Entscheidende Gründe für erfolgreiche APT-Attacken
von Tina Siering
Sechs Gründe, warum auch 2023 APT-Angriffe immer noch erfolgreich sind
Cyberangriffe stellen in den heutigen digitalen Gesellschaften ein großes Problem für Industrieunternehmen dar. Allein in Deutschland entstand im vergangenen Jahr ein Schaden von 203 Milliarden Euro für Wirtschaftsunternehmen. Auch wenn APTs im Vergleich zu klassischen Cyberangriffen zahlenmäßig nicht häufig durchgeführt werden, so ist der zu erwartende Schaden zumeist wesentlich höher. Neben den finanziellen Verlusten müssen sich Unternehmen insbesondere mit Reputationsverlusten, abfließendem Geheimwissen und natürlich den Gefahren durch einen direkten Zugriff auf OT-Netzwerke beschäftigen. Im Folgenden haben wir die wichtigsten Gründe für erfolgreiche APT Attacken zusammengestellt. Ganz vorne dabei: der Faktor Mensch.
Grund 1: Menschliche Fehler
In Industrieunternehmen werden Fernwartungsprogramme eingesetzt, um die Kommunikation zwischen Mitarbeitern und Auftragnehmern zu vereinfachen. TeamViewer und Anydesk vereinfachen beispielsweise Prozesse, indem sie den direkten Zugriff auf OT-Netzwerke ermöglichen. Das Problem: Die meisten dieser Programme sind nur für den temporären Einsatz gedacht - und geraten danach in Vergessenheit. Ohne verlässliche Sicherheitskonzepte wie den Zero Trust-Ansatz sind vergessene Fernwartungszugänge eine willkommene Einladung für Cyberkriminelle. Und werden dementsprechend gerne ausgenutzt.
Grund 2: Nicht isolierte OT-Netzwerke
In vielen Industrieunternehmen gibt es keine Trennung zwischen IT- und OT-Netzen. Produktionsmaschinen oder Arbeitsplätze, die in OT-Netzwerke eingebunden sind, sind mit beiden Netzwerken verbunden. Cyberkriminelle nutzen diese Nachlässigkeit aus, um Schadprogramme in Netzwerke einzuschleusen oder den Malware-Verkehr zu steuern, die aus Sicht der Unternehmenssicherheit als isoliert und damit sicher gelten.
Grund 3: Nur unzureichend geschützte OT-Ressourcen
Veraltete Datenbanken, deaktivierte Sicherheitskomponenten, fehlende Lizenzschlüssel: APT-Akteure wissen genau, dass gerade Sicherheitslösungen im Bereich der Operational Technology oftmals viel zu nachlässig gepflegt werden. Wenn das Sicherheitsnetz voller Löcher ist, haben es insbesondere professionell auftretende Cyberkriminelle einfach, sich einer Entdeckung zu entziehen.
Grund 4: Keine Cybersicherheit bei Endpunkten
Noch fataler als ein schlecht gepflegter Cybersicherheitsschutz ist – gar kein Sicherheitsschutz. In zahlreichen OT-Netzen werden Endpunkte überhaupt nicht in das Sicherheitskonzept des Unternehmens integriert. Der Hintergrund ist die Annahme, dass OT-Netzwerke vor Angriffen sicher sind, wenn sie nicht mit dem Internet verbunden oder vollständig von anderen Netzwerken getrennt sind. Was die Unternehmen dabei nicht berücksichtigen: Cyberkriminelle können sich dennoch Zugang verschaffen, beispielsweise durch Social Engineering und der Verwendung von USB-Sticks in Wechsellaufwerken.
Grund 5: Schlecht konfigurierte Sicherheitslösungen
Damit eine eingesetzte Sicherheitslösung funktioniert, muss diese korrekt konfiguriert werden. Nur so lässt sich nachhaltig verhindern, dass APT-Akteure die Sicherheitslösungen missbrauchen. Was nicht allen Unternehmen bewusst ist: In zahlreichen Sicherheitslösungen sind Netzwerkinformationen gespeichert, die durch Cyberkriminelle ausgenutzt werden können, um sich lateral und unsichtbar im Netzwerk fortzubewegen oder in andere Teile des Systems einzudringen. Vermehr greifen APT-Akteure aktuell die Verwaltungsserver der Sicherheitslösungen an, um unterschiedlichste Ziele zu erreichen.
Grund 6: Industrielle Kontrollsysteme
Während Updates und Patches auf normalen Arbeitsplatzrechnern schnell, einfach und „nebenbei“ eingespielt werden können, müssen im industriellen Umfeld selbst kleine Sicherheitsupdates vor der Installation ausgiebig getestet werden. In einigen Fällen erfordert ein Update nachträgliche Anpassungen der eingesetzten Spezialsoftware - was richtig teuer werden kann. Das Ergebnis sind sporadische Updates in fest definierten Zeitfenstern während anstehender Wartungsarbeiten und veraltete industrielle Steuerungssysteme. Wenn dann noch mit dem Internet verbundene Systeme - die vergleichsweise einfach zu aktualisieren wären - über lange Zeiträume ungepatcht bleiben, wird der gesamte OT-Bereich anfällig, insbesondere für die hochprofessionell agierenden APT-Bedrohungsakteure.
Fazit: Wichtigste Schutzmaßnahmen
Auch wenn APTs zweifellos zu den gefährlichsten Bedrohungen für Industrieunternehmen zählen, kann das erforderliche Schutzniveau durch einige Maßnahmen effektiv erhöht werden. Zu den wichtigsten Sicherheitsmaßnahmen zählt die Trennung der eingesetzten OT-Systeme und kritischen Infrastrukturen vom Unternehmensnetzwerk. Ist dies nicht möglich oder gewünscht, sollten unautorisierte Verbindungen jeglicher Art sofort geschlossen werden - Stichwort Zero Trust. Um Schwachstellen in den eingesetzten Sicherheitslösungen aufzudecken, empfehlen wir die Durchführung regelmäßiger Sicherheitsaudits, sowohl für die IT-Netzwerke als auch für die OT-Systeme. Jede technische Sicherheitslösung ist nur so gut wie die menschlichen Cyber Security Teams, die die technischen Maßnahmen überwachen. Mit speziellen Schulungen können einerseits Mitarbeiter:innen in Unternehmen auf die neuen Cyber-Bedrohungen in OT-Netzwerken vorbereitet werden, andererseits werden IT-Sicherheitsteams oder OT-Engineers in die Lage versetzt, fundierte und damit effektive Maßnahmen zur Abwehr von APTs durchzuführen.
Wenn Sie mehr über die Lösungen erfahren möchten, die secion im Bereich OT-Security für Unternehmen anbietet, oder wenn Sie gemeinsam mit unseren Experten konkrete Maßnahmen zur Abwehr von APTs entwickeln möchten, nehmen Sie bitte Kontakt mit uns auf!