Wenn die Lichter ausgehen: Cyberattacken auf Industrieunternehmen

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 1190

Ihre Produktionsabläufe sind weitestgehend vernetzt, Sie setzen intelligente Maschinen ein und profitieren von einem umfassend digitalen Automatisierungsnetz: Inwieweit hat die einstige Zukunftsversion Industrie 4.0 auch bereits in Ihrem Unternehmen Einzug gehalten?

Fakt ist: Die „vierte industrielle Revolution“ ist in Deutschland weiter auf dem Vormarsch.

Das Erfolgsmodell der Digitalisierung 4.0 kann jedoch für Unternehmen nur dauerhaft gewinnbringend sein, wenn deren vernetzten Abläufe gegen Angriffe aus dem Cyber-Raum geschützt sind. Problematisch: Mit dem Einsatz von Technologien aus der Standard-IT gelangen die daraus bekannten Schwachstellen und Bedrohungen auch in Ihre Prozesssteuerungen. Das hieraus resultierende Einfallstor für Angreifer ist immens!

Die zwei größten Einfallstore für Angreifer

Dass Hacker in die Systeme von Unternehmen oder Behörden eindringen und Daten entwenden, ist inzwischen keine überraschende Meldung mehr. In regelmäßigen Abständen erfährt man aus der Presse und dem Fernsehen von gestohlenen Kundendaten und Erpressungen - und fragt sich, warum der Cyberkriminalität offenbar keine ausreichend wirksamen Abwehrmechanismen entgegengesetzt werden können.

Durch Cyberangriffe verursachte Störfälle sind in jedem Unternehmen nicht nur aus wirtschaftlicher Sicht höchst problematisch. Es erfordert einen immensen Aufwand, um den Schaden zu begrenzen und die Folgen zu tragen.

Bei Cyberattacken auf Unternehmen geht es meist schlicht um Erpressung. Eingeschleuster Schadcode mit Verschlüsselungsfunktion, sogenannte Ransomware, infiziert die Systeme von Unternehmen und verschlüsselt deren Daten, bis ein Lösegeld, meist in Form von Kryptowährungen, bezahlt wird. Kritische Infrastrukturen, deren Störung verheerende Schäden für Mensch, Umwelt, aber auch für die betroffenen Systeme anrichten können, sind außerdem auch im Fokus terroristisch motivierter Angreifer. Der Schutz dieser Anlagen ist daher von besonderer Bedeutung.

Cyberkriminelle haben jedoch oft ein noch leichtes Spiel. Sie benötigen nur wenig eigene Intelligenz, um Attacken erfolgreich durchzuführen. Tools für Cyberangriffe liefert das Internet sogar kostenlos, samt Ticket-System z.B. für die Kommunikation zu Zahlungsmodalitäten. Mit einem geringen Aufwand wird Erpressung zur lukrativen Einnahmequelle, seit Cyberkriminalität zu einem Geschäftszweig geworden ist.

Grundsätzlich gibt es zwei Einfallstore für Angreifer, um ihre Ziele zu erreichen, nämlich die Anfälligkeit von Menschen bzw. Mitarbeitern von Unternehmen und technische Schwachstellen in den Betrieben.*

*https://www.sichere-industrie.de/angriff-kritische-infrastruktur-beispiele-2/

1. Einfallstor: Die menschliche Schwäche

Irrtum und Nachlässigkeit eigener Mitarbeiter, aufgrund mangelnder Awareness für Gefahren, führt nach wie vor erschreckend häufig zum Erfolg eines Cyberangriffs. Während in Technik viel Geld investiert wird, bleibt der Faktor Mensch oft noch unberücksichtigt bzw. wird vernachlässigt.

Über 60% aller digital operierenden Täter nutzen die Methode des Social Engineering zur Vorbereitung oder auch der Durchführung von Cyber-Angriffen. Die Angreifer setzen gezielt auf die natürliche Neugier und Leichtgläubigkeit von Menschen. Obwohl viele Gefahren im Grunde bekannt sind, gelingt es Angreifern erstaunlich häufig über Methoden des Social Engineering (wie z.B. durch Phishing E-Mails, Auslegen fingierter USB-Sticks oder über Ausnutzen der Leichtsinnigkeit bei der Verwaltung von Zugangsdaten) Einlass in fremde Netzwerke zu erlangen.

Im Folgenden werden drei dieser Social Engineering Schlupflöcher näher beleuchtet:

  • Einschleusen von Schadsoftware, z.B. Ransomware

Korrupte Dateianhänge oder Links in E-Mails sind auf den ersten Blick oft kaum von integren Daten zu unterscheiden, und häufig klickt man Anhänge oder Links von vermeintlich bekannten Absendern im Berufsalltag nur allzu schnell an.  

Und selbst für Vorsichtige ist die Gefahr oft nicht erkennbar: Verschlüsselungstrojaner tarnen sich in scheinbar integren Dateiformaten, wie z.B. PDFs, die nur so aussehen, als wären sie ein PDF. Auch Installationsprogramme für Cloud-Dienste-Tools wie Dropbox können mit einem standardmäßig ausgelieferten Microsoft-Tool so manipuliert werden, dass bei der Installation eingeschleuster Schadcode im Hintergrund unerkannt ausgeführt wird. Ein durchschnittlich versierter IT-User hat kaum Chancen, so versteckte Gefahren erkennen zu können.

Trojaner zu tarnen geht ebenfalls recht einfach. Das Internet bietet hier kostenlos verfügbare Hacking-Tools an: Auf einschlägigen Webseiten kann die Erstellung von Ransomware nach individuellen Anforderungen konfiguriert werden. Man definiert die zu umgehenden Systeme und wählt die Dateien aus, die verschlüsselt werden sollen, außerdem ein passendes Entschlüsselungstool samt Textvorlage für die Erpresser-E-Mail. So kann heute fast jeder zum Hacker werden und Schadsoftware für den arglosen User unsichtbar in Unternehmen einschleusen.

  • Unachtsamer Umgang mit Passwörtern und Zugangsdaten

Nicht nur durch schwache Passwörter werden kritische IT-Systeme gefährdet. Auch die unvorsichtige Veröffentlichung der Zugangsdaten für vernetzte OT-Systeme (Operations Technology) oder Steuerungszentralen sind eine große Schwachstelle in grundsätzlich gesicherten Umgebungen. In Zeiten, in denen ein Großteil der geschäftlichen Kommunikation über Videokonferenzen mit Kameraübertragung stattfindet, ist besondere Achtsamkeit geboten. WLAN-Zugangsdaten und Passwörter, die leicht einsehbar auf Schreibtischen liegen oder gar auf Zetteln notiert am Bildschirm kleben, sind ggf. für andere  sichtbar und im schlimmsten Fall nutzbar.

  • Erreichbarkeit produktiver Systeme im Netz

Steuerungssysteme von Kritischen Infrastrukturen sind immer wieder ungesichert im Netz erreichbar, nicht nur mit lesendem, sondern selbst mit schreibendem Zugang. Werden beispielsweise produktive Steuerungen für Windräder oder Kraftwerksturbinen auf einschlägigen Webseiten im Internet ausfindig gemacht, ist es nur ein kleiner weiterer Schritt für Cyberkriminelle, diese durch Veränderungen an der Web-Visualisierung (die zumeist auch zur Administration nutzbar ist) zu manipulieren. Auch hier spielt die Bequemlichkeit eine wesentliche Rolle - manchmal auch einfach nur Unachtsamkeit oder mangelndes Bewusstsein beim Betriebspersonal für die Gefahren, die derartige Nachlässigkeiten mit sich bringen.

Im Management besteht oftmals der Bedarf, Produktionsdaten von Anlagen spontan via Tablet abrufen zu können und Sicherheitsmechanismen, wie z.B. ein wirksamer Passwortschutz erscheinen dabei unbequem. Angesichts der weitreichenden Gefahren, die ein ungewollter Eingriff von außen für kritische Infrastrukturen bedeutet, sind Befindlichkeiten und Unachtsamkeit ein unakzeptabler Zustand.

Wenn das Industrial Security Konzept fehlt: Verschlüsselungstrojaner und anderer Schadcode finden leichten Zugang zu kritischen Infrastrukturen
Wenn das Industrial Security Konzept fehlt: Verschlüsselungstrojaner und anderer Schadcode finden leichten Zugang zu kritischen Infrastrukturen

2. Einfallstor: Technische Schwachstellen

  • Veraltete Betriebssysteme und fehlende Updates des Virenscanner

In zahlreichen Produktionsanlagen ist nicht nur die Hardware der Steuerungen älteren Baujahrs. Auch die laufenden Betriebssysteme sind veraltet und erhalten keine Sicherheitsupdates mehr. Windows XP und Windows 2000 sind in heutigen Betriebsumgebungen keine Ausnahmeerscheinung. Außerdem sind viele der eingesetzten Virenscanner nicht gepatcht. Signaturen werden im laufenden Produktionsprozess nur in bestimmten Zyklen aktualisiert, so dass die Systeme über längere Zeiträume über veraltete Sicherheitsstände verfügen. Das liegt schlicht an den Umständen in einem permanent laufenden Produktionsbetrieb mit vernetzten Komponenten. Updates können nicht wie im Office-Bereich kurzfristig zwischendurch eingespielt werden. Außerdem gibt es Systeme, an denen nach einer offiziellen Abnahme keine Änderungen mehr vorgenommen werden dürfen, weil dies eine erneute Abnahme oder Prüfung z.B. hinsichtlich Safety-relevanter Aspekte erfordern würde. Für die Sicherheit bedeutet das leider, dass Eindringlinge hier ein leichtes Spiel haben.

  • Fernwartungslösungen von Herstellern als Türöffner

Die Vielzahl der eingesetzten Lösungen der einzelnen Hersteller, die mit dem Fernwartungszugriff eine offene Tür in ein Unternehmen haben, entspricht nur selten dem Sicherheitsbedürfnis des betroffenen Unternehmens. Vernetzte Produktionsanlagen, in denen Komponenten Daten miteinander und über das Internet austauschen, sind sehr anfällig für eine übergreifende Verbreitung von Schadsoftware. Ohne wirksame Absicherung kann Schadcode, der über einen Fernwartungszugriff (z.B. über das infizierte Notebook eines externen Fernwarters) auf eine Komponente gelangt, sich über das Produktionsnetz auf andere Systeme und weiter auf ungesicherte Bereiche im Unternehmen ausbreiten.

  • Verbreitung von Schadcode durch fehlende Netzsegmentierung

Ist ein Virus oder Trojaner erst im Unternehmensnetz, kann er viele Wege nehmen, wenn die Netzsegmentierung fehlt. In segmentierten Netzen wird Schadcode an der Grenze logischer Produktions- oder Organisationseinheiten gestoppt, so dass der Schaden begrenzt und beherrschbar bleibt. Sind Netze jedoch nicht voneinander getrennt, können Trojaner bis in die sensibelsten Bereiche gelangen und im schlimmsten Fall jahrelang unbemerkt Daten nach außen liefern oder riesige Datenmengen verschlüsseln.*

Last but not least: Der Überblick fehlt

In Industrieunternehmen gibt es meist eine über viele Jahre gewachsene Produktionsinfrastruktur, die aus unterschiedlichen Technologiezeitaltern stammt. Die Systeme wurden zwar stetig erneuert oder erweitert und miteinander vernetzt, aber es fehlte das Bewusstsein für die Notwendigkeit einer umfassenden Dokumentation der gesamten Infrastruktur. Im Falle eines Cyberangriffs können Betreiber ohne Asset Inventar das Ausmaß eines erfolgten Angriffs und die Folgen nicht bewerten, weil nicht klar ist, was auf der Netzebene der Anlage passiert und welche Systeme aktuell miteinander kommunizieren. Wirkungsvolle Maßnahmen zur Gegenwehr sind dann nur schwer durchführbar.

*https://www.sichere-industrie.de/angriff-kritische-infrastruktur-beispiele-2/

Zurück