weitergebildet werden. Investitionen in Aus- und Weiterbildung sind erheblich günstiger als Produktionsausfälle oder der Verlust kritischer Unternehmensdaten.

Bildergalerie

  • Die einzelnen Komponenten sind in einer modernen Produktion stark mit einander vernetzt. Erfolgreiche Attacken auf einzelne Elemente können deshalb leicht auf den Rest des Systems übergreifen.

    Die einzelnen Komponenten sind in einer modernen Produktion stark mit einander vernetzt. Erfolgreiche Attacken auf einzelne Elemente können deshalb leicht auf den Rest des Systems übergreifen.

    Bild: Rockwell Automation

Verwandte Artikel