2 Bewertungen

Ransomware-Attacken auf Industrieanlagen verhindern Wenn der Hacker die Steuerung übernimmt

publish-industry Verlag GmbH

Wettrüsten zwischen Hackern und Produktionen: Um gegen immer wachsende Cyberrisiken zu bestehen, kommen Unternehmen nicht um Investitionen in die Cybersecurity herum.

Bild: iStock, FroYo_92
30.08.2017

Mit Ransomware nehmen Cyberkriminelle immer öfter Steuerungssysteme und damit ganze Fertigungen in Geiselhaft. Wie sich Unternehmen wehren können und welche IT-Trends den Hackern in die Hände spielen, erklärt Doug Wylie, Director Industrials & Infrastructure Portfolio beim SANS Institute.

Sponsored Content

Seit etwa zwei Jahren vollzieht sich eine Trendwende im Bereich Ransomware: Cyberkriminelle kapern Steuerungssysteme (Industrial Control Systems, ICS) und legen somit ganze Produktionsstraßen lahm, um Lösegeld zu erpressen. Nach diesem Prinzip agiert beispielsweise die Ransomware LogicLocker.

Achillesferse Industriesteuerung

Eine Gruppe von Forschern untersuchte den Schadcode von LogicLocker, der die Parameter einer SPS-Steuerung ändern kann. Befindet sich ein solches Werkzeug in den Händen von Cyberkriminellen, verleiht es ihnen die Macht, schnell und effektiv Lösegeld von ihren Opfern zu erpressen. Deshalb spielt der Schutz der ICS eine signifikante Rolle, vor allem auch hinsichtlich des Fernwartungsaspekts.

ICS und IIoT (Industrial IoT)-Komponenten wie Controllersoftware wurden bislang in ihrer Entwicklung nicht schwerpunktmäßig auf Security by Design ausgelegt, sondern auf Funktionalität und Integrierbarkeit. In der OT (operational IT) werden gänzlich andere Anforderungen an Soft- und Hardware gestellt, als bei der IT (Temperatur, Protokolle, Interoperabilität etc.).

Verhängnisvoller Update-Geiz in der Industrie

Immer mehr ICS-Geräte, alles schwer aktualisierbare Systeme, laufen im Grunde genommen „offen“ ohne jeden Schutz nach außen. Getreu dem Motto „never change a running system“ scheuen sich viele Unternehmen davor, ihre Systeme regelmäßigen Updates zu unterziehen.

Automatisierungs- und Steuerungssysteme stehen nur selten still, wenn überhaupt nur auf Grund eines mechanischen Versagens, eines Leistungsabfalls oder eines Mangels an Produktionsressourcen. Die ICS-Produktivität misst sich an der Fähigkeit des Systems, eine bestimmte Menge eines Produkts oder einer Dienstleistung (bei KRITIS beispielsweise Strom- und Wasserversorgung) innerhalb eines bestimmten zeitlichen Rahmens zu produzieren.

Updates kosten Zeit - fehlende Updates kommen teuer zu stehen

Demnach haben Produktionsausfallszeiten einen Preis und Geschäftsauswirkungen, die sich messen lassen. Updates und Pachtes rauben Zeit und können die Produktionsabläufe stören, denn sie könnten Konfigurationen und manuelle Anpassungen im Zusammenspiel zwischen Betriebssystem und Software zerstören. In allen Fällen wird der Betrieb der ICS, die eigentlich für den Dauerbetrieb konzipiert sind, während eines Patch-Upgrades unterbrochen.

Deshalb werden oftmals nicht alle Patches ausgerollt und nicht jedes Update installiert, ein Alptraum für jeden IT-Sicherheitsverantwortlichen. Diese „Offenheit“ und das lückenhafte Patch-Management der Systeme wirken wie eine Einladung auf Cyberkriminelle. Denn die Angreifer suchen ganz gezielt nach veralteten Versionen und versuchen über bekannte Schwachstellen die Systeme zu kompromittieren.

Wenn der Mut zur Lücke die Produktion gefährdet

Der Denkfehler der OT-Planer liegt an den gänzlich anderen Anforderungen: Sie riskieren lieber eine Lücke in ihrem System, als dass sie die Produktionsabläufe durch fehlerhafte Konfigurationen gefährden. Ein Produktionsausfall auf Grund eines erfolgreichen Angriffs erweist sich jedoch oft als wesentlich dramatischer und langwieriger, wenn die Kontrolle über die Systeme zurückgewonnen werden muss.

Die Cyberkriminellen richten nicht nur auf finanzieller Ebene Schaden an, sie zerstören auch den Ruf des Unternehmens. Bestehende Kunden werden sich nach Wettbewerbern umsehen, die die fehlenden Bauteile sofort produzieren und liefern können.

Wachsende Cybergefahr

Und das Risiko eines Angriffs vergrößert sich jedes Jahr, denn die Angreifer sammeln im Netz, aber auch auf anderen Wegen, immer mehr Informationen für zielgerichtete Attacken. Im Rahmen der Studie Securing Industrial Control Systems 2017, durchgeführt vom SANS Institute, wurden 196 Experten aus dem ICS-Umfeld zu ihrer Wahrnehmung von Cyberrisiken befragt.

69 Prozent der Teilnehmer glauben, dass es einen Anstieg bei Cyber-Gefahren gegeben hat. Aus der Sicht der Befragten geht die größte Gefahr von Geräten aus, die im Zuge des IIoT in die Netzwerke eingebunden werden und deren Design nicht schwerpunktmäßig auf Sicherheit, sondern auf Funktionalität und Integrierbarkeit ausgerichtet wurde (44 Prozent). Doch nicht nur Systeme und Komponenten sind eine Schwachstelle, auch der Mensch rückt immer mehr in den Fokus der Angreifer.

Wenn der Mitarbeiter dem Hacker hilft

Die Angreifer nutzen in der Regel eine Schwachstelle im ICS-System, um die Ransomware einzuschleusen. Die Informationen über die Schwachstelle finden sie im Internet, das Wissen, dass diese Schwachstelle noch nicht gepatcht wurde, erhalten sie von nichtsahnenden Mitarbeitern, die ausgespäht oder denen Informationen direkt entlockt werden. Vielfach handelt es sich aber auch um Insider-Wissen, dass sich rasant über einschlägig bekannte Foren verbreitet

Es ist nicht ungewöhnlich für eine Malware, mithilfe einer unbeabsichtigten Handlung einer gutmütigen Person einen ersten Fuß in die Tür zu einem System zu bekommen. 76 Prozent der Sicherheits- und IT-Experten, die im Rahmen der SANS Insider Threat 2017-Studie befragt wurden, gaben an, dass der größte potentielle Schaden von einem Sicherheitsvorfall entstehen könnte, der von einem eigenen oder externen Mitarbeiter mit entsprechenden Zugriffsrechten herbeigeführt wird.

Der Mensch als erstes Bollwerk gegen Cyberangriffe

Während der menschliche Faktor weiterhin einige der größten Sicherheitsrisiken hinsichtlich ICS-Umgebungen verkörpert, schlummert in den Mitarbeitern aber auch gleichzeitig das vielversprechendste Potenzial, diese Systeme zu schützen. Die technische und administrative Komplexität des erfolgreichen Betriebs, der Instandhaltung und des Schutzes heutiger ICS während ihres gesamten Lebenszyklus bringt erhebliche Herausforderungen mit sich.

Daher sollten Investitionen in die Cybersicherheit vor allem über die Kombination von Personen, Technologien und Best-Practice-Prozessen angewendet werden. Von diesen dreien versprechen Weiterbildung und Unterstützung der Mitarbeiter fast immer den höchsten Return-on-Invest, da Risikoentscheidungen und Krisenpläne fast immer beim Menschen ansetzen.

Investitionen in Cybersicherheit steigen langsam

Ein Teil der Industriebetriebe hat die Lage bereits erkannt und stellt sich den Sicherheitsherausforderungen, die auf sie zukommen. Laut der SANS Securing Industrial Control Systems 2017-Studie berichtet fast die Hälfte der Befragten (46 Prozent) von im Vergleich zum Vorjahr (2016) gestiegenen Budgets zur Absicherung von ICS-Systemen.

Die Investitionen gestalten sich je nach Unternehmen unterschiedlich. Bestimmte Branchen verfügen über einen höheren Reifegrad an Sicherheit und investieren nicht mehr in einfache Netzwerkperimeter-Schutzmaßnahmen wie Firewalls, sondern in fortschrittliche Sicherheitssysteme.

Trend zu professionellen Security-Maßnahmen

36 Prozent der Studienteilnehmer beispielsweise geben an, über Budgets zu verfügen, die ihnen ermöglichen, Sicherheitsbeurteilungen und Auditierungen von ICS durchzuführen. Sie wenden sich also anspruchsvolleren Sicherheitstechnologien zu, die Wiederherstellungs- und Asset-Management-Herausforderungen heutiger Systeme bewältigen. Viele dieser Unternehmen sind der Aufgabe gewachsen, umfassende Sicherheitsprogramme zu erstellen, mit denen die physische Sicherheit verstärkt wird. Zudem sind sie in der Lage, Sicherheitsrichtlinien und -prozesse festzulegen und sich auf Cybersicherheitstrainings und Weiterbildungen für ihre Mitarbeiter zu konzentrieren, mit Mandaten, die auch ihre Supply Chain erreichen.

Sicherheitsgefälle in verschiedenen Branchen

Nicht alle Branchen befinden sich auf einem ähnlichen Entwicklungsniveau. Aber der Energiesektor einschließlich der Elektrizitäts-, Öl- und Gasindustrie gilt wegen seiner breit angelegten Sicherheitslösungen, die über Investitionen allein auf Produktebene hinausreichen, als wegweisend.

Andere Branchen beginnen gerade auf einem ähnlichen Investitionslevel, während wieder andere nicht einmal die ersten Schritte eingeleitet haben. Die Vorteile, die sich aus ausgewogenen und kalkulierten Cybersicherheits-Investitionen in Menschen, Prozesse und Technologien ergeben, zahlen sich nicht nur darin aus, dass sie Sicherheitsrisiken für ICS-Systeme mildern. Sie tragen auch dazu bei, dass diese Systeme sicherer und zuverlässiger arbeiten und steigern die Produktionsqualität wie die Effizienz.

Wettrüsten zwischen Unternehmen und Cyberkriminellen

Die Eigendynamik hinter der industriellen Automatisierung wird nicht nachlassen. Allerdings werden auch Cyberkriminelle unablässig daran arbeiten, diese Entwicklung für sich zu nutzen. Unternehmen, die die Vorteile der Digitalisierung schon genießen, haben teilweise bereits erkannt, dass es eine Vielzahl von Risiken gibt, die Betriebsabläufe stören, die Sicherheit beeinträchtigen und finanzielle Konsequenzen nach sich ziehen können. Sie investieren stärker in Personen, Technologie und Best-Practice-Prozesse, um die Systeme zu härten.

Manche Unternehmen müssen wach gerüttelt werden

Für Unternehmen, die ihre Investitionen in die Sicherheit nur als optionale Kosten sehen, mit nur kleinen oder gar keinen direkten Auswirkungen, braucht es leider einen Sicherheitsvorfall oder Ausfall von Systemen um ihre Einstellung zu verändern. Dennoch ist klar, dass ICS eine Effizienz mit sich bringen, die dazu beigetragen hat, das Unternehmen ihre Gewinne steigern konnten.

Die heutige Fertigung wird niemals zu den weniger effizienten, teureren, getrennten oder isolierten Systemen der Vergangenheit zurückkehren. Unternehmen, die nicht aktiv in die Absicherung von Systemen gegen Cyberrisiken investieren, werden letztlich einen höheren Preis dafür zahlen, als hätten sie es getan. Die, die bereits auf Ransomware wie LogicLocker in ihren ICS-Umgebungen gestoßen sind, wissen das aus leidvoller Erfahrung.

Bildergalerie

  • In Sachen Produktionssicherheit steigen die Investitionen - aber auch die Cyberrisiken. Dieses Fazit zieht Doug Wylie, Director Industrials & Infrastructure Portfolio beim SANS Institute.

    In Sachen Produktionssicherheit steigen die Investitionen - aber auch die Cyberrisiken. Dieses Fazit zieht Doug Wylie, Director Industrials & Infrastructure Portfolio beim SANS Institute.

    Bild: SANS Institute

  • Sind Sie in Ihrer aktuellen Rolle eher wenig, mittel oder viel in die folgenden Incident Response Phasen involviert?

    Sind Sie in Ihrer aktuellen Rolle eher wenig, mittel oder viel in die folgenden Incident Response Phasen involviert?

  • Was sind ihre wichtigsten Bedenken, wenn es um die Sicherheit von ICS geht?

    Was sind ihre wichtigsten Bedenken, wenn es um die Sicherheit von ICS geht?

  • Wie gefährlich schätzt ihr Unternehmen die aktuelle Bedrohungslage für ICS ein?

    Wie gefährlich schätzt ihr Unternehmen die aktuelle Bedrohungslage für ICS ein?

  • Was sind die drei wichtigsten Angriffsvektoren über die Sie sich am meisten Gedanken machen?

    Was sind die drei wichtigsten Angriffsvektoren über die Sie sich am meisten Gedanken machen?

  • Welche Sicherheitstechnologien oder –Lösungen setzen Sie derzeit ein? Welche neuen Technologien oder Lösungen würden Sie am liebsten für ihr ICS in den nächsten 18 Monaten einsetzen?

    Welche Sicherheitstechnologien oder –Lösungen setzen Sie derzeit ein? Welche neuen Technologien oder Lösungen würden Sie am liebsten für ihr ICS in den nächsten 18 Monaten einsetzen?

  • War ihr ICS-System infiziert oder wurde es in den letzten 12 Monaten infiltriert?

    War ihr ICS-System infiziert oder wurde es in den letzten 12 Monaten infiltriert?

  • Wie oft sind solche Vorfälle in den letzten 12 Monaten passiert?

    Wie oft sind solche Vorfälle in den letzten 12 Monaten passiert?

Verwandte Artikel