[datensicherheit.de, 26.07.2021] Nicht erst seit dem verheerenden Ransomware-Angriff auf Colonial Pipelines sehen sich Kritische Infrastrukturen (KRITIS) offensichtlich steigenden Bedrohungen ausgesetzt. Ein Angriff wie in den USA könne jederzeit auch bei uns stattfinden – mit ähnlich gravierenden Folgen, warnt Claroty in einer aktuellen Stellungnahme. Ransomware-Attacken seien zumeist opportunistisch. „Das heißt, Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen. Sie greifen also vor allem solche Ziele an, von denen sie vermuten, dass sie hohe Lösegeldforderungen zahlen können und werden.“ Der eigene Aufwand lasse sich zudem durch Ransomware-as-a-Service-Angebote noch weiter reduzieren, indem Know-how und kriminelle Dienstleistungen „gebucht“ würden.

Bisher keine Beispiele für Ransomware, welche speziell auf OT-Komponenten abzielt

„Durch die zunehmende Konvergenz von IT- und OT-Netzwerken, also Informationstechnologie und Betriebstechnik verschwimmen die Grenzen zwischen den beiden ehemals getrennten Bereichen.“ Entsprechend könnten Angriffe von der einen auf die andere Infrastruktur „überspringen“. „Bislang haben wir keine Beispiele für Ransomware gesehen, die speziell auf OT-Komponenten abzielt, und dies gilt auch für Colonial Pipeline: Die Ransomware infiltrierte das IT-Netzwerk und es gibt keine Hinweise darauf, dass sie direkte Auswirkungen auf das OT-Netzwerk hatte.“
Als Vorsichtsmaßnahme habe Colonial jedoch die OT-Seite des Netzwerks abgeschaltet und so die weitere Ausbreitung verhindert. Dieser Schritt sei vor allem deshalb notwendig erschienen, „da der Pipelinebetreiber offensichtlich über eine mangelnde Transparenz dieser Infrastruktur verfügte, so das Ausmaß der Gefährdung nicht beurteilen konnte und sich nicht in der Lage sah, die potenziellen Auswirkungen auf das OT-Netzwerk abzumildern und zu begrenzen“.

Grant Geyers 4 Erkenntnisse aus dem Ramsomware-Vorfall bei Colonial

Grant Geyer, „CPO“ von Claroty, sieht mach eigenen Angaben vor allem vier wichtige Erkenntnisse aus diesem Cyber-Angriff:

1. Anstieg gezielter Ransomware
„Wir wissen zwar nicht genau, wie die Hacker-Gruppe ,DarkSide‘ die Ransomware in das IT-Netzwerk von Colonial Pipeline eingeschleust hat, bekannt ist jedoch, dass ,DarkSide‘ gezielt finanzstarke Unternehmen angreift. Sobald eine Infektion erfolgt ist, ermöglicht eine mangelhafte und unzureichende Segmentierung zwischen IT- und OT-Umgebungen eine Ransomware-Infektion der OT-Netzwerke. Durch Isolierung und Segmentierung der OT können Unternehmen die laterale Verbreitung von Ransomware stoppen.“

2. Veraltete Technologie
„Die Zahl der Angriffe auf Kritische Infrastrukturen hat an Häufigkeit und Schwere zugenommen. Unsere im Umbruch befindliche Kritische Infrastruktur bietet Cyber-Kriminellen eine enorme Angriffsfläche. Viele industrielle Umgebungen arbeiten mit veralteter Technologie, die nur selten oder gar nicht gepatcht wird. Eine gezielte Modernisierung der Technologie und die Verbesserung der Governance können hier einen großen Beitrag zur Risikominimierung leisten.“

3. Verteilte Umgebungen
„Pipelines (wie auch zahlreiche andere Kritische Infrastrukturen und Produktionsstätten) sind hochgradig verteilte Umgebungen, und die Tools, mit denen Anlagenbetreibern ihren Mitarbeitern Fernzugriff gewähren, sind eher für einfachen Zugriff als für Sicherheit optimiert. Dies gibt Angreifern die Möglichkeit, die Sicherheitsmaßnahmen relativ leicht zu überwinden, wie wir zuletzt bei dem Angriff auf die Wasserversorgung in Oldsmar, Florida, gesehen haben.“

4. Energieversorger sind besonders gefährdet
„Sicherheitsforscher von Claroty haben gezeigt, dass diese Branche einer der am stärksten von Schwachstellen in industriellen Kontrollsystemen (ICS) betroffenen Sektoren ist. So wurden in der zweiten Jahreshälfte 2020 74 Prozent mehr ICS-Schwachstellen gemeldet als noch im zweiten Halbjahr 2018. Cyber-Kriminelle verfügen also über viele Möglichkeiten, die Steuerungen von Industrienetzwerken zu kompromittieren.“

Sich selbst auf Ransomware-Angriffe rechtzeitig bestmöglich vorbereiten

Geyer adressiert folgende Fragen: „Worauf kommt es nun für die Sicherheitsverantwortlichen an? Wie lassen sich die Kritischen Systeme effektiv schützen, was ist zu beachten?“ Um sich auf Angriffe wie den auf Colonial Pipeline bestmöglich vorzubereiten, rät Geyer vor allem folgende Punkte zu beachten:

• Patchen Sie alle Systeme oder schaffen Sie kompensierende Kontrollen: Während das Patchen von Systemen in OT-Umgebungen Wartungsfenster erfordert, haben es Angreifer meist auf veraltete oder ungepatchte ,Windows‘-Systeme abgesehen. Wenn ein Patching nicht möglich ist, stellen Sie sicher, dass kompensierende Kontrollen (z. B. Firewall-Regeln, ACLs) vorhanden sind, um das inhärente Risiko zu verringern.
• Implementieren Sie eine starke Authentifizierung für alle OT-Benutzer: Trotz der Sensibilität von OT-Umgebungen verwenden viele Unternehmen Ein-Faktor-Benutzernamen und -Passwörter für den Zugriff auf ihre Anlagen. In etlichen Fällen werden sogar die Anmeldedaten geteilt. Implementieren Sie eine starke Multifaktor-Authentifizierung, um sicherzustellen, dass die Benutzer such diejenigen sind, für die sie sich ausgeben. Setzen Sie zudem auf Least Privilege-Zugriff und reduzieren Sie so zusätzlich das Risiko.
• Segmentieren Sie das Netzwerk: Viele OT-Umgebungen wurden in erster Linie unter Zugriffs- und Produktivitätsaspekten und weniger in Hinblick auf die Sicherheit konzipiert. Sie sind also ,flach‘ und begünstigen so eine schnelle Ausbreitung von Ransomware-Infektionen. Durch die Segmentierung des Netzwerks lassen sich Umfang und Auswirkungen eines Angriffs wesentlich begrenzen.“
• Führen Sie eine Table-Top-Exercise durch: Eine solche Übung hilft den Beteiligten, die organisatorischen und technischen Vorbereitungsmaßnahmen auf ein solches Ereignis zu verstehen und umzusetzen. Sind Sicherungs- und Wiederherstellungsfunktionen vorhanden? Ist die Geschäftsführung in der Lage zu handeln? Verfügt das Unternehmen über eine Cyber-Versicherung – auch für den Fall eines Ransomware-Angriffs?

Weitere Informationen zum Thema:

datensicherheit.de, 15.07.2021
Mespinoza: Ransomware-Gruppe nutzt Hacking-Tools mit skurrilen Namen wie MagicSocks und HappyEnd / Palo Alto Networks veröffentlicht Profil cyber-Krimineller Gruppe Mespinoza, welche auch in Deutschland zuschlägt

datensicherheit.de, 13.07.2021
Globale Verteidigung gegen Ransomware erfolgsentscheidend / Opfer von Ransomware-Attacken sollten direkt mit lokalen Behörden kooperieren, um das Wissen schnell mit anderen Unternehmen zu teilen

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

Lebensmittel- und Getränkeindustrie weltweit zunehmend Ziel Cyber-Krimineller

[datensicherheit.de, 12.03.2021] Am 11. März 2021 soll Molson Coors, eine der größten Brauereigruppen der Welt, einen „Cybersecurity-Vorfall“ gemeldet haben, durch welchen Teile ihrer Bierproduktion zum Erliegen gekommen sei – Details über Art und Umfang dieser Attacke seien bislang nicht veröffentlicht worden. Zahlreiche Sicherheitsexperten gingen jedoch von einem Ransomware-Angriff aus, der von den IT-Systemen auf die industrielle Betriebstechnik (OT) übergesprungen sei (Spillover-Effekt). Dies ist demnach bereits der dritte erfolgreiche Angriff auf große Getränkehersteller weltweit in den letzten beiden Jahren, so Grant Geyer, „CPO“ von Claroty, in seinem Kommentar.

Grant Geyer

Grant Geyer, Foto: Claroty

Industrielle Prozesse für finanziell motivierte Cyber-Angreifer ideales Ziel

„Da in der Lebensmittel- und Getränkeindustrie rund um die Uhr gearbeitet wird, kann ein Großteil der IT-Systeme in den Produktionsanlagen nicht häufig gepatcht werden. Dies macht diese Anlagen zu einem bevorzugten Ziel für Angriffe wie Ransomware, die den Betrieb abrupt zum Erliegen bringen können – mit dramatischen Folgen für das Unternehmen“, erläutert Geyer.
Der aktuelle „ICS Risk & Vulnerability Report“ habe gezeigt, „dass der Lebensmittel- und Landwirtschaftssektor von 2019 bis 2020 einen 56-prozentigen Anstieg der Schwachstellen in industriellen Steuerungssystemen (ICS) zu verzeichnen hat“. Industrielle Prozesse seien deshalb für finanziell motivierte Angreifer ein ideales Ziel.

Lebensmittel- und Getränkeindustrie muss rund um die Uhr auf Cyber-Bedrohungen achten

Darüber hinaus gebe es in der Lebensmittel- und Getränkeindustrie eine Vielzahl von Drittanbietern von Automatisierungslösungen, welche zu Wartungszwecken direkt auf die OT-Umgebung zugriffen. Für diese Verbindungen gebe es erschreckend wenige Identitäts- und Zugriffsmanagement-Kontrollen und noch seltener – wenn überhaupt – eine Sitzungsüberwachung und -aufzeichnung. Geyer warnt: „Bei so vielen potenziellen OT-Einstiegspunkten müssen Angreifer nicht einmal die IT/OT-Grenze überschreiten, um Schaden anzurichten.“
Um sich vor jeglicher Art von Angriffen oder Sicherheitsverletzungen zu schützen, müssten Hersteller und alle Unternehmen, die in der Lebensmittel- und Getränkeindustrie und ihrer Lieferkette tätig sind, sicherstellen, „dass sie einen vollständigen Einblick in alle ihre Systeme und Prozesse haben sowie kontinuierlich auf Bedrohungen achten, die sich aus einem gezielten oder opportunistischen Angriff ergeben könnten“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.08.2020
CLAROTY warnt vor Risiken des Fernzugriffs auf industrielle Netzwerke

CNN BUSINESS, Jordan Valinsky, 11.03.2021
Massive hack disrupts Molson Coors brewing operations

ZDNet, Natalie Gagliordi, 11.03.2021
Molson Coors discloses cyberattack disrupting its brewery operations / Miller Coors said it’s bringing in an outside forensic IT firm to investigate the breach, but that delays in shipments were likely

CLAROTY
CLAROTY BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2020

Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

[datensicherheit.de, 10.02.2021] Auch Grant Geyer, „CPO“ von Claroty, kommentiert den jüngsten Angriff auf die Trinkwasserversorgung in Florida: Am 5. Februar 2021 wurde demnach eine Wasseraufbereitungsanlage in Oldsmar, Florida, USA, aus der Ferne angegriffen – dabei sei die Natriumhydroxid-Zufuhr manipuliert worden. „Einem Mitarbeiter war dies aufgefallen, wodurch eine Gefährdung der Öffentlichkeit verhindert werden konnte.“ Geyer sieht nach eigenen Angaben in der Vermeidung von Fernzugriffen indes „keine Lösung“ – die zunehmend digitalisierte Welt, insbesondere mit der durch die „Pandemie“ ausgelösten Verlagerung der Arbeit an entfernte Orte, mache den Fernzugriff gerade im Hinblick auf Wartung oder Updates zu einer Grundvoraussetzung, selbst in Kritischen Infrastrukturen (KRITIS).

Foto: Claroty

Grant Geyer: Hacker-Angriffe, die unweigerlich weiter passieren werden, stoppen können, bevor Schaden entsteht!

Hacker erlangten mittels eines kompromittierten Kontos zweimal Zugriff auf die Systeme

Die Angreifer erlangten offenbar mittels eines kompromittierten Kontos zweimal Zugriff auf die Systeme. Beim zweiten Eindringen um 13.30 Uhr, fünfeinhalb Stunden nach dem ersten, hätten die Angreifer den Natriumhydroxid-Gehalt des Trinkwassers für Privathaushalte und Unternehmen von 100 Teilen pro Million (ppm) auf 11.100 ppm verändert. Natriumhydroxid (Ätznatron) werde dem Wasser zugesetzt, um den Säuregehalt zu regulieren und Korrosion in Rohren zu verhindern. In höheren Konzentrationen sei es wesentlicher Bestandteil von Abflussreinigern und könne bei Menschen zum Teil schwere Reizungen verursachen.
Bereits das erste Eindringen sei von dem Techniker bemerkt worden, dieser habe es jedoch zunächst wohl als den Zugriff eines Vorgesetzten eingestuft. Beim zweiten Eindringen habe er beobachten können, „wie die Angreifer die Systeme für bis zu fünf Minuten kontrollierten und auf mehrere Anwendungen zugriffen, einschließlich des chemischen Prozesses, die verändert wurden. Nachdem die Cyber-Kriminellen das System verlassen hatten, war der Mitarbeiter in der Lage, die Pegel wieder auf den Normalwert zu bringen.“ Zudem hätten redundante Systeme verhindert, dass das verunreinigte Wasser in den Wasserkreislauf gekommen wäre.

Jüngste Hacker-Attacke in Florida nicht die erste dieser Art

Dies sei aber nicht die erste Attacke dieser Art: Bereits im April 2020 sei die israelische Wasserversorgung Opfer eines großangelegten Angriffs geworden, bei dem Hacker versucht hätten, sich Zugang zu den Befehls- und Kontrollsystemen von Kläranlagen, Pumpstationen und der Abwasserinfrastruktur zu verschaffen.
Geyer betont: „Der Wasser- und Abwassersektor ist heute einer der am stärksten gefährdeten Kritischen Infrastruktur-Bereiche. Die Offenlegung von Schwachstellen in industriellen Steuerungssystemen (ICS) hat im Vergleich zum Vorjahr in diesem Sektor deutlich zugenommen.“ So habe der vor wenigen Tagen veröffentlichte halbjährliche „ICS Risk & Vulnerability Report“ festgestellt, dass die in der zweiten Jahreshälfte 2020 bekanntgewordenen ICS-Schwachstellen im Wasser- und Abwassersektor um 54 Prozent gegenüber dem zweiten Halbjahr 2019 und um 63 Prozent gegenüber dem zweiten Halbjahr 2018 gestiegen seien.

Robustes Sicherheitsprogramm gegen Hacker-Angriffe große Herausforderung

Aufgrund der langen Abschreibungsdauer von Kritis-Geräten sei die Veralterung von Technologien und die damit einhergehenden Sicherheitsschwachstellen ein häufiges Phänomen. Darüber hinaus seien viele Wasserversorger kleine Unternehmen und verfügten über wenig Ressourcen, was die Entwicklung eines robusten Sicherheitsprogramms zu einer großen Herausforderung mache.
Geyer gibt indes zu bedenken: „Die Vermeidung von Fernzugriffen ist hier allerdings keine Lösung. Die zunehmend digitalisierte Welt, insbesondere mit der durch die Pandemie ausgelösten Verlagerung der Arbeit an entfernte Orte, macht den Fernzugriff gerade im Hinblick auf Wartung oder Updates zu einer Grundvoraussetzung – selbst in Kritischen Infrastrukturen.“ Diskussionen nach dem Motto „Sollten wir oder sollten wir lieber nicht“ führten zu nichts, da diese Entwicklung nicht mehr aufzuhalten sei. Entscheidend sei es vielmehr, wie Fernzugriffe sicher implementiert werden könnten, „damit wir diese Angriffe, die unweigerlich weiter passieren werden, stoppen können, bevor Schaden entsteht“, so Geyer.

Weitere Informationen zum Thema:

CLAROTY
CLAROTY BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2020

datensicherheit.de, 09.02.2021
Florida: Hochgefährlicher Cyberangriff auf Wasserversorgung / Sicherheitsanbieter Tenable kommentiert Attacke auf Betriebstechnik

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker sind in eine Wasseraufbereitungsanlage in Florida eingedrungen und haben sie sich Zugang zur internen ICS-Plattform verschafft

datensicherheit.de, 10.02.2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module