Internet of Things statt Internet of Horrors

Neue Angriffsstrategien erfordern eine angepasste Sicherheitsstrategie, die die Produktion und die IT ganzheitlich gegen Eingriffe von aussen abschirmt. Eine Firewall und der handelsübliche Virenscanner reichen längst nicht mehr aus. Unternehmen müssen die nächste Verteidigungslinie aufbauen und Anomalien in der IT-Kommunikation so schnell wie möglich erkennen.

Ein Stromausfall ist schlimm – ein Cyberangriff ist existenz­gefährdend­
Viren sind so alt wie die ersten Computerprogramme. Allerdings hat sich in den letzten Jahren der Bereich der professionellen Cyberkriminalität durch Erpressungssoftware (Ransomware) zum lukrativen Geschäftsfeld entwickelt. Mit zunehmendem Verständnis für die vernetzte Produktion haben Cyberkriminelle ein ebenso simples wie perfides Geschäftsmodell gefunden, indem sie betriebswichtige Daten verschlüsseln und diese Daten erst gegen Lösegeldzahlung wieder entschlüsseln.
Diese Verschlüsselung von Daten kann aufgrund der inzwischen weitreichenden Vernetzung der Produktionsanlagen Betriebe vollständig lahmlegen. Ohne den Austausch von Informationen zwischen Fertigungsanlagen und der IT ist das Konzept der Smart Factory mit wettbewerbs­fähiger Produktion, Fernwartung, Production on Demand oder ­neuen Geschäftsmodelle wie Pay per Use nämlich nicht denkbar. Damit hat sich auch die Bedrohungslage verschärft. Anders als die Büro-IT sind Fertigungsanlagen oft durch veraltete und nicht mehr aktualisierbare Soft- und Firmware besonders anfällig für Angriffe von aussen. Jüngste Vorfälle zeigen, dass daran durchaus das Schicksal von Unternehmen hängen kann. So musste der belgische Maschinenbauer Picanol nach einem Angriff mit Ransomware im Januar 2020 für 1500 der 2300 Beschäftigten Kurzarbeit anordnen; der Handel mit der ­Picanol-Aktie wurde kurzzeitig ausgesetzt [1].

Das Geschäftsmodell der Ransomware entwickelt sich weiter
Zwar warnt zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik generell vor Lösegeldzahlungen. Doch die Erpresser handeln in der Regel ra­tional und wissen genau, wen sie eigentlich angreifen. Daher sind Lösegeldforderungen selten Phantasiezahlen, sondern so kalkuliert, dass der Verlust durch den Betriebsstillstand oder der Wiederherstellungsaufwand grösser ist als die Geldforderung, die noch dazu über Bitcoins anonym und sofort bezahlt werden kann.
Bislang waren insbesondere stark vernetzte Grosskonzerne ins Visier von Cyberkriminellen geraten. Der norwegische Aluminiumkonzern Norsk Hydro war im März 2019 mit der Ransomware LockerGoga angegriffen worden und hatte die IT in den Geschäftsbereichen Aluminiumproduktion und Energiewirtschaft lahmgelegt [2]. Norsk Hydro hatte die Lösegeldforderung in unbekannter Höhe nicht gezahlt, sondern den Betrieb über vorhandene Backups wiederhergestellt. Trotzdem mussten nach Unternehmensangaben noch vier Wochen nach dem Vorfall viele Bereiche manuell betrieben werden. Der Schaden belief sich laut Norsk Hydro allein in der ersten Woche auf einen Betrag zwischen $ 35 und 43 Millionen.
Aufgrund derartiger Erfahrungen haben viele Grossunternehmen ihre Massnahmen bei der IT-Sicherheit massiv erhöht. Daher wenden sich Ransomware-Angreifer mehr und mehr mittelständischen Unternehmen und Behörden zu, die potenziell we­niger in Sicherheitsmassnahmen investieren [3].
So schätzt die Buchhandelskette Osiander den Schaden durch einen Cyberangriff auf die 60 Filialen im Jahr 2019 auf einen sechsstelligen Betrag – bei einem Jahresumsatz von knapp 80 Mil­lionen Euro [4]. Auch die Juwelierkette Wempe (Umsatz 2018: 524 Millionen Euro; 30 Filialen) wurde im vergangenen Jahr angegriffen und hat eingeräumt, mehr als eine Million Euro in Bitcoin für die Entschlüsselung der Daten gezahlt zu haben [5].
Behörden sind ähnlich schlecht auf Cyberangriffe vorbereitet. Im September 2019 hat der Trojaner Emotet grosse Teile der örtlichen Verwaltung der Gemeinde Neustadt am Rübenberge ausser Kraft gesetzt. Auch zehn Tage nach der ersten Verschlüsselung war das Stadtbüro nur eingeschränkt einsatzfähig, sodass Ausweisdokumente nicht ausgestellt wurden, die Stadtbibliothek für einen ganzen Monat geschlossen war und sogar die Telefon­zentrale nur eingeschränkt funktionierte [6].
Die Konzentration auf Unternehmen als lohnende Opfer verursachte im Jahr 2019 nach Schätzung der Allianz-Versicherungen weltweit bereits 520 Mil­liarden Euro durch Produktionsausfälle und Lösegeldzahlungen [7].

Der beste Schutz: Den Aufwand für Cyberkriminelle erhöhen
Ähnlich wie bei Wohnungs- und Hauseinbrüchen ist ein 100prozentiger Schutz gegen Schadprogramme und Hacker kaum zu garantieren. Dennoch kann ein durchdachtes und ganzheitliches Sicherheitskonzept das Risiko eines erfolgreichen Cyberangriffs beträchtlich verringern und den möglichen Schaden begrenzen. «Wie in normalen Wirtschafts­bereichen arbeiten auch Cyber­kriminelle gewinnorientiert», erklärt Dennis Paul, IoT-Bereichsleiter beim IT-Spezialisten mdex GmbH. «Je umfangreicher die Schutzmassnahmen sind, desto grösser ist auch die Wahrscheinlichkeit, dass sich Hacker leichtere Opfer suchen. Dies belegt die zunehmende Anzahl an Cyberangriffen auf kleinere und mittelständische Betriebe. Diese bringen zwar einzeln betrachtet geringere Erlöse durch Erpressung, können aber durch die existenzielle Gefährdung einem besonderen Handlungsdruck ausgesetzt werden.»
Zwingende Voraussetzung für einen sicheren Produktionsablauf bleibt die organisato­rische und technische Grundsicherung.

Risikofaktor Nr. 1: Der Mensch
Die erforderlichen organisatorischen Massnahmen zielen darauf ab, eine Verhaltens- und Bewusstseinsänderung bei den Mitarbeitern herbeizuführen. Nach einer Erhebung der Bitkom8 sagt ein Drittel der von Cyberangriffen betroffenen Unternehmen, dass sie von früheren Mitarbeitern vorsätzlich geschädigt wurden. Ein knappes Viertel (23 Prozent) sieht die Verantwortung bei ehemals im Betrieb ­ beschäftigten Personen, die sich aber nicht ­absichtlich falsch verhalten hätten. Immerhin 14 Prozent der befragten Unternehmen sehen die Schuld bei derzeitigen Mitarbeitern, die aus Unkenntnis gehandelt haben.
Die Verbreitung von Ransomware kann nämlich auf ganz simplen Wegen erfolgen, etwa durch das Einstecken eines USB-Sticks oder über das Anschliessen eines Service-Laptops. «Die organisatorischen Massnahmen sind erforderlich, um die Belegschaft auf die Gefahren durch Ransomware, aber auch durch Industriespionage zu sensibilisieren», sagt Dennis Paul. «Dazu gehören eindeutige Arbeitsanweisungen, das Vier-Augen-Prinzip, eine lückenlose Dokumentation und die Einhaltung von Sicherheitsstandards wie zum Beispiel ISO 27001.»

Abschottung der Produktion gegen das Internet ist unerlässlich
Wirklich effektiv ist jedoch lediglich eine Kombination verschiedener Massnahmen, und dazu zählt die möglichst lückenlose Abschottung der Produktion zum Internet mit Firewalls, geschlossenen Benutzergruppen und Verschlüsselung. «Es ist wichtig, dass nur wirklich notwendige Verbindungen zugelassen werden», sagt Dennis Paul. «Welche Systeme dürfen über welche Protokolle mit der Operational Technology (OT) kommunizieren? Welche Protokolle werden dabei verwendet? Welche Ports werden verwendet? In welche Richtung erfolgt der Kommunikationsaufbau?»
Der Hintergrund: Jede Firewall hat Schwachstellen und jede Verschlüsselung wird irgendwann zu schwach für die pure ­Rechenleistung potenzieller Angreifer. «Daher reicht es nicht aus, nur eine Firewall als Brandschutztür zu installieren», sagt Dennis Paul. «Man benötigt einen Brandmelder, der bei Anomalien in der Kommunikation zwischen Produktionsanlagen Alarm schlägt. Mit Technologien wie der Deep Packet Inspection lässt sich die Kommunikation von Produktionsanlagen nämlich passiv überwachen. Maschinen verhalten sich in der Produktion vorhersehbar und dürfen bei entsprechender Definition lediglich nach Art, Umfang und Kommunikationsrichtung vorher festgelegte Datenpakete austauschen. Mit der Erkennung von Anomalien durch Deep Packet Inspection können auffällige Aktivitäten schnell erkannt werden. Dies ermöglicht es, infizierte Systeme schnell zu isolieren und den Schaden zu begrenzen.»

Die Inkubationszeit als Schwachstelle der Ransomware
Die Eigenart von Ransomware besteht häufig darin, nach der Infektion zunächst einmal unerkannt zu bleiben und gezielt nach weiteren Systemen im Netzwerk zu suchen, die ausnutzbare Sicherheitslücken aufweisen. Diese «Inkubationszeit» ist typisch für Ransomware, da der Virus zunächst versucht, maximale Verbreitung im System zu erreichen. Gleichzeitig werden dadurch eine Vielzahl an neuen Kommunikationsbeziehungen aufgebaut, die vorher nicht definiert sind und als Anomalie erkannt werden können.
Es gibt also ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird. Im Rahmen der Anomalie-Erkennung durch Deep Packet Ins­pection wird der Datenverkehr ständig in Echtzeit kontrolliert und bei Abweichungen von den vorher definierten und erlaubten Kommunikationsbeziehungen Alarm ausgelöst.
Die Ransomware WannaCry beispielsweise hatte während des grossen Angriffs im Jahr 2017 das Protokoll SMB verwendet, da die entsprechende Sicherheitslücke genau hier aufgesetzt hat. Somit wurde also neben dem plötz­lichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war. Anhand der Kommunikation kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt – der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern.

Anomalie-Erkennung erhöht die Produktivität
Mit Deep Packet Inspection kann nicht nur das Ausspähen des Systems durch einen Virus erkannt werden, sondern auch produktionsbedingte Anomalien und Störungen. Anomalien treten nämlich nicht nur durch Ransomware auf, sondern können durch Produktionsstörungen wie etwa ­einem defekten Sensor ausgelöst werden. Über die IT-Sicherheit hinaus ist die Anomalie-Erkennung durch Deep Packet Inspection also ein hervorragendes Werkzeug, um die Produktivität deutlich zu erhöhen. DPI erkennt zum Beispiel neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, die sich nicht in einem definierten Rahmen bewegen, in Echtzeit.
«Die sichere Vernetzung wird in Zukunft nicht nur zur Abwehr von Ransomware, sondern auch zur Bekämpfung von Industriespionage immer wichtiger», erklärt Dennis Paul. «Aus unserer Erfahrung von der Smart Factory bis hin zu kritischen Infrastrukturen raten wir dringend zu einem individuellen, ganzheitlichen Sicherheitskonzept. Die Investition rechnet sich nicht nur, sondern sollte gerade wegen der sich ständig anpassenden Angriffsstrate­gien der organisierten Kriminalität mindestens so selbstverständlich sein wie das Türschloss am Eingang.»

INFOS | KONTAKT
mdex GmbH
Bäckerbarg 6
D-22889 Tangstedt

T +49 (0)4109 555 444
www.mdex.de
frage@mdex.de