Ransomware: Kritische Infrastrukturen im Visier

Ausfallzeiten durch Cyber-Angriffe zu erwarten

[datensicherheit.de, 16.01.2017] Sicherheitsexperten von Palo Alto Networks rechnen nach eigenen Angaben mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (Kritis) – alleine durch die Ausfallzeiten könnten Schäden in Millionenhöhe verursacht werden.

Ausfall einer wichtigen Kritis-Umgebung nur eine Frage der Zeit

Die Entwicklung von Ransomware-Angriffen auf Kritis ist demnach recht eindeutig und wird von Palo Alto Networks „als ernsthafte Bedrohung“ gewertet. Erste erfolgreiche Angriffe gegen an OT-Umgebungen angrenzende Netzwerke seien bereits bekannt geworden.
Wenn diese Ausfallzeiten verursacht haben, hätte dies bisher „nur“ Auswirkungen auf den ICS-Betreiber (Industrial Control Systems / Industrielle Steuerungssysteme) selbst gehabt und sich noch nicht auf die für die Bevölkerung entscheidenden Dienste ausgewirkt. Allerdings sei es nur eine Frage der Zeit bis zu einem erfolgreichen Angriff, der den Ausfall einer wichtigen Kritis-Umgebung – wie das Stromnetz oder ein Transportsystem – verursachen werde.

Finanziell und personell gut ausgestattete Banden Cyber-Krimineller

Das erforderliche Fachwissen für ICS-Umgebungen zu sammeln, Ransomware einzuschleusen und diese spezialisierten Systeme erfolgreich zu kompromittieren, erfordere eine Menge Aufwand, möglicherweise auch die Beteiligung eines Insiders. Sicherheitsexperten von Palo Alto Networks gehen daher davon aus, dass solche Angriffe höchstwahrscheinlich von finanziell und personell gut ausgestatteten Banden Cyber-Krimineller erfolgen. Diese nähmen bestimmte Einrichtungen ins Visier, um ein hohes Lösegeld einzufordern.

Disaster-Recovery könnte teurer als Lösegeld sein

Der betroffene Infrastrukturbetreiber werde mit einer schweren Entscheidung konfrontiert sein: das Lösegeld in der Hoffnung auf eine rasche Wiedererlangung der Funktionalität zu bezahlen – oder – nicht zu bezahlen und stattdessen die Situation mittels eines funktionsfähigen Disaster-Recovery-Plans zu beheben.
Die Gesamtkosten für letztere Maßnahmen könnten weit über das Lösegeld hinausgehen. Niemand in diesem Umfeld hoffe, dass diese Art von Angriff im eigenen Betrieb passiert, aber ein solches Ereignis würde dazu führen, dass die gesamte Branche aufwachen und schleunigst darüber nachdenken müsste, wie ICS-Umgebungen effektiver – oder überhaupt grundlegend – zu schützen sind.

Präventionsorientierte Denkweise und neue Schutztechnologien!

Nach Einschätzung von Palo Alto Networks sind die meisten OT-Betreiber „zu schlecht ausgestattet, um mit anspruchsvollen Angriffen umzugehen“. Ransomware sei nur eine von vielen modernen Angriffsmethoden, die eine andere, präventionsorientierte Denkweise und eine Reihe neuer Schutztechnologien erforderten.
OT-Organisationen wachten aber langsam auf und modernisierten ihre OT-Sicherheit; aber es sei ein langer Weg, den die meisten dieser Unternehmen vor sich hätten, bis sie in der Lage sein würden, immer anspruchsvollere Angriffe zu stoppen. Da IT- und OT-Umgebungen noch stärker zusammenwüchsen, müssten sich die Betreibergesellschaften dazu veranlasst sehen, herauszufinden, wie die Angreifer eigentlich vorgehen und was der „Stand der Technik“ in Bezug auf „Best Practices“ und Technologien für Cyber-Sicherheit ist.

NIS-Richtlinie fordert „Stand der Technik“ zu beachten!

Das Thema „Stand der Technik“ werde auch in den neuen EU-Gesetzesinitiativen zum Tragen kommen, die bis Mitte 2018 in das nationale Recht der Mitgliedsstaaten umgesetzt werden müssten. Die NIS-Richtlinie gelte dabei neben „digitalen Diensten“ auch für „Erbringer wesentlicher Dienstleistungen“. Dies sei laut NIS-Definition eine öffentliche oder private Einrichtung, die „eine Dienstleistung erbringt, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Tätigkeiten wesentlich ist; von Netz- und Informationssystemen abhängig ist; und bei der ein Angriff auf die Netz- und Informationssysteme erhebliche störende Auswirkungen auf den Betrieb hätte“.
Unter anderem verlangt die NIS-Richtlinie, Sicherheitsmaßnahmen zu ergreifen, die dem „Stand der Technik“ entsprechen. „Stand der Technik“ bedeutet in diesem Zusammenhang, dass generell Technologien erforderlich sind, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde. Eine ältere, immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten punktuellen Lösungen besteht, ist kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen.

Next-Generation-Firewalls und -Endpoint-Protection empfohlen!

„Als effektiver erweist sich eine integrierte Sicherheitsplattform basierend auf Next-Generation-Firewalls und Next-Generation-Endpoint-Protection, mit sich optimal ergänzenden Komponenten, die miteinander kommunizieren können“, betont Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks.
Eine solche Plattform liefere vollständigen Einblick in die gesamte Kommunikation im verteilten Netzwerk, um detailliert zu erkennen, an welcher Stelle das Unternehmen gerade gefährdet ist.

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2016
Kritische IT-Ereignisse: Millionenschäden bei europäischen Unternehmen

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen