[datensicherheit.de, 28.05.2020] Bereits Anfang 2020 wurde über eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in verschiedenen Regionen berichtet. Nach Analysen des Kaspersky ICS CERT [1] konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Microsoft-Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie [2], eine Technologie zum Verbergen von Daten.

Hochentwickelte Angriffe

Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor Phishing-Mails waren, die für jedes Opfer individuell sprachlich angepasst wurden. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.

Angreifer nutzten das Programm Mimikatz

Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz [3] verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.

In allen entdeckten Fällen wurde die Malware durch Sicherheitslösungen von Kaspersky nach eigenen Angaben blockiert, die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.

„Diese Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen, die von den Angreifern verwendet wurden, unsere Aufmerksamkeit“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. „Beispielsweise wird das Malware-Modul mithilfe von Steganografiemethoden im Image codiert, das Image selbst wird dabei auf legitimen Webressourcen gehostet. Das macht es fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen: Aus Sicht technischer Lösungen unterscheidet sich diese Aktivität nicht von dem üblichen Zugriff auf ein legitimes Image-Hosting. In Verbindung mit den anvisierten Zielen dieser Infektionen zeigen diese Techniken eine ausgefeilte und selektive Natur der Angriffe. Es ist besorgniserregend, dass insbesondere industrielle Auftragnehmer zu den Opfern des Angriffs gehören. Wenn die Authentifizierungsdaten von Mitarbeitern der Zuliefererorganisation in die falschen Hände geraten, kann dies zu vielen negativen Konsequenzen führen – angefangen beim Diebstahl vertraulicher Daten bis hin zu Angriffen auf Industrieunternehmen durch vom Auftragnehmer verwendete Remoteverwaltungstools.“

„Der Angriff auf industrielle Auftragnehmer zeigt, dass es für einen zuverlässigen Betrieb von entscheidender Bedeutung ist, sicherzustellen, dass sowohl Workstations als auch Server geschützt sind – sowohl in Unternehmens- als auch in betrieblichen Technologie-Netzwerken“, ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial CyberSecurity. „Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyber-Abwehr der Industrieanlage zu verwenden. Angriffe über Auftragnehmer oder Lieferanten können innerhalb des Unternehmens völlig unterschiedliche Einstiegspunkte haben, einschließlich des OT-Netzwerks. Obwohl die Hintergründe des Angriffs unklar bleiben, ist es besser davon auszugehen, dass die Angreifer das Potenzial haben, sich Zugang zu den kritischen Systemen der Einrichtung zu verschaffen. Moderne Mittel zur Netzwerküberwachung, Anomalie- und Angriffserkennung können dazu beitragen, Anzeichen eines Angriffs auf industrielle Steuerungssysteme und -geräte rechtzeitig zu erkennen und einen Vorfall zu verhindern.“

Kaspersky-Empfehlungen für mehr Schutz für Industrieunternehmen

• Mitarbeiter im sicheren Umgang mit E-Mails schulen, damit diese insbesondere Phishing-Mails erkennen können.
• Die Ausführung von Makros in Microsoft-Office-Dokumenten sowie von PowerShell-Skripten wenn möglich beschränken.
• Bei PowerShell-Prozess-Startups drauf achten, welche Microsoft-Office-Anwendungen initiiert wurden. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten
• Eine Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet.
• Eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnologie wie Kaspersky Industrial Cybersecurity for Nodes oder Kaspersky Industrial Cybersecurity for Networks [6] nutzen, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.
• Konten mit Domänenadministratorrechten nur mit Bedacht einsetzen. Nach der Verwendung solcher Konten sollte das System, auf dem die Authentifizierung durchgeführt wurde, neu gestartet werden.
• Eine Kennwortrichtlinie mit bestimmten Komplexitätsvorraussetzungen und regelmäßigen Kennwortänderungen im gesamten Unternehmen implementieren.
• Beim Verdacht auf eine Infektion eine Antivirenprüfung starten und eine Kennwortänderung für sämtliche Konten, die zum Anmelden bei den gefährdeten Systemen verwendet wurden, erzwingen.

[1] https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.security-insider.de/was-ist-mimikatz-a-851187/
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/industrial

Weitere Informationen zum Thema:

Kaspersky ICS CERT
Steganography in targeted attacks on industrial enterprises

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

[datensicherheit.de, 15.04.2020] Angesichts der gehäuften Meldungen zu Cyberangriffen rund um COVID-19 hat Carsten J. Pinnow für datensicherheit.de (ds) ein Interview mit Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales zum vorliegenden COVID-19 Cyber Threat Assessment Report 2020 geführt.

ds: Welche Trends konnten Sie in Ihrer Analyse feststellen?

Delmas: Cyberkriminelle Gruppierungen scheinen der tatsächlichen Entwicklung des Virus zu folgen, mit wichtigen Angriffen zunächst in Asien (Taiwan, Südkorea, Mongolei…), dann in Mittel- und Osteuropa (Tschechische Republik, Ukraine) und schließlich in Westeuropa (Italien, Frankreich).

In den letzten Wochen wurden viele Fake-Domains, die mit COVID-19 in Verbindung stehen, angemeldet. Mehr als 10 Prozent dieser Domains können zur Einschleusung von Malware führen (d.h. einige Millionen Möglichkeiten zur Infektion mit Malware). So duplizieren Hacker beispielsweise Websites mit Hilfe interaktiver Karten über den Verlauf des Virus und fügen ihnen Malware hinzu. Massive Spam-Kampagnen nutzen COVID-19 als Lockmittel. Diese Kampagnen zielen in der Regel darauf ab, Lösegeldforderungen und Datendiebstahl zu betreiben oder Bank-Malware (z.B. TrickBot, Agent Tesla, FormBook, Loki Bot) einzusetzen. Per E-Mail verschickte Phishing-Kampagnen fordern die Benutzer auf, sich auf einer gefälschten Office 365-Webseite anzumelden, um Zugang zu einem angeblich wichtigen Dokument zu erhalten. Betrugskampagnen (Business Email Compromise oder BEC) verbreiten nicht unbedingt Malware, sondern fordern eine Geldsumme. Darüber hinaus nehmen auch Angriffe, die von staatlich finanzierten Hackergruppen durchgeführt werden, zu (Advanced Persistent Threat). Sie benutzen COVID-19 aktuell als Vorwand, um ihre Spionagekampagnen zu starten.

Bild: Thales

Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales

Hierzu ist wichtig zu wissen, dass diese cyberkriminellen Gruppierungen nicht neu sind, sondern die gleichen Cybergangster, mit denen wir es schon vorher zu tun hatten. Nun sprangen und springen sie auf die aktuellen Entwicklungen auf und versuchen davon zu profitieren. In Zeiten, in denen wir es mit Malware-as-a-Service zu tun haben und die Versender der Phishing-Mails nicht mehr die Urheber der Schadsoftware selbst sind, wird der Erfolg der Kampagnen und letztlich der Gruppierungen daran gemessen, wer am meisten Infektionen und erpresstes Lösegeld nachweisen kann. Die Tools bekommt der Angreifer dann von selbst und natürlich erhält die erfolgreichste Gruppe auch Zugriff auf die neuesten und besten Werkzeuge. Cybercrime ist ein Geschäft und in diesem Fall ist das Ausnutzen des Informationsbedarfs innerhalb der Bevölkerung der am meisten erfolgsversprechende Treiber.

Letztlich geht es aber nicht nur um die Infektion, um die Erpressung via Ransomware, es geht auch um Industriespionage. Dass jetzt besonders viele Mitarbeiter im Home Office arbeiten ist für viele Cyberkriminelle ein Vorteil, weil sie weniger Hürden nehmen müssen, um sich Zugriff auf sensible Daten zu verschaffen.

ds: In Deutschland ist vor allem der Mittelstand gefährdet, denn er kann sich keine teuren Sicherheitslösungen leisten, schon gar nicht, wenn die halbe Belegschaft und mehr nun aus der Ferne auf die IT-Systeme zugreifen müssen. Wie können sich gerade diese mittelständischen Unternehmen am besten vor solchen Angriffen schützen?

Delmas: In der Regel können Unternehmen gegen Spear-Phishing wenig ausrichten, sie können nicht von allen Mitarbeitern ständige Wachsamkeit erwarten. Die Opfer sind nicht wirklich darauf vorbereitet und es ist schwer sie im Home-Office zu schulen. Letztlich wird bei den Phishing-E-Mails und Business E-Mail Compromise (BEC) ein enormer Druck auf die Empfänger ausgeübt und es gibt zahlreiche Beispiele, bei denen selbst Experten es schwer haben die Anzeichen auf eine Phishing-E-Mail sofort richtig zu erkennen. Wir sehen über unsere Systeme, dass vor allem Telearbeiter über Cloud Services wie Office 365 mit Phishing geradezu bombardiert werden. BEC nimmt ebenfalls eher zu, als dass es weniger wird.

Wir raten dazu die Empfehlungen der ANSSI (Agence nationale de la sécurité des systèmes d’information, das französische Counterpart zum BSI) in ihrem Bulletin d’actualité CERTFR-2020- ACT-002 zu befolgen:

1. Wichtig ist, unter keinen Umständen die Webschnittstellen von Microsoft Exchange-Servern, die nicht auf dem neuesten Stand sind, im Internet zu veröffentlichen.
2.  Gewähren Sie keinen Zugriff auf Ihre File-Sharing-Server über das SMB-Protokoll.
3.  Wenn Sie neue Dienste im Internet bereitstellen oder bereitstellen müssen, aktualisieren Sie diese sobald wie möglich mit den neuesten Sicherheits-Patches und aktivieren Sie Protokollierungsmechanismen. Wenn möglich, aktivieren Sie die Zwei-Faktor-Authentifizierung.
4. Schnelles Aufspielen von Sicherheits-Patches, insbesondere bei Geräten und Software, die dem Internet ausgesetzt sind (VPN-Lösung, Remote-Desktop-Lösung, Messaging-Lösung usw.).
5. Führen Sie Offline-Backups für Ihre kritischen Systeme durch.
6. Verwenden Sie eine firmenspezifische Zugangslösung wie VPN, idealerweise IPsec oder TLS, um zu vermeiden, dass Anwendungen direkt dem Internet ausgesetzt werden.
7. Implementierung von Zwei-Faktor-Authentifizierungsmechanismen zur Begrenzung des Risikos von Identitätsdiebstahl (VPN und zugängliche Anwendungen).
8. Überprüfen Sie regelmäßig die Zugriffsprotokolle der im Internet veröffentlichten Lösungen, um verdächtiges Verhalten zu erkennen.

Darüber hinaus sollten Sie die folgenden Tipps befolgen:

• Vermeiden Sie es, dass Ihre Mitarbeiter auf Fake-News hereinfallen. Weisen Sie Ihre Mitarbeiter darauf hin, nur vertrauenswürdige Informationen zu konsumieren, die von staatlichen Stellen stammen. Nur so gelingt es die Flut an Falschinformationen einzudämmen, die dann dazu beitragen weitere per Phishing zugeschickte Fake-News anzuklicken und den eigenen Laptop zu infizieren.
• Alarmieren Sie Ihre Telearbeiter auf der Grundlage der Empfehlungen der ANSSI. Die überwiegende Mehrheit der Institutionen und Organisationen hat sich für die Fernarbeit entschieden. Dennoch sollte die Änderung der Arbeitsumgebung die Mitarbeiter nicht dazu veranlassen, ihre Gewohnheiten zu ändern. Im Gegenteil, im Lichte der hier beschriebenen Ereignisse ist es ratsam, sich an die Vorschriften zu erinnern, die in Ihrem Unternehmen zu beachten sind.
• Geben Sie der Aufklärung von Cyber-Bedrohungen den Vorrang. Einige der Angreifer sind äußerst erfolgreich. Die Überwachung ihrer Bewegungen vor dem Hintergrund laufender Kampagnen ist auf der Ebene der Institutionen und Organisationen von wesentlicher Bedeutung. Die Aufklärungsteams für Cyber-Bedrohungen sind mit diesen Gruppen vertraut, wissen, wie sie arbeiten und was sie motiviert. Regelmäßige Analysen ermöglichen es, eine proaktive Haltung gegenüber diesen Angreifern einzunehmen.
• Die Kombination von Erkennungswerkzeugen mit Informationen über Cyber-Bedrohungen zum Schutz ihrer Systeme. Der Einsatz von Werkzeugen wie IDS (Intrusion Detection Systems), die mit den Informationen der Cyber-Bedrohungsintelligenz angereichert sind, ermöglicht, die Angriffe aller Gruppen zum Zeitpunkt ihres Auftretens zu erkennen und so den potenziellen Schaden erheblich zu reduzieren.

ds: Gibt es bei all dem Negativen auch einen kleinen Lichtblick?

Delmas: Zumindest für Europa, allerdings ist der eher schwach. Nachdem die Gruppen im März vor allem in Europa aktiv waren, lenken sie nun ihre Aufmerksamkeit auf die USA. Das heißt jedoch nicht, dass jetzt europäische Firmen weniger im Fokus stehen. Die Cyberkriminellen gehen nur Back-to-Business, also nutzen jetzt wieder die allgemeinen Aufhänger für ihre Aktivitäten und nicht mehr die Themen COVID-19 und Heimarbeit. Wir müssen also wachsam bleiben und auch mittelständische Firmen müssen auf kurz oder lang in ihre Sicherheit investieren. Wenn man allerdings die oben genannten Tipps verfolgt, dann ist die Ausgangslage schon mal besser als vorher.

ds:Herr Delmas, wir bedanken uns für das Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

[datensicherheit.de, 14.10.2019] Seit April 2019 gilt das neue Geschäftsgeheimnisgesetz (GeschGehG). Trotz des akuten Handlungsbedarfs haben viele Unternehmen noch nicht reagiert. Entscheidend ist das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen.

Ein ehemaliger Vertriebsmitarbeiter bedient sich wichtiger Kundendaten. Teure Rezepturen und Konstruktionszeichnungen werden gestohlen. Verständlich, dass Unternehmen ihre Geheimnisse schützen möchten. Nach dem seit April 2019 geltenden Gesetz genügt der bloße Geheimhaltungswille nicht mehr, um erfolgreich gegen einen Verletzter vorgehen zu können. Zusätzlich bedarf es dokumentierter, angemessener Geheimhaltungsmaßnahmen. Nur dann liegt laut Gesetzgeber überhaupt ein Geschäftsgeheimnis vor und damit die Grundlage für eine Klage auf Auskunft, Herausgabe, Schadensersatz oder Unterlassung.

Derartige Ansprüche können aber immer nur das Mittel einer möglichen Schadensbegrenzung sein. Denn: Ist das Know-how erst einmal in falsche Händen geraten, ist es eigentlich schon zu spät. In der Sache kommt es somit – aus der Sicht von Datenschützern – auf etwas ganz anderes an: Und zwar auf den faktischen Schutz aufgrund angemessener Geheimhaltungsmaßnahmen. Dieser stellt einen immensen Mehrwert für ein Unternehmen dar. Durch Berechtigungsstrukturen, technische und organisatorische Datensicherungsmaßnahmen oder durch Sensibilisierung kann die Wahrscheinlichkeit gesenkt werden, dass Know-how in die falschen Hände, zum Beispiel zum Wettbewerber, gelangt.

Das größte Risiko geht von Mitarbeitern aus

Eine wichtige Frage ist, an welcher Stelle eines Unternehmens Geschäftsgeheimnisse gefährdet sind, in die falschen Hände zu gelangen. Eine berechtigte Sorge ist die Industriespionage, da beispielsweise schlecht gesicherte Drucker ein beliebtes Einfallstor bieten. Eine besonders große Bedrohung stellen allerdings die sogenannten „internen Angreifer“ dar. In Zeiten häufiger Wechsel des Arbeitgebers geht nicht selten mit jedem Jobwechsel auch das Know-how gleich mit zum neuen Arbeitgeber über. Dies ist hinsichtlich der Erfahrungswerte und des Wissens im Kopf – abgesehen von ganz spezifischen Einzelfällen – auch nach dem neuen Gesetz letztlich nicht verhinderbar. Eine andere Dimension ist aber erreicht, wenn Konstruktionspläne kopiert oder Kundenlisten mit Konditionen auf einem privaten USB-Stick gespeichert werden.

Handlungsbedarf: Schutzkonzept erstellen

Nur bei dokumentierten angemessenen Geheimhaltungsmaßnahmen besteht ein Schutz für Unternehmen. Konkret bedeutet das, dass ein Management-System zum Schutz der Geschäftsgeheimnisse aufgebaut und dokumentiert werden muss. Für Unternehmen, die bereits eine passende Datenschutz-Organisation im Sinne der DSGVO aufgebaut haben, ist dies relativ zügig erledigt. Denn die Systematik ist identisch, anstatt um personenbezogene Daten geht es hier um die jeweiligen Geschäftsgeheimnisse.

Praktisch wird anhand des sog. PDCA-Zyklus (Plan – Do – Check – Act) zunächst mit Hilfe von Checklisten dokumentiert, welche Informationen das Unternehmen schützen, sprich zu Geschäftsgeheimnissen machen will. Nach der Erfassung werden die Informationen klassifiziert. Bei der anschließenden Bestimmung der Schutzmaßnahmen je nach Kritikalität können die bereits bestehenden Datensicherungsmaßnahmen (TOMs, sogenannte technische und organisatorische Maßnahmen) mitverwendet, überprüft und ergänzt werden. Wichtig ist schließlich, dass die Datensicherungsmaßnahmen regelmäßig angepasst und auf Wirksamkeit geprüft werden. In diesem Kontext sollte ein Unternehmen auch überprüfen, ob der Anstoß genutzt wird und direkt ein Informationssicherheits-Managementsystem (ISMS), z.B. entsprechend ISO/IEC 27001, aufgebaut wird. Der Vorteil hieran ist unter anderem, dass die Möglichkeit der Zertifizierung besteht.

Besondere Bedeutung bei den Datensicherungsmaßnahmen haben:

• Rollen- und Rechte- bzw. Berechtigungskonzept,
• passende, möglichst konkrete Vertraulichkeitserklärungen,
• technische Maßnahmen (Firewall, Virenschutz, etc.).

Daneben kommt es besonders auf die passenden Prozesse an. So muss zum Beispiel organisatorisch gewährleistet sein, dass der gekündigte Mitarbeiter keine Gelegenheit mehr zum Datendiebstahl hat und alle Schlüssel, Datenträger, Unterlagen etc. herausgibt.

Fazit

Das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen wie beispielhaft im Text beschrieben qualifiziert und schützt Geschäftsgeheimnisse nach dem neuen Geschäftsgeheimnisgesetz. Der bloße Geheimhaltungswille des Inhabers nach alter Rechtslage reicht nicht mehr aus. Unternehmen sind gut beraten, angemessene Schutzmaßnahmen zu entwickeln und zu dokumentieren.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 12.04.2019
GeschGehG: Digitaler Safe für Geschäftsgeheimnisse gefordert

[datensicherheit.de, 23.01.2014] Heute veröffentlichte die EU Agentur für Netz- und Informationssicherheit ENISA einen neuen Bericht, um über die nächsten Schritte in Richtung einer koordinierten Prüfung der Leistungsfähigkeit der oft veralteten „Industrial Control Systems“ (ICS) für die europäische Industrie zu beraten. Zu den wichtigsten Empfehlungen gehörten Prüfungen von ICS, welche ein Anliegen für alle EU-Mitgliedstaaten seien und ENISA zu folge auf EU-Ebenen behandelt werden könnte.

Heute werden IT häufig von industriellen Steuerungssystemen (z.B. SCADA) für Energie, Wasser und Verkehr eingesetzt. Diese werden verwendet, um die Effizienz zu verbessern, Kosteneinsparungen zu erzielen und die Automatisierung der Prozesse zu ermöglichen. Leider geht dies oft einher mit schlechter Planung, Mangel an Informationen, Sicherheitskonfigurationen sowie die Vereinigung von beidem: bereits bekannte und neue, unentdeckte oder noch nicht behobene „Zero-Day“-Schwachstellen in ICS / SCADA-Systemen.

ICS Systeme haben eine Lebensdauer von über 20 Jahren. Daher wurden sie traditionellerweise als unabhängige Systeme ohne ausreichende Sicherheitsanforderungen entworfen. Folglich sind sie nicht gerüstet, um mit gegenwärtigen Bedrohungen umzugehen. Die Überwindung der heutigen Sicherheitslücken erfordert ein verlässliches Verständnis von Sicherheitsbelangen (d.h. Schwachstellen, ihre Herkunft, Häufigkeit, etc.). Die richtige Risikobewertung erfordert spezialisierte Werkzeuge und Methoden. Die Agentur betont, dass es eine starke Notwendigkeit nach einer bestimmten Strategie gibt, um die Ziele, die Mission und die Vision für eine Koordinationsfähigkeitsprüfung in der EU zu definieren.

Die Studie untersucht, wie EU-Maßnahmen koordiniert werden können, um so eine Ebene einheitlicher, unabhängiger und vertrauenswürdiger ICS Testmöglichkeiten zu erreichen, die dann den derzeitigen Initiativen von Nutzen sein würden. Die Methodik umfasst Desktop-Forschung, eine Online-Umfrage und ausführliche Interviews mit 27 Experten aus der EU, den USA, Japan, Indien und Brasilien.

Die wichtigsten Ergebnisse und Empfehlungen

Der Bericht hat die 36 wichtigsten Ergebnisse und 7 Empfehlungen, sowohl für den öffentlichen als auch den privaten Sektor, herausgestellt,  mit einem speziellen Fokus auf die EU-Behörde:

1. Die Schaffung einer Koordinationsfähigkeitsprüfung unter öffentlicher Europäischer Führung und einer starken Unterstützung durch die zuständigen öffentlichen, nationalen Behörden und dem privaten Sektor der EU
2. Die Einrichtung eines vertrauenswürdigen und fachlichen Vorstands, um eine Führung zu etablieren
3. Die Gründung oder Beteiligung von spezifischen Arbeitsgruppen
4. Bestimmung eines Finanzmodells, welches angesichts der Europäischen Lage geeignet ist
5. 5. Durchführung einer Machbarkeitsstudie darüber, wie Tests organisiert werden sollten
6. Aufstellen von Kooperationsvereinbarungen mit anderen Organisationen, die sich mit ICS Sicherheiten befassen
7. Schaffung eines Wissensmanagement -Programms für ICS-Tests.

Der Executive Director von ENISA, Professor Udo Helmbrecht bemerkte: „Es gibt eine offensichtliche Notwendigkeit, die Sicherheit in kritischen Informationsinfrastrukturen und ICS-System zu erhöhen; die Risiken nehmen zu, und sehr erfahrene Angreifer und Naturkatastrophen haben die Schwächen der Systeme gezeigt. Allen beteiligten öffentlichen und privaten Einrichtungen wird dringend empfohlen, diese Sicherheitsbedenken Ernst zu nehmen.“

[datensicherheit.de, 05.05.2012] Laut einer aktuellen Studie der Sicherheitsfirma Corporate Trust, mit Unterstützung von TÜV Süd und Brainloop, erwarten Experten für 2012 Kosten von 4,2 Milliarden Euro durch Wirtschaftsspionage – mehr als die Hälfte der deutschen Unternehmen sei davon betroffen.
Die protected-networks.com GmbH aus Berlin erläutert hierzu, dass das höchste Risiko dabei weiterhin von eigenen Mitarbeitern ausgehe – in insgesamt 70,5 Prozent der Fälle seien diese, ob bewusst oder unbewusst, an den Spionageaktionen beteiligt. Stephan Brack, Gründer und „CEO“ des auf Lösungen zum Berechtigungsmanagement spezialisierten Unternehmens, sieht noch weitere Risiken, Herausforderungen und vor allem Nachholbedarf auf das Management der Unternehmen zukommen.

Foto: protected-networks.com GmbH, Berlin

Stephan Brack sieht beim Rechtemanagement Nachholbedarf für das Management in den meisten Unternehmen

Als Hersteller von Lösungen zum Berechtigungsmanagement träfen sie häufig auf Strukturen, bei denen keine großen Spionagetricks angewendet werden müssten, um an sensible Daten zu kommen, erzählt Brack. Verstärkt träten dabei inzwischen Lücken auf, die sich auf die erhöhte Mobilität im Arbeitsalltag zurückführen ließen – Unternehmer, die im Öffentlichen Raum, etwa am Flughafen, im Zug oder auf der Messe, auf ihrem Tablet-PC sensible Informationen lesen ohne zu wissen, wer ihnen gerade über die Schulter blickt, oder Leute, die noch Jahre nach ihrem Ausscheiden über Remote-Desktop-Verbindungen auf Datensätze des alten Arbeitgebers zugreifen können, weil ihnen die Rechte zwar einmal gegeben, aber nie wieder entzogen wurden.
Vor allem das zweite Beispiel zeige ein grundlegende Problematik – wenn ein Unternehmen sich überhaupt um die geordnete Vergabe von Zugriffsrechten kümmert, dann erteile es diese Rechte meist nur, aber niemand kümmere sich aber darum, dass diese Rechte auch wieder entzogen werden. Ein zweites Szenario, das dabei sehr häufig vorkomme, sei das sogenannte „Azubi-Problem“. In großen Konzernen durchliefen Auszubildende ja meist mehrere Abteilungen im Laufe ihrer Lehrjahre. Nun erhielten sie dazu von jeder Fachabteilung entsprechende Zugriffsberechtigungen – verlören diese aber nicht wieder. Dies könne schließlich dazu führen, warnt Brack, dass im schlimmsten Fall viele Azubis am Ende ihrer Ausbildung Zugriff auf mehr sensible Daten hätten
als mancher Abteilungsleiter.
Die Ansätze für Datendiebe seien also zahlreich – ob nun für eigene Mitarbeiter oder ob diese nur ausgenutzt werden, spiele dabei meist im Ergebnis keine Rolle. Dem entgegenzuwirken bedürfe aber laut Brack vor allem dreier Anstrengungen von Seiten des Managements. Zum einen müsse eine effektive und nachvollziehbare Infrastruktur zur Rechtevergabe und zum Rechtemanagement aufgebaut werden – die entsprechenden Lösungen hierzu gebe es bereits am Markt. Zum anderen müssten solche Lösungen dann aber auch genutzt werden, um die Berechtigungen jedes Mitarbeiters auf ein Minimum zu beschränken. Denn mindestens genauso oft wie Daten
bei jemandem verschwinden, der darauf gar nicht hätte zugreifen dürfen, passiere es bei denjenigen, die keine Rechte hätten haben müssen.
Zuletzt müsse das Bewusstsein für diese Art der Industriespionage und des Datendiebstahls noch höher werden. Es helfe, so Brack in einer bewusst zugespitzten Darstellung, niemandem, wenn man „im Forschungstrakt die Vorhänge zuzieht und keine Besucher mehr durch die Fertigungsstraße führt, weil man Angst vor Leuten mit Minikameras und anderem James-Bond-Spionagegerät hat – während irgendwo im Unternehmen ein Praktikant fröhlich Blaupausen und Kundendaten auf seinen USB-Stick zieht“.

Weitere Informationen zum Thema:

protected-networks.com
Mehr Sicherheit durch Berechtigungsmanagement!

[datensicherheit.de, 20.10.2010] Analysiert man die jüngsten Presseberichte über vorsätzliche Verletzungen der Datensicherheit in Betrieben, so wird im Kern erkennbar, dass – egal welcher „Köder“ hierzu ausgelegt wurde – letztlich der fahrlässige Mitarbeiter der eigentliche Verursacher des Schadens ist. Nicht selten verdrängten etwa Neugier und Bequemlichkeit das Sicherheitsbewusstsein, wird es externen Angreifern sehr leicht gemacht:
Frank von Stetten, Vorstand der HvS-Consulting AG aus Garching b. München, führte im „Auditorium“ der it-sa 2010 aus, dass zur Durchführung von Industriespionage mehr und mehr der Mensch als weiches Angriffsziel ins Visier genommen wird. Wie leicht es ist, selbst in gesicherte Betriebsbereiche einzudringen, zeigte er in einem Schulungsfilm, der einerseits belustigte, dann doch auch wieder erschreckte, weil er das menschliche Verhalten so treffend darstellt. Gerade IT-Leute seien z.B. nach seiner Erfahrung so neugierig, dass sie gerne auf einen als „Köder“ ausgelegten, mit ausgeklügelter, nicht sofort erkennbarer Schadsoftware versehenen USB-Stick hereinfielen – und diesen dann zum Auslesen an die betriebliche IT-Infrastruktur ankoppelten. So könne Neugier zur Ausforschung von Betriebsgeheimnissen, aber auch zur Einschleusung zerstörerischer Programme – wie aktuell in der Diskussion etwa der Wurm „Stuxnet“ – führen. Das Video zeigte auch, wie leicht selbst das Eindringen einer Person in einen zugangsüberwachten Betriebsbereich sein kann – das flüchtige Vorzeigen irgendeiner Ausweiskarte gegenüber dem Reinigungspersonal mit dem Hinweis auf eine angebliche Kartenstörung führe häufig zum Erfolg. Ein solches physisches Eindringen einer Person zu Pausenzeiten gestatte dann den vielfältigen Zugriff auf Datenträger – so eben auch auf Papiere. Schlüssel zu Aktenschränken seien meist schnell im Rollcontainer oder in der Stiftbox auf dem Schreibtisch zu finden – und der Akteneinsicht stehe nichts mehr im Wege. Aber auch eine Sichtung des Papierkorbes am zentralen Kopierer fördere so manche „Schätze“ zutage. Neben der Ausforschung papiergebundener Information böten sich manigfaltige Möglichkeiten zur schnellen, heimlichen Manipulation der Rechentechnik an den Arbeitsplätzen. Mit dem Wissen um interne Telefonanschlüsse ließe sich dann z.B. ein Mitarbeiter im Unternehmen gezielt anrufen – mit der Behauptung, dass dessen Arbeitsplatzrechner virenverseucht und deshalb zur Bereinigung des Problems die Kenntnis seines Passwortes notwendig sei, gelinge es in einer Vielzahl der Fälle, dieses auch spontan benannt zu bekommen. In der Regel funktioniere dies in 80 bis 90 Prozent der Fälle; mit einer Sensibilisierung der Belegschaft lasse sich diese Quote auf 20 bis 30 Prozent senken, so von Stetten.

© datensicherheit.de

Frank von Stetten: Ohne Sensibilisierung der Mitarbeiter geht es nicht, denn längst nicht alle IT-Sicherheitsprobleme sind rein technisch zu lösen.

„Security-Awareness-Kampagnen“ sollten sich in drei Phasen gliedern:

1. Wachrütteln der Betroffenen,
2. Wissensvermittlung an die Betroffenen und
3. Maßnahmen zur Nachhaltigkeit der Sensibilität und des Wissens bei den Betroffenen

Letztere seien längerfristig über drei bis fünf Jahre konzeptionell zu gestalten. Sein Haus setze für solche Kampagnen auf die IS-FOX-Produktreihe. Sicherheit müsse integraler Bestandteil der ggf. zu modifizierenden Unternehmenskultur sein.