Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Februar 21, 2018 22:00 - noch keine Kommentare
Die fünf schlimmsten Cyberangriffe auf ICS-Systeme
Industrieunternehmen und Kritische Infrastrukturen stehen verstärkt im Visier von Cyberkriminellen
Von unserem Gastautor Marcus Pauli, Security Analyst bei Airbus Defence and Space
[datensicherheit.de, 21.02.2018] Das Zeitalter der Industrie 4.0 bringt eine klare Tendenz mit sich: Immer mehr industrielle Steuerungssysteme (Industrial Control Systems, ICS) sind mit dem Internet verbunden. Dies entspricht den Forderungen der digitalisierten Wirtschaft nach dynamischen und höchst effizienten Automatisierungsprozessen mit organisationsübergreifendem Datentransfer, macht Industriekomponenten aber auch angreifbar.
Sicherheitsmaßnahmen nur lückenhaft nachgerüstet
Cyberkriminelle profitieren davon, dass Produktionsumgebungen teilweise noch aus einer Zeit stammen, in der Industriesysteme als isolierte, offline arbeitende Einheiten betrachtet wurden. Folglich waren damals Sicherheitsmaßnahmen wie Authentifizierung, Passwortmanagement oder Zugriffskontrolle nicht unbedingt notwendig gewesen und oftmals wurden sie nur lückenhaft nachgerüstet. Zudem kommen in heutigen ICS-Umgebungen nicht selten Komponenten vieler unterschiedlicher Hersteller zum Einsatz, was die Transparenz und Überwachung der IT-Sicherheit erschwert. Dies spielt Angreifern in die Karten, wenn sie beispielsweise eine zielgerichtete APT-Attacke (Advanced Persistent Threat) planen, um unbemerkt und über einen möglichst langen Zeitraum Daten abzugreifen.
Industrial Control Systems spielen auch eine wesentliche Rolle in kritischen Infrastrukturen, kurz KRITIS. Zu den Betreibern solcher Umgebungen zählen unter anderem Energieversorger, Wasserwerke, Unternehmen der Informationstechnik und Telekommunikation sowie Organisationen aus dem Gesundheitswesen oder der Finanz- und Versicherungsbranche. In Anbetracht der Bedeutung dieser Akteure für das Gemeinwohl sind ICS-Komponenten attraktive Ziele für Cyberkriminelle.
Top 5 der größten Industrie-Hacks (Quelle: www.bsi.bund.de; BSI – Die Lage der IT-Sicherheit in Deutschland 2016)
- Stromausfall in der Ukraine
Im Dezember 2015 gelang Hackern mit BlackEnergy eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Mutmaßlich kamen hier Spear-Phishing-E-Mails zum Einsatz, die Mitarbeiter zum Öffnen der schädlichen Anhänge bewogen haben. Die Cyberkriminellen spielten unter anderem Schadsoftware auf Systeme mit veralteten Softwareständen auf, löschten Daten auf Windows-Systemen und führten einen TDoS-Angriff (Telephone Denial of Service) auf mindestens ein Callcenter der Verteilnetzbetreiber durch, was eine Überlastung der Telefonleitungen zur Folge hatte. Rund 225.000 Einwohner waren von einem mehrstündigen Ausfall der Stromversorgung betroffen und hatten keine Möglichkeit, die Störung telefonisch zu melden. - Ransomware im Krankenhaus
Im Februar 2016 brachten Unbekannte einen Ransomware-Trojaner in das interne Netz des Lukaskrankenhauses in Neuss ein. Es kam zu Störungen in IT-Systemen und Behinderungen bei der Behandlung von Patienten. Da das Netzwerk allerdings unmittelbar nach den ersten Auffälligkeiten heruntergefahren worden war, wurde nur ein sehr kleiner Anteil der Daten verschlüsselt. Das Krankenhaus entschied sich gegen eine Lösegeldzahlung und konnte die Daten mittels Backups wieder herstellen. Dennoch wurden die Kosten für die Analyse des Angriffs und die Wiederherstellung des IT-Betriebs mit einem Betrag von ca. eine Million Euro angegeben. - Cyberangriffe auf das Bankensystem
Im ersten Halbjahr 2016 wurden Vorfälle bekannt, in denen sich Unbekannte einen nicht autorisierten Zugang zu Kommunikationsdienstleistungen der „Society for Worldwide Interbank Financial Telecommunication“ (SWIFT) verschafft haben. Die Angreifer setzten gängige Hackermethoden wie Phishing oder Watering-Hole-Angriffe ein. Sie versuchten, in die Banksysteme vorzudringen, Authentifizierungsdaten für den Zugang zum SWIFTNet abzuschöpfen und dort Nachrichten zu versenden, um Überweisungen auszulösen. Allein bei den erfolgreichen Angriffen auf die Zentralbank von Bangladesch, die ecuadorianische Banco del Austro sowie eine ukrainische Bank kam es zu Schäden von insgesamt 103 Millionen US-Dollar. - ITK-Provider mit Ausfallstunden in Millionenhöhe
Im Untersuchungszeitraum des aktuellen BSI-Lageberichts wurden drei große Störungen bei ITK-Providern gemeldet. Insgesamt waren hierdurch ca. 36 Millionen Nutzerstunden in den Bereichen Telefonie bzw. Internetzugang ausgefallen. Die umfangreichste Störung umfasste allein schon 27 Millionen Nutzerstunden und betraf den Mobilfunkbereich. Alle Beeinträchtigungen wurden durch Komplikationen bei der Verfügbarkeit von zentralen Authentifizierungs- bzw. Routingkomponenten verursacht. Der wohl in Deutschland bekannteste Vorfall war der Hacker-Angriff auf die Deutsche Telekom im November 2016, bei dem die Internet-Router von mehr als einer Million Kunden betroffen waren. - Branchenübergreifender Angriff durch Petya
Am 27. Juni 2017 setzte der Verschlüsselungstrojaner Petya (auch: NotPetya, ExPetr, DiskCoder.C) die IT-Systeme zahlreicher Unternehmen und Institutionen außer Kraft. Ursprung und Schwerpunkt der Cyberattacke lag in der Ukraine; sie hatte allerdings weltweite Auswirkungen. Über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc soll die Ransomware verteilt worden sein. In Einzelfällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse. Betroffen waren auch KRITIS-Betreiber wie ein russischer Ölproduzent, ein dänisches Logistikunternehmen und ein amerikanischer Pharmakonzern.
So schützen Sie kritische Infrastrukturen:
- Netzwerkzonierung: Gliedern Sie Ihr Netzwerk in Bereiche, die nicht oder nur bedingt miteinander vernetzt sind. So entstehen Überwachungspunkte, die dabei helfen, von einem Angriff betroffene Zonen schnell zu lokalisieren, und Hacker daran hindern, sich weiter horizontal im Netzwerk zu bewegen.
- Authentifizierung und Zugriffskontrollen: Ihr Identitätsmanagement sollte auf einer Multi-Faktor-Authentifizierung basieren. Mithilfe einer Zugriffssteuerung und -kontrolle können Administratoren zudem definieren, wer zu welchem Zweck auf welche Geräte und Daten zugreifen darf. Dies ermöglicht auch eine sichere Fernwartung.
- Whitelisting: Implementieren Sie Anwendungswhitelists auf den Servern. Die applikationsspezifischen Filter sorgen dafür, dass nur solche Programme verwendet werden können, deren Ausführung explizit erlaubt ist.
- Komponentenhärtung: Sie erhöhen die Sicherheit Ihrer Netzwerkkomponenten, indem Sie auf diesen ausschließlich Software einsetzen, die dort tatsächlich benötigt wird. Entfernen Sie alle Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgaben nicht zwingend erforderlich sind, denn sie stellen ein vermeidbares Sicherheitsrisiko dar – zum Beispiel, wenn Patches nicht sofort installiert werden.
- Monitoring: Eine möglichst frühe Angriffserkennung ist entscheidend. Setzen Sie dafür Monitoringsysteme ein, die kritische Netzwerksegmente kontinuierlich überwachen, und gewähren Sie internen Servern keinen direkten Zugang zum Internet (zum Beispiel durch Verwendung eines Proxy-Servers in der DMZ).
- Notfallplan: Definieren Sie in einem Notfallplan eindeutig festgelegte Verantwortlichkeiten, Berichtslinien und Eskalationspfade, damit Sie gerüstet sind, falls es zu einem Angriff kommen sollte. Wenn keine personellen Ressourcen für ein internes Notfallteam vorhanden sind, können Sie auf die Unterstützung externer Anbieter zurückgreifen.
Weitere Informationen zum Thema:
datensicherheit.de, 17.12.2017
Cyber-Sicherheit im Jahr 2018: Airbus CyberSecurity gibt Prognose ab
datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren