Dass Hacker in die Systeme von Unternehmen oder Behörden eindringen und Daten entwenden ist inzwischen keine überraschende Meldung mehr. Wir sind beinahe daran gewöhnt in regelmäßigen Abständen von gestohlenen Kundendaten und Erpressungen zu erfahren und wundern uns, dass der Cyberkriminalität offenbar keine ausreichend wirksamen Abwehrmechanismen entgegengesetzt werden können. Durch Cyberangriffe verursachte Störfälle sind in jedem Unternehmen nicht nur aus wirtschaftlicher Sicht höchst problematisch. Es erfordert einen immensen Aufwand, um den Schaden zu begrenzen und die Folgen zu tragen. Der Verlust von Daten, vor allem von kundenbezogenen Daten, verursacht neben wirtschaftlichem Schaden auch einen Vertrauensverlust bei Geschäftspartnern, Kunden und der Öffentlichkeit, was das Image eines Unternehmens nachhaltig beschädigen kann.

Die sensibelsten Ziele: Kritische Infrastruktur

Erfolgen Cyberangriffe in Unternehmen, die für die Gesellschaft wesentliche Funktionen und Aufgaben innehaben und deren Störung gravierende Folgen für die Bevölkerung verursachen, also in Unternehmen, die den Sektoren der Kritischen Infrastrukturen angehören, dann wird aus unserem Kopfschütteln Gänsehaut. Niemand will sich die Folgen eines erfolgreichen Hacks auf ein Wasserwerk oder auf ein Atomkraftwerk vor Augen führen oder sich ausmalen, was flächendeckend passieren würde, wenn es Kriminellen gelänge, den Strom abzuschalten. Die Branchen, die zur Kritischen Infrastruktur zählen, sind zahlreich und decken viele Bereiche unseres täglichen Lebens ab. Dazu zählen außer Energie und Wasser auch Gesundheit, Transport und Ernährung sowie Telekommunikation und Finanzen. Die Menge der Unternehmen, die für die Versorgung der Bevölkerung und die öffentliche Sicherheit relevant sind, ist enorm. Die Notwendigkeit, sie gegen Cyberangriffe ausreichend zu schützen, liegt also auf der Hand.

Die Angreifer und ihre Motivation

Von politisch motivierten Attacken hören wir immer öfter, wenn es um Einflussnahme bei Wahlen geht oder um Industriespionage. Die Drahtzieher verfügen über ausreichend hohe Mittel, um ausgeklügelte Strategien vorzubereiten und Angriffe durch professionelle IT-Experten gezielt vorzunehmen.

(Dann gibt es noch Hacker, die von der Motivation getrieben sind, durch das Aufdecken von Schwachstellen die IT-Sicherheit zu verbessern. Hacken bedeutet ursprünglich nämlich keineswegs ein illegaler Eingriff in fremde IT-Systeme, sondern vielmehr technikaffines Tüfteln und Experimentieren mit der Zielsetzung technische Produkte zu verbessern.)

Bei Cyberattacken auf Unternehmen geht es meist schlicht um Erpressung. Eingeschleuster Schadcode mit Verschlüsselungsfunktion, sogenannte Ransomware, infiziert die Systeme von Unternehmen und kapert deren Daten bis ein Lösegeld, meist in Form von Kryptowährungen, bezahlt wird.
Kritische Infrastrukturen, deren Störung verheerende Schäden für Mensch, Umwelt, aber auch für die betroffenen Systeme anrichten können, sind außerdem auch im Fokus terroristisch motivierter Angreifer. Der Schutz dieser Anlagen ist daher von besonderer Bedeutung.

Cyberkriminelle haben leider oft ein leichtes Spiel. Sie benötigen nur wenig eigene Intelligenz, um Attacken erfolgreich durchzuführen. Tools für Cyberangriffe liefert das Internet sogar kostenlos, samt Ticket-System z.B. für die Kommunikation zu Zahlungsmodalitäten. Mit einem geringen Aufwand wird Erpressung zur lukrativen Einnahmequelle seit Cyberkriminalität zu einem Geschäftszweig geworden ist.

Grundsätzlich gibt es zwei Einfallstore für Angreifer, um die anvisierten Ziele zu entern, nämlich die Anfälligkeit von Menschen bzw. Mitarbeitern von Unternehmen und technische Schwachstellen in den Betrieben.

Die „Schwachstelle Mensch“ 

Der Bediener eines IT-Systems ist für Cyberkriminelle grundsätzlich ein leicht zu überwindendes Hindernis, weil auf die menschliche Schwäche Verlass ist. Ein Großteil der Schadsoftware gelangt über eine menschliche Aktion oder menschliches Fehlverhalten in ein System. Obwohl viele Gefahren im Grunde bekannt sind, gelingt es Angreifern erstaunlich häufig, über Social Engineering, Phishing, USB-Sticks oder über die Leichtsinnigkeit bei der Verwaltung von Zugangsdaten Einlass in fremde Netzwerke zu erlangen. Einige Beispiele sind:

1) Korrupte Dateianhänge und Internetseiten 

Die Email mit den Bildern von Katzenbabys ist fast schon legendär, gerade weil sie so wirkungsvoll war. Die Methoden haben sich inzwischen weiterentwickelt, basieren jedoch auf denselben menschlichen Schwächen und auf den Reaktionsbeschleunigern Überrumpelung und Täuschung. Korrupte Dateianhänge oder Links in Emails sind auf den ersten Blick oft kaum von integren Daten zu unterscheiden und in der Eile des Gefechts im Berufsalltag klickt man Anhänge oder Links von vermeintlich bekannten Absendern nur allzu schnell an.  

Und selbst für Vorsichtige ist die Gefahr oft nicht erkennbar: Verschlüsselungstrojaner tarnen sich in scheinbar integren Dateiformaten, wie z.B. PDFs, die nur so aussehen als wären sie nur ein PDF. Auch Installationsprogramme für Cloud-Dienste-Tools wie Dropbox können mit einem standardmäßig ausgelieferten Microsoft-Tool so manipuliert werden, dass bei der Installation eingeschleuster Schadcode im Hintergrund unerkannt ausgeführt wird. Ein durchschnittlich versierter IT-User hat kaum Chancen, so versteckte Gefahren erkennen zu können. 

Trojaner zu verstecken geht ganz einfach, das Internet bietet hier kostenlos verfügbare Hacking-Tools an: Auf einschlägigen Webseiten kann die Erstellung von Ransomware nach individuellen Anforderungen konfiguriert werden. Man definiert die zu umgehenden Systeme und wählt die Dateien aus, die verschlüsselt werden sollen, außerdem ein passendes Entschlüsselungstool samt Textvorlage für die Erpresser-Email. So kann heute fast jeder zum Hacker werden und Schadsoftware für den arglosen User unsichtbar in Unternehmen einschleusen.

2) Die alte Masche mit dem USB-Stick 

Trotz aller oft gehörter Warnungen funktioniert die Einschleusung von Malware via aufgefundenem USB-Stick nach wie vor. Scheinbar auf Firmengelände verlorene USB-Sticks mit vielversprechender Beschriftung finden zuverlässig ihren Weg in die USB-Anschlüsse der IT-Infrastruktur eines Unternehmens. Angreifer gelangen schnell in sensible Bereiche des Unternehmensnetzes, verbreiten sich und legen komplette Produktionsanlagen still. 

In Leitsystemen dient der USB-Stick zu Übertragung von Daten, z.B. bei Systemupdates oder bei der Erstellung von Reports, die nicht direkt in das Office-Netzwerk übermittelt werden können. Dementsprechend sind Produktionskomponenten mit USB-Anschlüssen ausgestattet, die eigentlich nicht offen zugänglich sein sollten. Sie sind es aber leider doch immer wieder. Ungesicherte USB-Ports in Produktionshallen stellen ein nicht zu vernachlässigendes Risiko dar, wenn z.B. Besuchsgruppen im Rahmen von Werksführungen in die Nähe der produktiven Anlagen gelangen. 

3) BYOD – bringt nicht nur Komfort, sondern auch Gefahren 

Eine weitere Gefahr geht von Gerätschaften aus, die Mitarbeiter z.B. aus Gründen des erhöhten Bedienkomforts von zuhause mitbringen und im Betrieb nutzen, wie z.B. programmierbare Medien-Tastaturen. Diese können in nicht ausreichend gesicherten Leitsystemen die HMI (Human Machine Interface) umgehen und Anwendungen öffnen, die für den Produktionsprozess kritisch sind. BYOD (bring your own device) bedeutet zwar bequemeres Arbeiten nach den individuellen Bedürfnissen und Vorlieben des Bedieners und macht so manche ruhige Nachtschicht unterhaltsamer. Diese devices liegen aber meist außerhalb des Zugriffs der IT-Abteilung eines Unternehmens und unterliegen nicht den für die Unternehmens-IT etablierten Sicherheitsstandards, Ihr Einsatz z.B. in Leitsystemen kritischer Anlagen ist mit Gefahren für die IT-Sicherheit verbunden, ebenso wie die mitgebrachten und genutzten Laptops von Geschäftspartnern in unzureichend gesicherten Netzen. Nicht immer ist Vorsatz im Spiel, es reicht die Unachtsamkeit Einzelner, die im Zusammenspiel mit Nachlässigkeit bei Schutzmaßnahmen böse Folgen haben kann. 

4) Unachtsamer Umgang mit Passwörtern und Zugangsdaten 

Nicht nur durch schwache Passwörter werden kritische IT-Systeme gefährdet. Auch die unvorsichtige Veröffentlichung der Zugangsdaten für vernetzte OT-Systeme (Operations Technology) oder Steuerungszentralen sind eine große Schwachstelle in grundsätzlich gesicherten Umgebungen. In Zeiten, in denen ein Großteil unserer geschäftlichen Kommunikation über Videokonferenzen mit Kameraübertragung stattfindet, ist besondere Achtsamkeit geboten. WLAN-Zugangsdaten und Passwörter, die leicht einsehbar auf Schreibtischen liegen oder gar auf Zetteln notiert am Bildschirm kleben sind für andere Konferenzteilnehmer sichtbar und im schlimmsten Fall nutzbar. 

Diese ungewollte und höchst gefährliche Übermittlung von Zugangs- und Benutzerdaten für kritische Infrastrukturen erreicht zuweilen ein sehr großes Publikum, wenn Interviews mit Experten im Fernsehen direkt vor der Visualisierung der Netzinfrastruktur eines Leitstandes oder einer Einsatzzentrale oder auch an persönlichen Arbeitsplätzen stattfinden. Alles schon dagewesen! 

 

Beispiel für sorglosen Umgang mit Zugangsdaten | Quelle: Fortinet

5) Produktive Systeme im Netz erreichbar 

Steuerungssysteme von Kritischen Infrastrukturen sind immer wieder ungesichert im Netz erreichbar, nicht nur mit lesendem sondern selbst mit schreibendem Zugang. In der Live-Hack-Demo sehen wir beispielsweise, wie Daniel Buhmann produktive Steuerungen z.B. für Windräder oder Kraftwerksturbinen auf einschlägigen Webseiten im Internet ausfindig macht. Es ist nur ein kleiner weiterer Schritt für Cyberkriminelle, diese durch Veränderungen an der Web-Visualisierung (die zumeist auch zur Administration nutzbar ist) zu manipulieren. Auch hier spielt die Bequemlichkeit eine wesentliche Rolle und manchmal auch einfach nur Unachtsamkeit oder mangelndes Bewusstsein beim Betriebspersonal für die Gefahren, die derartige Nachlässigkeiten mit sich bringen.

Im Management besteht oftmals der Bedarf, Produktionsdaten von Anlagen spontan via Tablet abrufen zu können und Sicherheitsmechanismen, wie z.B. ein wirksamer Passwortschutz erscheinen dabei unbequem. Angesichts der weitreichenden Gefahren, die ein ungewollter Eingriff von außen für kritische Infrastrukturen bedeutet, sind Befindlichkeiten und Unachtsamkeit ein unakzeptabler Zustand.

Technische Schwachstellen 

6) Veraltete Betriebssysteme und fehlende Updates des Virenscanner 

In zahlreichen Produktionsanlagen ist nicht nur die Hardware der Steuerungen älteren Baujahrs. Auch die laufenden Betriebssysteme sind veraltet und erhalten keine Sicherheitsupdates mehr. Windows XP und Windows 2000 sind in heutigen Betriebsumgebungen leider keine Ausnahmeerscheinung! 
Außerdem sind viele der eingesetzten Virenscanner nicht gepatcht. Signaturen werden im laufenden Produktionsprozess nur in bestimmten Zyklen aktualisiert, so dass die Systeme über längere Zeiträume über veraltete Sicherheitsstände verfügen. Das liegt schlicht an den Umständen in einem permanent laufenden Produktionsbetrieb mit vernetzten Komponenten. Updates können nicht wie im Office-Bereich „mal eben“ eingespielt werden. Außerdem gibt es Systeme, an denen nach einer offiziellen Abnahme keine Änderungen mehr vorgenommen werden dürfen, weil dies eine erneute Abnahme oder Prüfung z.B. hinsichtlich Safety-relevanter Aspekte erfordern würde. Für die Sicherheit bedeutet das leider, dass Eindringlinge offene Türen mit verrosteten Schlössern vorfinden. 

7) Fernwartungslösungen von Herstellern als Türöffner 

Die Wartung von Anlagen und Systemen, die über das Internet für ihre Hersteller erreichbar sind, spart Aufwände für Einsätze vor Ort und verhindert kostenintensive Ausfälle (predictive maintenance). Die Vielzahl der eingesetzten Lösungen der einzelnen Hersteller, die mit dem Fernwartungszugriff eine offene Tür in ein Unternehmen haben, entspricht nur selten dem Sicherheitsbedürfnis des betroffenen Unternehmens. Vernetzte Produktionsanlagen, in denen Komponenten Daten miteinander und über das Internet austauschen, sind sehr anfällig für eine übergreifende Verbreitung von Schadsoftware. Ohne wirksame Absicherung kann Schadcode, der über einen Fernwartungszugriff, z.B. über das infizierte Notebook eines externen Fernwarters auf eine Komponente gelangt, über das Produktionsnetz auf andere Systeme gelangen und sich weiter auf ungesicherte Bereiche im Unternehmen ausbreiten. 

8) Verbreitung von Schadcode durch fehlende Netzsegmentierung 

Ist ein Virus oder Trojaner erst im Unternehmensnetz, kann er viele Wege nehmen, wenn die Netzsegmentierung fehlt. In unsegmentierten Netzen wird Schadcode nicht an der Grenze logischer Produktions- oder Organisationseinheiten gestoppt, so dass der Schaden begrenzt  und beherrschbar bleibt. Sind Netze nicht voneinander getrennt, können Trojaner bis in die sensibelsten Bereiche gelangen und jahrelang unbemerkt Daten nach außen liefern oder riesige Datenmengen verschlüsseln. 

9) Der Überblick fehlt 

In Industrieunternehmen gibt es meist eine über viele Jahre gewachsene Produktionsinfrastruktur, die aus unterschiedlichen Technologiezeitaltern stammt. Die Systeme wurden zwar stetig erneuert oder erweitert und miteinander vernetzt, aber es fehlte das Bewusstsein für die Notwendigkeit einer umfassenden Dokumentation der gesamten Infrastruktur. Im Falle eines Cyberangriffs können Betreiber ohne Asset Inventar das Ausmaß eines erfolgten Angriffs und die Folgen nicht bewerten, weil nicht klar ist, was auf der Netzebene der Anlage passiert und welche Systeme aktuell miteinander kommunizieren. Wirkungsvolle Maßnahmen zur Gegenwehr sind dann nur schwer durchführbar.

Der Schaden durch eingeschleuste Trojaner und Schadcode ist im OT-Bereich besonders verheerend, weil in vielen Unternehmen ein umfassendes Sicherheitskonzept für die Produktions-IT fehlt. Industrial Security ist ein Thema, das erst die Industrie 4.0 hervorgebracht hat und das in den Unternehmen Fürsprecher und Initiatoren braucht, die sich sowohl mit IT und IT-Sicherheit als auch mit den ganz speziellen Anforderungen im OT-Umfeld auskennen.

Welche Gegenwehr ist erfolgversprechend? 

Hier sind drei Hands-On Beispiele, wie Sie als Betreiber Ihr Unternehmen wirkungsvoll vor Cyberattacken schützen können:

Gefahr erkannt – Gefahr gebannt. So einfach ist es leider nicht, aber das ist ein guter Ausgangspunkt. Es gilt, die Mitarbeiter in allen Bereichen zu schulen und ein Bewusstsein für die Gefahren zu schaffen, die unbedachtes oder regelwidriges Handeln im Umgang mit Daten mit sich bringt.   Handlungsanweisungen für die Nutzung von IT-Systemen und Daten sollten stets präsent, verfügbar und aktualisiert gehalten werden. Weiterhin ist die beste Firewall immer noch ein Mitarbeiter, der “irgendwie gerade ein ungutes Gefühl hat”. Und dieses Gefühl lässt sich schulen.

Die technischen Schwachstellen im Unternehmen zu finden und zu sichern setzt voraus, die eigene Infrastruktur genau zu kennen. Daher sind die Asset-Identifikation und Dokumentation wesentlich für die Einschätzung der Gefahrenlage und die Entwicklung und Implementierung geeigneter Schutzmaßnahmen.

Sicherheitsstandards für Fernwartungszugänge zu etablieren und durchzusetzen ist ein weiter Schritt hin zu einem wirkungsvollen Sicherheitskonzept. Drängen Sie als Betreiber einer Industrieanlage bei den Herstellern der Produktionssysteme auf die Einhaltung der von Ihnen definierten Sicherheitsstandards, auch wenn Ihnen dabei zuweilen schwierige Diskussionen ins Haus stehen.

Fazit 

Verschlüsselungstrojaner und anderer Schadcode finden dort leichten Zugang zu kritischen Infrastrukturen, wo Menschen unachtsam sind und die Technik anfällig ist. Die Bedrohungslage wächst, weil Cyberkriminelle Schwachstellen kennen und ausnutzen und mit neuen Strategien Angriffe zielgerichtet ausführen. Auch entwickeln sie immer weitere Geschäftsmodelle, so dass das Feld der „Cyber-Kriminalität“ immer weiter professionalisiert und ausgebaut wird. 

Unternehmen können der Herausforderung begegnen, indem sie ein wirkungsvolles Sicherheitskonzept etablieren. Dieses muss sowohl die nötige Awareness bei den Mitarbeitern aufbauen und aufrechterhalten als auch die technischen Rahmenbedingungen so definieren, dass geeignete Abwehrmechanismen zum Schutz vor Cyberangriffen greifen können. Dabei ist entscheidend, dass sich Ihr Sicherheitskonzept an Ihren Prozessen und an Ihren individuellen Anforderungen ausrichtet und Ihre Mitarbeiter mit ins Boot holt. Es sollte Ihr eigenes Sicherheitskonzept sein, nicht ein Standard-Konzept, das man ins Unternehmen bringt und den Mitarbeitern überstülpt. 

Starten Sie mit dem verfügbaren Netzplan der vorhandenen Systeme und bewerten Sie, welche potentiellen Gefahren für diese Systeme bestehen. Begutachten Sie die Schnittstellen in Ihr Netz hinein und aus Ihrem Netz heraus. Vergessen Sie dabei nicht, dass auch Lieferanten und externe Mitarbeiter Schnittstellen sein können!