Aktuelles, Branche - geschrieben von cp am Donnerstag, September 20, 2018 15:42 - noch keine Kommentare
Industrielle Netzwerke: Gefahren durch Fernwartungssoftware
Lauet einer Kaspersky-Analyse sind Remote Administration Tools auf fast jedem dritten ICS-System installiert
[datensicherheit.de, 20.09.2018] Legitime Fernwartungssoftware (Remote Administration Tool, RAT) stellt eine ernste Gefahr für industrielle Netzwerke dar. Laut einer aktuellen Untersuchung von Kaspersky Lab [1] sind RAT weltweit auf 31,6 Prozent der Rechner industrieller Kontrollsysteme (ICS) installiert – in Deutschland (35,1 Prozent), der Schweiz (33,2 Prozent) und Österreich (32,7 Prozent) sogar noch häufiger. Das Problem: Dass die Fernwartungssoftware im eigenen Netzwerk aktiv ist, wird von den Sicherheitsteams der betroffenen Organisationen oft erst bemerkt, wenn Cyberkriminelle diese zur Installation von Malware, Ransomware oder Kryptominern missbrauchen oder sich damit Zugriff auf Informationen beziehungsweise finanzielle Ressourcen des betroffenen Unternehmens verschaffen.
RAT sind legitime Softwaretools, mit denen Dritte aus der Ferne Zugriff auf einen Rechner erlangen können. Sie bieten Mitarbeitern einen ressourcensparenden Zugang ins Unternehmensnetzwerk, können allerdings auch von Cyberkriminellen für den unerlaubten Zugriff auf damit ausgestattete Rechner missbraucht werden. RAT werden beispielsweise in SCADA-Systemen oder HMI (Human Machine Interfaces) von Arbeitsplatzrechnern zur Steuerung industrieller Prozesse eingesetzt. Weltweit wird jede fünfte Fernwartungssoftware (18,6 Prozent) automatisch zusammen mit der ICS-Software installiert. Dies führt zu einer mangelnden Sichtbarkeit für Systemadministratoren und macht RAT damit umso attraktiver für Angreifer.
Angriffsvektoren und mögliche Konsequenzen
Laut der Kaspersky-Untersuchung nutzen Angreifer RAT für
- unautorisierten Zugang zum Netz des angegriffenen Unternehmens,
- die Infektion des Netzwerks mit Malware zur Spionage und Sabotage,
- die Erpressung von Lösegeld durch Infektionen mit Ransomware,
- den direkten Zugriff auf finanzielle Ressourcen der angegriffenen Organisation über das infizierte Unternehmensnetz [2].
Die größte Gefahr durch RAT besteht darin, dass erweiterte Systemrechte erlangt werden können. Dies kann in der unbegrenzten Kontrolle über ein Industrieunternehmen resultieren und damit zu massiven finanziellen Verlusten bis hin zu physischen Schäden führen. Bei den Angriffen handelt es sich häufig um standardmäßige Brute-Force-Attacken, bei denen das Passwort durch Ausprobieren sämtlicher Zeichenkombinationen ermittelt wird. Neben dieser Methode könnten Angreifer jedoch auch Schwachstellen in der RAT-Software ausnutzen.
„Die Anzahl industrieller Kontrollsysteme mit RATs ist besorgniserregend“, konstatiert Kirill Kruglov, Senior Security Researcher im Industrial Control Systems Cyber Emergency Response Team bei Kaspersky Lab (Kaspersky Lab ICS CERT). „Viele Unternehmen ahnen nicht einmal, wie hoch das damit verbundene Risiko ist. So konnten wir vor kurzem Angriffe bei einem Automobilhersteller feststellen, der auf einem seiner Rechner RAT-Software installiert hatte. Auf dem Rechner wurde regelmäßig über Wochen hinweg versucht, verschiedene Typen von Malware zu installieren. Unsere Sicherheitslösungen blockierten mindestens zwei solcher Versuche pro Woche. Wäre das Unternehmen nicht durch unsere Sicherheitssoftware geschützt gewesen, hätte dies unangenehme Folgen nach sich gezogen. Das heißt jedoch nicht, dass Unternehmen nun sofort jedes RAT aus ihrem Netzwerk verbannen sollten. Denn letztendlich handelt es sich um nützliche Anwendungen, die Zeit und Geld sparen. Jedoch sollte deren Einsatz im Unternehmensnetz nur mit der entsprechenden Vorsicht erfolgen – speziell in industriellen Kontrollnetzwerken, die oftmals Teil der kritischen Infrastruktur sind.“
Empfehlungen des Kaspersky Lab ICS CERT
- Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RAT, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
- RAT, die zusammen mit ICS-Software installiert wurden, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
- Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert werden. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum gewährt werden.
[1] https://ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics/
[2] https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/
Weitere Informationen zum Thema:
Kaspersky Lab ICS CERT
„Threats posed by using RATs in ICS”
datensicherheit.de, 16.08.2018
Studie zu Reaktionsmaßnahmen auf Attacken gegen industrielle Kontrollsysteme
datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen
datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit
datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht
datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden
datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe
datensicherheit.de, 21.02.2018
Die fünf schlimmsten Cyberangriffe auf ICS-Systeme
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren