[datensicherheit.de, 28.05.2020] Bereits Anfang 2020 wurde über eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in verschiedenen Regionen berichtet. Nach Analysen des Kaspersky ICS CERT [1] konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Microsoft-Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie [2], eine Technologie zum Verbergen von Daten.

Hochentwickelte Angriffe

Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor Phishing-Mails waren, die für jedes Opfer individuell sprachlich angepasst wurden. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.

Angreifer nutzten das Programm Mimikatz

Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz [3] verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.

In allen entdeckten Fällen wurde die Malware durch Sicherheitslösungen von Kaspersky nach eigenen Angaben blockiert, die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.

„Diese Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen, die von den Angreifern verwendet wurden, unsere Aufmerksamkeit“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. „Beispielsweise wird das Malware-Modul mithilfe von Steganografiemethoden im Image codiert, das Image selbst wird dabei auf legitimen Webressourcen gehostet. Das macht es fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen: Aus Sicht technischer Lösungen unterscheidet sich diese Aktivität nicht von dem üblichen Zugriff auf ein legitimes Image-Hosting. In Verbindung mit den anvisierten Zielen dieser Infektionen zeigen diese Techniken eine ausgefeilte und selektive Natur der Angriffe. Es ist besorgniserregend, dass insbesondere industrielle Auftragnehmer zu den Opfern des Angriffs gehören. Wenn die Authentifizierungsdaten von Mitarbeitern der Zuliefererorganisation in die falschen Hände geraten, kann dies zu vielen negativen Konsequenzen führen – angefangen beim Diebstahl vertraulicher Daten bis hin zu Angriffen auf Industrieunternehmen durch vom Auftragnehmer verwendete Remoteverwaltungstools.“

„Der Angriff auf industrielle Auftragnehmer zeigt, dass es für einen zuverlässigen Betrieb von entscheidender Bedeutung ist, sicherzustellen, dass sowohl Workstations als auch Server geschützt sind – sowohl in Unternehmens- als auch in betrieblichen Technologie-Netzwerken“, ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial CyberSecurity. „Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyber-Abwehr der Industrieanlage zu verwenden. Angriffe über Auftragnehmer oder Lieferanten können innerhalb des Unternehmens völlig unterschiedliche Einstiegspunkte haben, einschließlich des OT-Netzwerks. Obwohl die Hintergründe des Angriffs unklar bleiben, ist es besser davon auszugehen, dass die Angreifer das Potenzial haben, sich Zugang zu den kritischen Systemen der Einrichtung zu verschaffen. Moderne Mittel zur Netzwerküberwachung, Anomalie- und Angriffserkennung können dazu beitragen, Anzeichen eines Angriffs auf industrielle Steuerungssysteme und -geräte rechtzeitig zu erkennen und einen Vorfall zu verhindern.“

Kaspersky-Empfehlungen für mehr Schutz für Industrieunternehmen

• Mitarbeiter im sicheren Umgang mit E-Mails schulen, damit diese insbesondere Phishing-Mails erkennen können.
• Die Ausführung von Makros in Microsoft-Office-Dokumenten sowie von PowerShell-Skripten wenn möglich beschränken.
• Bei PowerShell-Prozess-Startups drauf achten, welche Microsoft-Office-Anwendungen initiiert wurden. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten
• Eine Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet.
• Eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnologie wie Kaspersky Industrial Cybersecurity for Nodes oder Kaspersky Industrial Cybersecurity for Networks [6] nutzen, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.
• Konten mit Domänenadministratorrechten nur mit Bedacht einsetzen. Nach der Verwendung solcher Konten sollte das System, auf dem die Authentifizierung durchgeführt wurde, neu gestartet werden.
• Eine Kennwortrichtlinie mit bestimmten Komplexitätsvorraussetzungen und regelmäßigen Kennwortänderungen im gesamten Unternehmen implementieren.
• Beim Verdacht auf eine Infektion eine Antivirenprüfung starten und eine Kennwortänderung für sämtliche Konten, die zum Anmelden bei den gefährdeten Systemen verwendet wurden, erzwingen.

[1] https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.security-insider.de/was-ist-mimikatz-a-851187/
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/industrial

Weitere Informationen zum Thema:

Kaspersky ICS CERT
Steganography in targeted attacks on industrial enterprises

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

Von unserem Gastautor Gordon Herenz, Content Marketing Manager bei Peak Ace AG

[datensicherheit.de, 21.02.2019] Hacking wird in unserer vernetzten Welt zu einer immer bedrohlicheren Erscheinung, da es sowohl gesellschaftlich als auch wirtschaftlich und psychologisch großen Schaden anrichten kann. Aufgrund jüngster Cyber-Attacken auf Bundestagsabgeordnete, Journalisten und Künstler sowie auf Unternehmen wie Airbus und KraussMaffei hat das Thema Cyber Security nichts von seiner Aktualität verloren – im Gegenteil.

Das unautorisierte Eindringen, bei dem ein Hacker eine Sicherheitsschwachstelle im Netzwerk bzw. in der Software ausnutzt, kommt vergleichsweise weniger häufig vor, als man annimmt, denn es erfordert ein hohes Level an Skill und Geschicklichkeit. Im Gegensatz dazu ist es keine Kunst, unzureichend geschützte Datenbanken und Benutzerdaten ausfindig zu machen und diese Daten zu auszunutzen. Das ist jedoch von Nutzer- und Netzwerkseite komplett vermeidbar – oft genügt schon das Setzen eines sicheren Passworts. Allerdings kann dieses noch so gut sein, wenn es bekannt wird, ist es mit der Sicherheit vorbei.

„Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und sollst sie nicht mit Fremden tauschen.“

Menschliches Versagen, mangelnde Sicherheitsvorkehrungen oder einfach nur Faulheit machen mangelhaft geschützte Daten auffindbar – das ist allseits bekannt und dennoch gibt es keine Anzeichen dafür, dass Daten in naher Zukunft weniger exponiert sind.

Ehemalige Mitarbeiter Gefahrenquelle Nr. 1 bei Cyber-Angriffen

Mehr als 6 von 10 Cyber-Angriffen (63 Prozent) auf ein deutsches Industrieunternehmen zwischen 2016 und 2018 stammte aus dem Firmenumfeld – sei es ein aktueller oder ein ehemaliger Mitarbeiter. Diese Personen kannten die Schwachstellen des Unternehmens, die Netzwerkzugänge sowie Passwörter zu kritischen Infrastrukturen. Somit hatten diese Eingeweihten leichteres Spiel als ein außenstehender Hacker, der sich diese Daten und Informationen erst erarbeiten muss. Eine große Gefahr für die Cyber-Sicherheit von wirtschaftlichen Umgebungen stellen also die eigenen Mitarbeiter sowie auch das unternehmerische Umfeld (z.B. Kunden und Lieferanten) dar, von denen beinahe jeder zweite digitale Angriff (48 Prozent) ausgeht.

Schäden in zweistelliger Milliardenhöhe bei deutschen Wirtschaftsunternehmen

Insgesamt entstand der deutschen Industrie in dem eingangsgenannten Zeitraum ein Schaden von rund 43,5 Milliarden Euro durch Cyber-Attacken – zu den Schäden zählen Datenverlust, Image-Verluste und Umsatzeinbußen. Jede erfolgreich durchgeführte Cyber-Attacke kostet Nerven, aber vor allem auch unternehmensseitig Geld und Zeit. 8,8 Milliarden Euro mussten deutsche Firmen extra aufbringen, um ihren Image-Schaden bei (potenziellen) Kunden und Lieferanten wieder wett zu machen, 6,7 Milliarden Euro fielen wegen Ausfällen, Diebstählen und Systemschädigungen an und 5,7 Milliarden Euro flossen in Ermittlungen und Ersatzmaßnahmen. Weitere Informationen zu den Schäden durch Hacking in der deutschen Wirtschaft zwischen 2016 bis 2018 sowie weitere Fakten zu historischen Hacks, Ethical Hacking und der Zukunft der Cyber Security sind folgender Darstellung zu entnehmen:

Hacking im digitalen Zeitalter – Eine Infografik bereitgestellt von RS Components.

2019 beginnt mit massiven Datendiebstählen

Der Januar 2019 war bezüglich Datensicherheit besorgniserregend. Das neue Jahr begann mit einem enormen Daten-Hack von deutschen Politikern sowie Personen des öffentlichen Lebens wie Jan Böhmermann oder Till Schweiger. Unter den gestohlenen Daten und Dokumenten waren z.B. Kontaktdaten (inklusive Handynummern und persönliche Adressen) sowie die Faxnummer und eine E-Mail-Adresse der Kanzlerin. Das Konvolut an Diebesgut wurde über Twitter verbreitet. Zwar sollen keine politisch-vertraulichen Dokumente geleakt worden sein, dennoch ist die Möglichkeit eines solchen Eingriffs in die Privatsphäre und in Interna ein Weckruf für all diejenigen, die Datensicherheit und Digital Security bislang auf die leichte Schulter genommen haben.

Ebenso machte zu Beginn des Jahres ein Cyber-Angriff auf Airbus Schlagzeilen, dessen Ausmaße bislang unklar sind. Ziel waren die geschäftlichen Informationssysteme des Konzerns, aber es sind wohl auch Mitarbeiterdaten korrumpiert worden. Zu dieser massiven Attacke gesellen sich zusätzlich die Passwort-Leaks von 2,2 Milliarden Accounts, die Heise öffentlich gemacht hat (neben Collection 1 sind nun auch Collection 2-5 öffentlich einsehbar). Zwar sollen die Daten nicht aus brandneuen Hacks, sondern aus älteren Leaks stammen, jedoch ändert es nichts an dem Ausmaß des Breaches.

Die Cyber-Angriffe sind Indikatoren dafür, dass die Angriffe nicht mehr nur vereinzelt, sondern massiv auftreten und die Sicherheit von IT-Umgebungen für Unternehmen, Institutionen und Privatpersonen höchste Priorität haben sollte.

Weitere Informationen zum Thema:

datensicherheit.de, 31.10.2018
Neue Publikation thematisiert Mindeststandards für staatliches Hacking

[datensicherheit.de, 11.12.2018] Cyber-Attacken auf deutsche Industrieunternehmen haben in den letzten beiden Jahren einen Schaden von mehr als 43 Milliarden Euro verursacht, so eine aktuelle Studie des Bitkom. Tendenz steigend. Um der gestiegenen Bedrohungslage zu begegnen, sind IT-Verantwortliche in Unternehmen im nächsten Jahr noch mehr gefordert. Welches die wichtigsten IT-Security-Themen 2019 sind, haben Experten des IT-Services Providers Konica Minolta zusammengestellt.

1. Strategisches Risikomanagement ist gefragter denn je
   Seit der DSGVO ist eine „angemessene IT-Sicherheit“ gesetzlich verankert. IT-Dienstleister beraten mit einem strategischen Risikomanagement, um Unternehmen dabei zu unterstützen, angemessene Lösungen zu implementieren. So sollte bei der IT-Security-Infrastruktur eine Priorisierung verbunden mit einem ausgeglichenen und angepassten Budget erfolgen. Dabei sind auch Aspekte wie Personalressource und Technologie zu berücksichtigen. Deshalb wird der strategische Beratungsansatz 2019 immer wichtiger.
2. Awareness / Sensibilisierung innerhalb von Unternehmen
   Längst ist klar, dass es keinen 100-prozentigen Schutz für Unternehmen vor Cyber-Angriffen gibt. Es stellt sich nicht die Frage, ob eine Firma Opfer einer Cyber-Attacke wird, sondern nur, wann dies der Fall sein wird. Deshalb ist Prävention und Sensibilisierung ein wichtiges Thema. Unternehmen müssen Awareness schaffen und ihre Mitarbeiter für diese Gefahren sensibilisieren. Dadurch können Infektionen mit Malware oder die Installation von Trojanern und Ransomware verhindert werden.
3. Bedrohungslage durch Ransomware weiterhin hoch
   Ransomware ist und bleibt eine große Bedrohung und lässt sich mittlerweile relativ einfach aus dem Darknet beziehen, neuerdings sogar als Ransomware-as-a-Service-Variante. Unabhängig davon, ob die Malware bereits durch das Besuchen einer manipulierten Website als Drive-by-Infektion oder das Öffnen infizierten Email-Anhänge auf dem Rechner installiert wird, kann sie einen sehr großen Schaden verursachen. Die Effizienz von Ransomware ist nach wie vor sehr hoch, weil Unternehmen meist machtlos sind, wenn ihre Daten verschlüsselt wurden. So müssen Security-Lösungen genutzt werden, die mehr können als nur Malware-Erkennung.
4. Identitäten als Service implementieren
   Ein weiteres Top-Security-Thema 2019 ist Privileged Account Management (PAM). Das bestätigt auch das Marktforschungsinstitut Gartner in seiner Trendanalyse. Damit können Unternehmen den Missbrauch privilegierter Konten erschweren und Sicherheitsteams auf Anomalien durch ungewöhnliche Zugriffe hinweisen. Mögliche Schäden bei Angriffen können so auf ein Minimum reduziert werden.
5. Hohe Verwundbarkeit von Industrieunternehmen 
   Deutsche Industrieunternehmen sind immer häufiger Ziel von Cyber-Attacken. So verzeichnete laut Bitkom jedes fünfte Unternehmen aus der Industrie die Sabotage seiner Informations- und Produktionssysteme oder Betriebsabläufe. Kein Wunder, denn aufgrund der Digitalisierung stellt die Produktion mit der wachsenden Zahl an IoT-Komponenten ein großes Einfallstor für Kriminelle dar. Denn das Sicherheitsniveau der vernetzten Systeme ist nach wie vor sehr niedrig. Je nachdem, welches Angriffsziel die Betrüger im Visier haben, lässt sich somit großer Schaden durch Produktionsausfälle oder Manipulationen verursachen.
6. Healthcare-Branche: Wenn Cyber-Angriffe lebensbedrohlich werden
   Auch das Gesundheitswesen steht weiterhin im Fadenkreuz. Mittlerweile wurden bereits Sicherheitslücken in Herzschrittmachern oder Insulinspritzen entdeckt. Während es früher nur darum ging, einen möglichst großen Schaden zu verursachen oder sich zu bereichern, stehen heute gegebenenfalls Menschenleben auf dem Spiel.
7. Fachkräftemangel bleibt wichtiges Thema
   Der Fachkräftemangel ist ein Dauerbrenner. Der Branchenverband Bitkom geht von 55.000 offenen Stellen für IT-Spezialisten aus. Damit hat sich die Zahl in den letzten vier Jahren verdoppelt. Insbesondere der Bedarf an Sicherheitsexperten ist gemäß einer Studie von Capgemini gestiegen. So klafft im Bereich Cyber-Security eine große Lücke zwischen Angebot (43 Prozent) und Nachfrage (68 Prozent). Um den Bedarf zu decken, werden Unternehmen auch 2019 zunehmend auf externe Dienstleister setzen.
8. DSGVO – Ruhe vor dem Sturm
   Die Deadline zur Umsetzung der DSGVO ist mittlerweile längst verstrichen. Zwar sollten Unternehmen mittlerweile DSGVO-konform sein und entsprechende Maßnahmen ergriffen haben, teilweise ist das jedoch noch nicht erfolgt. Da bislang noch von keinen hohen Strafen öffentlich berichtet wurde, wähnen sich Unternehmen in Sicherheit. Es ist jedoch damit zu rechnen, dass in 2019 erste härtere Strafen verhängt werden. Diese werden dazu führen, dass Unternehmen verstärkt in Aktion treten, um die Anforderungen der DSGVO zu erfüllen.

„Wir wissen heute noch nicht, wie die Werkzeuge der Hacker von morgen aussehen werden. Dennoch müssen Unternehmen für einen bestmöglichen Schutz sorgen. Mit Kanonen auf Spatzen zu schießen und die Security-Infrastruktur zu überdimensionieren, ist aber auch keine Lösung“, erklärt Florian Goldenstein, Head of IT-Security bei Konica Minolta IT Solutions. „Verantwortliche müssen erkennen, was geschützt werden soll und kurzfristig auf Angriffe reagieren. Wir unterstützen Unternehmen mit unserem strategischen Ansatz dabei, ihre IT angemessen zu sichern.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.11.2018
Trendthemen – Ein Blick auf das IT-Jahr 2019

datensicherheit.de, 20.11.2018
IT-Sicherheit: Prognose für 2019

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

[datensicherheit.de, 14.09.2018] Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie in Berlin. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“ So wurden in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (32 Prozent) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (23 Prozent) sind sensible digitale Daten abgeflossen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV).

Bild: Bitkom

Umfrage: Attacken auf deutsche Industrieunternehmen

Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen (19 Prozent) berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei 11 Prozent wurde die digitale Kommunikation ausgespäht, beispielweise E-Mails oder Messenger-Dienste. Insgesamt haben digitale IT-Angriffe bei fast der Hälfte der Befragten (47 Prozent) einen Schaden verursacht. Klassische analoge Attacken sind für die Industrie auch ein Thema, fallen aber vergleichsweise weniger ins Gewicht. 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt, bei 10 Prozent kam es in den vergangenen zwei Jahren zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen, z.B. durch die Manipulation von Geräten vor Ort in Unternehmen. Dazu BfV-Vizepräsident Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten.“

Kritische Unternehmensdaten im Visier von Angreifern

Angreifer haben im Rahmen ihrer Attacken unterschiedlich sensible Daten erbeutet. Bei fast der Hälfte (48 Prozent) der betroffenen Industrieunternehmen wurden Kommunikationsdaten wie Emails gestohlen. Bei jedem fünften Unternehmen sind durch digitale Angriffe jeweils Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) abgeflossen. Patente und Ergebnisse aus Forschung und Entwicklung sind bei jedem zehnten Unternehmen (10 Prozent) in kriminelle Hände gefallen. „Viele Unternehmen nehmen das Thema Sicherheit noch zu sehr auf die leichte Schulter, auch weil ihnen das entsprechende Know-how fehlt“, so Berg. „Erster und wichtigster Schritt ist, IT-Sicherheit im Unternehmen zur Chefsache zu machen.“

Dabei stammen die Täter häufig aus den eigenen Reihen. Bei fast zwei Drittel der Betroffenen (63 Prozent) gingen Delikte von ehemaligen oder derzeitigen Mitarbeitern aus. Die Hälfte der geschädigten Unternehmen (48 Prozent) hat Kunden, Lieferanten, externe Dienstleister oder Wettbewerber als Täter identifiziert. Bei drei von zehn (29 Prozent) waren es Privatpersonen oder Hobbyhacker, 17 Prozent der Betroffenen berichten von organisierter Kriminalität, jedes neunte betroffene Unternehmen (11 Prozent) gibt ausländische Nachrichtendienste als Täter an.

Aufmerksame Mitarbeiter als effektivster Schutz

Mitarbeiter sind es, die auf der anderen Seite aber auch dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Sechs von zehn betroffenen Industrieunternehmen (61 Prozent) sind so erstmalig auf Angriffe aufmerksam geworden. 40 Prozent der Betroffenen erhielten Hinweise auf Angriffe durch eigene Sicherheitssysteme, bei fast einem Viertel (23 Prozent) war es hingegen reiner Zufall. Nur bei 3 Prozent der Unternehmen gingen erste Hinweise auf Delikte durch externe Strafverfolgungs- oder Aufsichtsbehörden ein. „Der effektivste Schutz vor Spionage, Diebstahl oder Sabotage sind motivierte, gut geschulte und aufmerksame Mitarbeiter“, sagte Berg.

Künftige Bedrohungen sehen Unternehmen vor allem durch digitale Angriffe. Nahezu alle Befragten (97 Prozent) nennen sogenannte Zero-Day-Exploits als größte Gefahr. Dabei nutzen Angreifer Sicherheitslücken in Software aus, die bis dahin unbekannt waren. 93 Prozent fürchten die Infizierung mit Schadsoftware, zwei Drittel (68 Prozent) geben den Mangel an qualifizierten IT-Sicherheitskräften als Bedrohung an. Die zunehmende Fluktuation von Mitarbeitern ist für 58 Prozent der Unternehmen ein Risiko. Dass Kriminelle die Rechenleistungen von Internetnutzern anzapfen, etwa zum unbemerkten Schürfen von Kryptowährungen, nehmen hingegen nur 29 Prozent der Unternehmen als echte Gefahr wahr.

Weitere Informationen zum Thema:

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

Von unserem  Gastautor Marcus Pauli, Security Analyst bei Airbus Defence and Space

[datensicherheit.de, 21.02.2018] Das Zeitalter der Industrie 4.0 bringt eine klare Tendenz mit sich: Immer mehr industrielle Steuerungssysteme (Industrial Control Systems, ICS) sind mit dem Internet verbunden. Dies entspricht den Forderungen der digitalisierten Wirtschaft nach dynamischen und höchst effizienten Automatisierungsprozessen mit organisationsübergreifendem Datentransfer, macht Industriekomponenten aber auch angreifbar.

Sicherheitsmaßnahmen nur lückenhaft nachgerüstet

Cyberkriminelle profitieren davon, dass Produktionsumgebungen teilweise noch aus einer Zeit stammen, in der Industriesysteme als isolierte, offline arbeitende Einheiten betrachtet wurden. Folglich waren damals Sicherheitsmaßnahmen wie Authentifizierung, Passwortmanagement oder Zugriffskontrolle nicht unbedingt notwendig gewesen und oftmals wurden sie nur lückenhaft nachgerüstet. Zudem kommen in heutigen ICS-Umgebungen nicht selten Komponenten vieler unterschiedlicher Hersteller zum Einsatz, was die Transparenz und Überwachung der IT-Sicherheit erschwert. Dies spielt Angreifern in die Karten, wenn sie beispielsweise eine zielgerichtete APT-Attacke (Advanced Persistent Threat) planen, um unbemerkt und über einen möglichst langen Zeitraum Daten abzugreifen.

Industrial Control Systems spielen auch eine wesentliche Rolle in kritischen Infrastrukturen, kurz KRITIS. Zu den Betreibern solcher Umgebungen zählen unter anderem Energieversorger, Wasserwerke, Unternehmen der Informationstechnik und Telekommunikation sowie Organisationen aus dem Gesundheitswesen oder der Finanz- und Versicherungsbranche. In Anbetracht der Bedeutung dieser Akteure für das Gemeinwohl sind ICS-Komponenten attraktive Ziele für Cyberkriminelle.

Top 5 der größten Industrie-Hacks (Quelle: www.bsi.bund.de; BSI – Die Lage der IT-Sicherheit in Deutschland 2016)

1. Stromausfall in der Ukraine
   Im Dezember 2015 gelang Hackern mit BlackEnergy eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Mutmaßlich kamen hier Spear-Phishing-E-Mails zum Einsatz, die Mitarbeiter zum Öffnen der schädlichen Anhänge bewogen haben. Die Cyberkriminellen spielten unter anderem Schadsoftware auf Systeme mit veralteten Softwareständen auf, löschten Daten auf Windows-Systemen und führten einen TDoS-Angriff (Telephone Denial of Service) auf mindestens ein Callcenter der Verteilnetzbetreiber durch, was eine Überlastung der Telefonleitungen zur Folge hatte. Rund 225.000 Einwohner waren von einem mehrstündigen Ausfall der Stromversorgung betroffen und hatten keine Möglichkeit, die Störung telefonisch zu melden.
2. Ransomware im Krankenhaus
   Im Februar 2016 brachten Unbekannte einen Ransomware-Trojaner in das interne Netz des Lukaskrankenhauses in Neuss ein. Es kam zu Störungen in IT-Systemen und Behinderungen bei der Behandlung von Patienten. Da das Netzwerk allerdings unmittelbar nach den ersten Auffälligkeiten heruntergefahren worden war, wurde nur ein sehr kleiner Anteil der Daten verschlüsselt. Das Krankenhaus entschied sich gegen eine Lösegeldzahlung und konnte die Daten mittels Backups wieder herstellen. Dennoch wurden die Kosten für die Analyse des Angriffs und die Wiederherstellung des IT-Betriebs mit einem Betrag von ca. eine Million Euro angegeben.
3. Cyberangriffe auf das Bankensystem
   Im ersten Halbjahr 2016 wurden Vorfälle bekannt, in denen sich Unbekannte einen nicht autorisierten Zugang zu Kommunikationsdienstleistungen der „Society for Worldwide Interbank Financial Telecommunication“ (SWIFT) verschafft haben. Die Angreifer setzten gängige Hackermethoden wie Phishing oder Watering-Hole-Angriffe ein. Sie versuchten, in die Banksysteme vorzudringen, Authentifizierungsdaten für den Zugang zum SWIFTNet abzuschöpfen und dort Nachrichten zu versenden, um Überweisungen auszulösen. Allein bei den erfolgreichen Angriffen auf die Zentralbank von Bangladesch, die ecuadorianische Banco del Austro sowie eine ukrainische Bank kam es zu Schäden von insgesamt 103 Millionen US-Dollar.
4. ITK-Provider mit Ausfallstunden in Millionenhöhe
   Im Untersuchungszeitraum des aktuellen BSI-Lageberichts wurden drei große Störungen bei ITK-Providern gemeldet. Insgesamt waren hierdurch ca. 36 Millionen Nutzerstunden in den Bereichen Telefonie bzw. Internetzugang ausgefallen. Die umfangreichste Störung umfasste allein schon 27 Millionen Nutzerstunden und betraf den Mobilfunkbereich. Alle Beeinträchtigungen wurden durch Komplikationen bei der Verfügbarkeit von zentralen Authentifizierungs- bzw. Routingkomponenten verursacht. Der wohl in Deutschland bekannteste Vorfall war der Hacker-Angriff auf die Deutsche Telekom im November 2016, bei dem die Internet-Router von mehr als einer Million Kunden betroffen waren.
5. Branchenübergreifender Angriff durch Petya
   Am 27. Juni 2017 setzte der Verschlüsselungstrojaner Petya (auch: NotPetya, ExPetr, DiskCoder.C) die IT-Systeme zahlreicher Unternehmen und Institutionen außer Kraft. Ursprung und Schwerpunkt der Cyberattacke lag in der Ukraine; sie hatte allerdings weltweite Auswirkungen. Über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc soll die Ransomware verteilt worden sein. In Einzelfällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse. Betroffen waren auch KRITIS-Betreiber wie ein russischer Ölproduzent, ein dänisches Logistikunternehmen und ein amerikanischer Pharmakonzern.

So schützen Sie kritische Infrastrukturen:

• Netzwerkzonierung: Gliedern Sie Ihr Netzwerk in Bereiche, die nicht oder nur bedingt miteinander vernetzt sind. So entstehen Überwachungspunkte, die dabei helfen, von einem Angriff betroffene Zonen schnell zu lokalisieren, und Hacker daran hindern, sich weiter horizontal im Netzwerk zu bewegen.
• Authentifizierung und Zugriffskontrollen: Ihr Identitätsmanagement sollte auf einer Multi-Faktor-Authentifizierung basieren. Mithilfe einer Zugriffssteuerung und -kontrolle können Administratoren zudem definieren, wer zu welchem Zweck auf welche Geräte und Daten zugreifen darf. Dies ermöglicht auch eine sichere Fernwartung.
• Whitelisting: Implementieren Sie Anwendungswhitelists auf den Servern. Die applikationsspezifischen Filter sorgen dafür, dass nur solche Programme verwendet werden können, deren Ausführung explizit erlaubt ist.
• Komponentenhärtung: Sie erhöhen die Sicherheit Ihrer Netzwerkkomponenten, indem Sie auf diesen ausschließlich Software einsetzen, die dort tatsächlich benötigt wird. Entfernen Sie alle Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgaben nicht zwingend erforderlich sind, denn sie stellen ein vermeidbares Sicherheitsrisiko dar – zum Beispiel, wenn Patches nicht sofort installiert werden.
• Monitoring: Eine möglichst frühe Angriffserkennung ist entscheidend. Setzen Sie dafür Monitoringsysteme ein, die kritische Netzwerksegmente kontinuierlich überwachen, und gewähren Sie internen Servern keinen direkten Zugang zum Internet (zum Beispiel durch Verwendung eines Proxy-Servers in der DMZ).
• Notfallplan: Definieren Sie in einem Notfallplan eindeutig festgelegte Verantwortlichkeiten, Berichtslinien und Eskalationspfade, damit Sie gerüstet sind, falls es zu einem Angriff kommen sollte. Wenn keine personellen Ressourcen für ein internes Notfallteam vorhanden sind, können Sie auf die Unterstützung externer Anbieter zurückgreifen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.12.2017
Cyber-Sicherheit im Jahr 2018: Airbus CyberSecurity gibt Prognose ab

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 18.10.2010] Viele Industrieunternehmen haben ihre Anlagen vollständig automatisiert und vernetzt, um effizient produzieren zu können – häufig ohne für ausreichende IT-Sicherheit bei den verbundenen Systemen zu sorgen. Jetzt kommt der Schadcode Stuxnet und nistet sich massenhaft in den Steuerungssystemen für die Simatic S7 ein. Auch wenn nach den bisherigen Erkenntnissen „Stuxnet“ das Werk eines Spezialisten-Teams ist, zeigt gerade die wohl ungewollte, schnelle Verbreitung dieses Codes, wie anfällig Industrieanlagen in der ganzen Welt gegen Cracker-Angriffe sind:
Experten befürchten, dass es schnell Nachahmer geben wird – von Kriminellen über Terroristen bis hin zu Freizeit-Hackern. Mit vollständig automatisierten Produktionsanlagen steigern Unternehmen einerseits zwar ihre Wettbewerbsfähigkeit, gehen aber andererseits gleichzeitig neue Risiken ein. Denn über die Netze, die zur komfortablen Maschinensteuerung dienen, kann auch Schadcode eingeschleust und im gesamten Produktionsbereich verbreitet werden. Industrieunternehmen müssen deshalb die IT-Sicherheit im Produktionsbereich verbessern!
Eine grundlegende Maßnahme ist die Schaffung einer eigenen Sicherheitszone für die Systeme der Produktionsabteilung. Diese wird mit internen Firewalls von anderen Bereichen des lokalen Firmennetzes abgetrennt, so dass nur die Steuerungs-Software WinCC auf die S7-Anlagen zugreifen kann. Denn weder die Buchhaltung, der Vertrieb noch die Personalabteilung müssen auf die Systeme der Produktionsabteilung zugreifen können – sie sind aber mit ihren zahlreichen PC-Anwendern und Außenkontakten gut erreichbare Angriffsziele für Cracker.
Aber nicht alle Verbindungen in die Sicherheitszone der Produktions-Server können gekappt werden. Denn viele Industrieunternehmen lassen ihre zahlreichen Maschinenanlagen von den Herstellerfirmen via Fernzugriff betreuen, um den störungsfreien Betrieb sicherzustellen. Dafür müssen die Hersteller via Internet auf die Steuerungssysteme der Anlagen zugreifen können. Zur Fernwartung von Maschinenanlagen in sensiblen Produktionsbereichen bietet z.B. das deutsche IT-Sicherheitsunternehmen GeNUA eine Lösung, in dessen Mittelpunkt ein „Rendezvous-Server“ steht. Es werden keine einseitigen Wartungszugriffe von Herstellern in das Netz des Industrieunternehmens zugelassen, stattdessen kommt es dem Hersteller mit einer Verbindung von innen aus dem Produktionsbereich entgegen. Erst wenn es auf dieser zentralen Wartungsplattform zum „Rendezvous“ kommt, kann der Hersteller die jetzt durchgängige Verbindung zum Zugriff auf die betreute Anlage nutzen.

© GeNUA

Fernwartungs-Appliance GeNUBox

Weitere Informationen zum Thema:

datensicherheit.de, 03.10.2010
ENISA-Chef Dr. Udo Helmbrecht: Stuxnet stellt Paradigmenwechsel dar / Jüngste Attacke sei als „first strike“ gegen kritische Informationsinfrastruktur zu werten