Industrielle IT-Sicherheit Ransomware in Produktionsanlagen - Ist das wirklich gefährlich?

Ransomware-Angriffe sind auch für die Produktion eine ernst zunehmende Bedrohung.

27.03.2018

Bisher konnten IT-Angriffe von Betreibern typischer Maschinensteuerungs-, IoT- oder sonstiger Automatisierungssysteme aufgrund der speziellen Systemkonfiguration vernachlässigt werden. Dies änderte sich jedoch mit dem Forschreiten der Malware Evolution. In einer vernetzten Fabrik werden daher ganz neue Schritte in den Bereichen Risikominimierung und Abwehrmaßnahmen notwendig.

Seit gut zwei Jahren tauchen in mehr oder weniger regelmäßigen Abständen neue Meldungen über Angriffe nach einem alten Muster auf, dass so in der IT-Welt früher ungewöhnlich war. Via Mail oder Webdownloads wird auf möglichst breiter Basis Schadsoftware in Umlauf gebracht, die nicht mehr das Ausspähen und den späteren Verkauf von geistigem Eigentum an Dritte zum Ziel hat. Vielmehr wird nun der direkte Weg zur Monetarisierung eingeschlagen und der Besitzer nach Verschlüsselung der Datensätze zur Zahlung von Lösegeld aufgefordert. Viele der eher auf Masse ausgelegten Angriffe wie Locky, GoldenEye oder WannaCry adressierten dabei die typischen Clientsysteme von Unternehmen und Privatpersonen. Am Anfang waren es auch eher punktbezogene Szenarien, bei denen einzelne Geräte verschlüsselt wurden und bei der die Schadsoftware im Vorfeld noch einen Entschlüsselungs-Key bei einem Command & Control Server abholen, musste. Häufig war auch eine menschliche Interaktion wie das Öffnen eines schädlichen Anhanges nötig.

Neue Infektionswege betreffen auch die Maschinensteuerung

Angriffe dieser Art wurden und konnten von Betreibern typischer Maschinensteuerungs-, IoT- oder sonstiger Automatisierungssysteme aufgrund der speziellen Systemkonfiguration vernachlässigt werden. In vielen Fällen haben diese Systeme keinerlei Email-Account oder es kann nicht aktiv auf das Internet zugegriffen werden, so dass der klassische Infektionsweg ziemlich ausgeschlossen ist. Dies änderte sich jedoch mit dem Fortschreiten der Malware Evolution. Heutige Schadsoftware bringt häufig bereits den eigenen Verschlüsselungs-Key mit sich und muss gar nicht mehr nach „zu Hause telefonieren“. Verseuchte Systeme suchen nach weiteren Ausbreitungspfaden innerhalb der Systeme und legen damit, wie im Fall der Malware WannaCry das National Health Care System in Großbritannien lahm. Im Vorfeld all dieser Fälle stand aber immer noch eine aktive Handlung eines Menschen, der dem Angreifer die Tür geöffnet und damit das erfolgreiche Eindringen ermöglicht hat.

Eine andere Vorgehensweise lässt sich bei den seit Ende 2016 bekannten Angriffe unter den Bezeichnungen SAMSAM und Maktub feststellen. Speziell SAMSAM wird in den letzten Monaten wieder verstärkt für Angriffe genutzt und fällt durch eine besondere Herangehensweise auf, die speziell für sogenannte OT (Operational IT)-Umgebungen gefährlich wird. Anders als bei herkömmlichen Ransomware-Angriffen verzichten die Angreifer bei SAMSAM auf Interaktionen durch einen User. Sie setzen zielgerichtete Angriffsvektoren ein und fokussieren sich auf Industrien und Organisationen, bei denen die Benutzung von bestimmten gleichbleibenden Tools sehr wahrscheinlich ist. Die Hacker scannen dann Serversysteme, die im Internet erreichbar sind auf Schwachstellen im RDP, und versuchen einen Exploit auszunutzen, um die Kontrolle über den Server zu erlangen. Die Angreifer gehen immer wieder ähnlich vor. Sie übernehmen Serversysteme dieser Art, indem mögliche schwache oder standardisierte Passwörter über Brute Force-Attacken ausgehebelt werden.

Hat der Angreifer erstmals die Kontrolle über einen Einstiegspunkt, so wird das gesamte Netzwerk gescannt, ähnliche angreifbare Systeme ausfindig gemacht und die Schadsoftware verteilt. Diese agiert dann komplett unabhängig vom Command and Control-Server und beginnt die vorhandenen Daten zu verschlüsseln. Die geforderten Summen beginnen in etwa bei 7.000 US-Dollar, um die Verschlüsselung rückgängig zu machen. Dass hierbei für den internen Scanprozess speziell ältere Maschinen im Produktionsumfeld mit häufig nur unzureichend gepatchten Betriebssystemen und Anwendungssoftware besonders angreifbar sind, versteht sich fast von selbst.

Risikominimierung und Abwehrmaßnahmen

Bei der Risikominimierung sollten deshalb Schritte eingeleitet werden, die auch solche Systeme und ihren besonderen Schutzstatus berücksichtigen, denn eine verschlüsselte Datenbank mag kritisch und schmerzhaft sein, aber eine stillgelegte Produktion kann Unternehmen in den Ruin treiben. Als Basisrichtlinie haben sich daher folgende Schritte bewährt:

  • Alle Systeme sollten möglichst zeitnah mit aktuellen Patches versorgt werden. Ganz besonders natürlich exponierte Systeme, die vom Internet aus erreichbar sind.

  • Die Verwendung von einmaligen und komplexen Passwörtern erschwert oder verhindert im besten Fall die Übernahme des ersten Systems und stellt die Hacker bei jedem weiteren Server vor die gleichen Hürden und Aufwände. Damit werden flächendeckende Angriffsversuche unrentabel.

  • Systeme, die aufgrund von Abhängigkeiten oder alter Betriebssysteme nicht gepatched werden können, sollten mit gesonderten Zugangskontrollen versehen und in eigenen geschützten Segmenten verwaltet werden.

  • Segmentierung zwischen DMZ (Demilitarisierte Zone), IT und OT sowie Client- und Serversystemen mit dazwischengeschalteten Firewall Systemen mit aktivierten Antivirus- und Intrusion Prevention (IPS)-Funktionen helfen die „seitliche“ Verbreitung von Schadsoftware zu verhindern und mögliche Schäden zu minimieren.

  • Zero Day-Schutzmaßnahmen können auch unbekannte Angriffe erkennen und abwehren.

  • Regulierung von externen Datenzugriffen wie Remote Support von Maschinenherstellern und Lieferanten. Man weiß ja nicht, wie sicher diese Systeme sind und ob man auf diesem Weg Angreifern unabsichtlich ein weiteres Einfalltor öffnet.

Fazit

Sämtliche Schutzmaßnahmen sollten im Auswahlfall auch wirklich im echten Schutzmodus betrieben werden. Häufig bieten Hersteller sogenannte Smart Pass- oder Forward-Möglichkeiten, die zwar die Performance erhöhen, dies aber auf Kosten des Sicherheitslevels. Ebenso sollte reines Monitoring vermieden werden, denn wenn die Systeme erst mal verschlüsselt sind, dann hilft auch der beste Report nichts mehr. Wie in vielen anderen Fällen kommen also nicht unbedingt Kosten auf das Unternehmen zu, sondern es sollten bereits vorhandene Lösungen effektiv genutzt werden, um Angreifern, wie der Gruppe hinter SAMSAM, den Erfolg zu verwehren.

Bildergalerie

  • Andreas Müller ist Enterprise Sales Manager bei Check Point Software Technologies.

    Andreas Müller ist Enterprise Sales Manager bei Check Point Software Technologies.

    Bild: Check Point Software Technologies GmbH

Firmen zu diesem Artikel
Verwandte Artikel