Industrierechner im Visier

In den Zeiten von Digitalisierung und Industrie 4.0 haben viele Branchen in Deutschland und weltweit mit Cyber-Attacken zu kämpfen. Besonders betroffen sind offenbar die Branchen Energie, Maschinenbau und ICS-Integration. Vor wenigen Tagen wurde der letzte großangelegte Angriff auf DAX-Konzerne bekannt.

Im industriellen Umfeld können Sicherheitslücken und mangelhafte Cybersicherheit zu handfesten Problemen führen. Produktionsausfall, Know-How-Verlust, stotternde Fertigungsprozesse und sinkender Umsatz dürften jedem Vorstandsvorsitzenden den Schweiß auf die Stirn treiben. Die neusten Entwicklungen legen einmal mehr den Schluss nahe, dass es bei den meisten Unternehmen im Bereich der Cyber-Sicherheit noch immer Nachholbedarf gibt.

Verschiedene Branchen im digitalen Visier

Die Experten von Kaspersky haben die Entwicklungen und Bedrohungen für Industrierechner analysiert und zusammengestellt. Demnach wurden 38,7 Prozent der analysierten ICS-Rechner (ICS = Industrial Control System) der Energiebranche und 35 Prozent der industriellen Rechner im Maschinenbausektor mindestens zweimal im Jahr 2018 von Malware angegriffen. Die Baubranche verzeichnete im Vergleich zum Vorjahr den höchsten Anstieg. Hier waren 32 Prozent aller Rechner von einem Angriff betroffen (2017: 26 Prozent). Der Grund dafür ist denkbar simpel: Automatisierung ist für diese Branche noch ein relativ neues Gebiet der Arbeitsweise und die Maßnahmen und finanziellen Mittel sind dementsprechend gering. In vielen anderen Bereichen pendelten sich die Werte um oder knapp unter der 30-Prozent-Marke ein. Die Mehrheit der Angriffe können, laut Report, als Zufallstreffer gewertet werden.

Eine Branche, welche besondere Beachtung verdient, ist der Energiesektor. Diese Branche ist eine Art Vorreiter beim Einsatz von Automatisierungslösungen und zählt zu den Branchen mit dem höchsten Rechnereinsatz. Heutige Stromnetze, gerade innerhalb des Binnenmarkts der EU, gehören zu den ausgedehntesten Systemen miteinander verbundener Industrieanlagen mit vielen Rechnern, die zugleich einer relativen hohen Gefahr ausgesetzt sind. Die Vorfälle der vergangenen Jahre sowie die durch die Branche selbst beschlossenen schärferen Auflagen zwingen die Unternehmen ihre Systeme im Bereich operative Technologie (OT) zu verbessern. Ebenfalls hat sich ein Problem in den letzten Jahren immer wieder als Einfallstor herausgestellt: Nicht selten erlangten die Kriminellen Zugriff über die Einfallstore „Zulieferer“ und „externe Dienstleister“. So sagt der Bericht im Wortlaut: „Die Ergebnisse der Untersuchung attackierter ICS-Rechner aus verschiedenen Branchen überraschen. So zeigt zum Beispiel der große Prozentsatz angegriffener ICS-Rechner bei Unternehmen der Strom- und Energiebranche, dass deren Bemühungen um die Cybersicherheit ihrer Automationssysteme nach einigen schweren Vorfällen noch nicht ausreichen.“

Krypto-Malware auch bei Industrierechnern angekommen

Seit der zweiten Jahreshälfte 2017 erfahren ICS-Rechner verstärkt Angriffe mit Krypto-Malware. Dieser Anstieg hängt laut Fachleuten mit dem Boom der Krypto-Währungen, wie Bitcoin, zusammen. So harmlos das im Einzelfall erscheinen mag, haben schädliche Mining-Aktivitäten zum heimlichen Schürfen digitaler Währungen im industriellen Umfeld einen bestimmten Umfang erreicht, hat dies negative Auswirkungen auf die Leistung und Stabilität der ICS-Rechner und damit auf die gesamte Produktionskette. In den ersten drei Monaten 2018 griff Mining-Malware 3,3 Prozent aller Rechner zur industriellen Automation an. In den meisten Fällen erfolgten die Attacken offenbar rein zufällig. Generell sind die Angriffsvektoren prozentual breit gestreut. Aber mit Abstand (27 Prozent) das größte Ziel stellen SCADA und HMI dar. SCADA bedeutet „Supervisory Control and Data Acquisition“. Darunter versteht man das Überwachen und Steuern technischer Prozesse mittels eines Computer-Systems. Der Begriff HMI ist die Abkürzung für „Human Machine Interface“ und bedeutet übersetzt Mensch-Maschine-Schnittstelle. Ebenfalls müssen die Experten mit gewissem Unverständnis erkennen, das noch immer ein beträchtlicher Teil (20 Prozent) der Angriffe über längst bekannte und identifizierte Schlupflöcher stattfindet. Beispielsweise Netzwerkdrucker und andere Netzwerkgeräte und Komponenten.

Trends bei Angriffen

Im ersten Quartal 2018 wurde die längste andauernde DDoS-Attacke gemessen. Mit einer Dauer von, sage und schreibe, 297 Stunden (12 Tage). Ebenfalls im „Trend“: ein Anstieg bei Verstärkungsangriffen und der Aktivität alter und neuer Botnetze sowie die Rückkehr von Deutschland unter die fragwürdige Top 10 der meistangegriffenen Länder.

Was also tun?

Der ein oder andere wird vermutlich gerade eine Art Déjà-vu erleben, aber die Handlungsempfehlungen gleichen sich seit geraumer Zeit tatsächlich.

  • Betriebssysteme, Anwendungs-Software und Sicherheitslösungen aller Systeme und Netzwerke sollten regelmäßigen Updates unterzogen werden.
  • Der Netzwerkverkehr sollte über Einschränkungen der Ports und Protokolle auf Edge-Routern und innerhalb des OT-Netzwerks (OT=operational Technology) gesichert werden.
  • Audits der Zugangskontrollen auf die ICS-Komponenten im industriellen Netz des Unternehmens einschließlich seiner Grenzen.
  • Einsatz von Endpoint-Sicherheitslösungen für ICS-Server, Workstations und HMIs, um OT und industrielle Infrastruktur vor zufälligen Cyberangriffen zu schützen.
  • Einsatz von Lösungen zum Monitoring des Netzwerkverkehrs sowie zur Analyse und zur Erkennung gezielter Angriffe.

So schnell die Bedrohungen auch wechseln und sich verlagern, so alt sind die Maßnahmen um diese Angriffe einzudämmen und zu verhindern. Inzwischen haben sie jedoch eine weit andere Dimension angenommen. Die Angriffsweisen sind vielschichtig, die Motive verschleiert und der Schaden auf den ersten Blick für einen Betroffenen nicht immer in Gänze erkennbar. Ein Cyberangriff kann heute mit dem Ausspähen von Kundendaten beginnen, nebenbei Firmen-Know-How abschöpfen und mit einem Verschlüsselungs- und Erpressungstrojaner enden. Der Schaden nimmt, parallel zum Angriff, auch hier verschiedenen Dimensionen an. Die Angreifer können kriminelle Einzeltäter ebenso sein, wie organisierte Cyberkriminelle oder der Angriff kann sogar von Staatsseite gesteuert und iniziert sein. Solche Risiken zu senken und bei Mitarbeitern und Führungskräften eine Sensibilisierung herbeizuführen, sollte im Interesse jedes Unternehmens sein…gleich welcher Branche.

Quellen:

https://www.tagesschau.de/investigativ/ndr/winnti-101.html?fbclid=IwAR3dpXEHmiFUIo1g6CA60OhVTQ2DtUeFXuLPCh0r9g_2LEy97jltr4K0c8A

https://www.kaspersky.de/about/press-releases/2018_cyberangriffe-gegen-industrie-rechner

https://www.handelsblatt.com/technik/hannovermesse/industrie-4-0-cyberattacken-it-sicherheit-fuer-vernetzte-fabriken-wird-zum-grossen-geschaeft/24174984.html?ticket=ST-1706652-bUdFMBSAGPjlfPfM3bYA-ap4

https://www.security-insider.de/cyberattacken-auf-deutsche-industrie-nehmen-stark-zu-a-766073/

https://www.wiwo.de/unternehmen/industrie/cyber-attacken-deutsche-industrie-verliert-43-milliarden-euro/23063610.htmlhttps://www.it-daily.net/analysen/20431-cyberangriffe-auf-unternehmen-steigen-um-bis-zu-100-prozent