Industrial Control System Security
Die 5 schlimmsten ICS-Hacks
Marcus Pauli ist Security Analyst bei Airbus Defence and Space. Als Experte des Security Operation Centers liegen seine Schwerpunkte in den Bereichen Vulnerability Assessment/Management und IOC-Sharing. Zuvor war Marcus Pauli unter anderem als Senior Cyber Security Specialist bei Sophos sowie als Senior Application Manager bei Roche Pharma tätig.
Im Zeitalter der Industrie 4.0 sind immer mehr industrielle Steuerungssysteme (Industrial Control Systems, ICS) mit dem Internet verbunden. Dies entspricht den Forderungen der digitalisierten Wirtschaft nach dynamischen und höchst effizienten Automatisierungsprozessen mit organisationsübergreifenden Datentransfers. Allerdings macht es die Industriekomponenten auch angreifbar.
Kriminelle Hacker profitieren davon, dass Produktionsumgebungen teilweise noch aus einer Zeit stammen, in der Industriesysteme als isolierte, offline arbeitende Einheiten betrachtet wurden. Folglich waren IT-SicherheitsmaßnahmenSicherheitsmaßnahmen wie Authentifizierung, Passwort-Management oder Zugriffskontrolle nicht unbedingt notwendig und wurden oftmals auch nur lückenhaft nachgerüstet. Alles zu Security auf CIO.de
Zudem kommen in heutigen ICS-Umgebungen nicht selten Komponenten vieler unterschiedlicher Hersteller zum Einsatz, was die Transparenz und Überwachung der IT-Sicherheit erschwert. Dies spielt Angreifern in die Karten, wenn sie beispielsweise eine zielgerichtete APT (Advanced Persistent Threat) -Attacke planen, um unbemerkt und über einen möglichst langen Zeitraum Daten abzugreifen.
Die Top 5 der Industrie-Hacks
Industrial Control Systems spielen auch eine wesentliche Rolle in kritischen Infrastrukturen, kurz KRITIS. Zu den Betreibern solcher Umgebungen zählen unter anderem Energieversorger, Wasserwerke, Unternehmen der Informationstechnik und Telekommunikation sowie Organisationen aus dem Gesundheitswesen oder der Finanz- und Versicherungsbranche. In Anbetracht der Bedeutung dieser Akteure für das Gemeinwohl sind die ICS-Komponenten dieser Organisationen attraktive Ziele für Cyberkriminelle, wie unsere Zusammenstellung der fünf größten Industrie-Hacks beweist:
Stromausfall in der Ukraine
Im Dezember 2015 gelingt Hackern eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Mutmaßlich kommen hierbei Spear-Phishing-E-Mails zum Einsatz, die Mitarbeiter zum Öffnen der schädlichen Anhänge verleiten können. Die kriminellen Hacker spielen unter anderem Schadsoftware auf Systeme mit veralteter Software auf, löschen Daten auf Windows-Systemen und führen einen TDoS-Angriff (Telephony Denial of Service) auf mindestens ein Callcenter der Verteilnetzbetreiber durch, was eine Überlastung zur Folge hat. Rund 225.000 Einwohner sind von einem mehrstündigen Ausfall der Stromversorgung betroffen und haben auch keine Möglichkeit, die Störung telefonisch zu melden.
Ransomware im Krankenhaus
Im Februar 2016 schleusen Unbekannte einen Ransomware-Trojaner in das Netzwerk des Lukas-Krankenhauses in Neuss ein. Es kommt zu Störungen in IT-Systemen und Behinderungen bei der Behandlung von Patienten. Da das Netzwerk allerdings unmittelbar nach den ersten Auffälligkeiten heruntergefahren wird, wird nur ein sehr kleiner Teil der Daten verschlüsselt. Die Klinik entscheidet sich gegen eine Lösegeldzahlung und kann die Daten mit Hilfe von Backups wieder herstellen. Dennoch belaufen sich die Kosten für die Analyse des Hackerangriffs und die Wiederherstellung des IT-Betriebs auf circa eine Million Euro.
Cyberangriffe auf das Bankensystem
Im ersten Halbjahr 2016 wird bekannt, dass sich unbekannte Personen einen nicht autorisierten Zugang zu Kommunikationsdienstleistungen des SWIFT-Systems ("Society for Worldwide Interbank Financial Telecommunication") verschafft haben. Die Angreifer setzen dabei auf gängige Hacker-Methoden wie Phishing oder Watering-Hole-Angriffe. Sie versuchen, in die Banksysteme vorzudringen, Authentifizierungsdaten für den Zugang zum SWIFTNet abzuschöpfen und dort Nachrichten zu versenden, um Überweisungen auszulösen. Alleine die erfolgreichen Angriffe auf die Zentralbank von Bangladesch, die ecuadorianische Banco del Austro sowie eine ukrainische Bank verursachen einen Schaden von insgesamt 103 Millionen Dollar.
ITK-Provider mit Ausfallstunden in Millionenhöhe
Im Untersuchungszeitraum des aktuellen BSI-Lageberichts werden drei große Störungen bei ITK-Providern gemeldet. Insgesamt fallen so circa 36 Millionen Nutzerstunden in den Bereichen Telefonie beziehungsweise Internetzugang aus. Die umfangreichste Störung umfasst 27 Millionen Nutzerstunden und betrifft den Mobilfunkbereich. Alle Beeinträchtigungen werden durch Komplikationen bei der Verfügbarkeit von zentralen Authentifizierungs- beziehungsweise Routing-Komponenten verursacht. Der in Deutschland wohl bekannteste Vorfall ist der Hackerangriff auf die Deutsche Telekom im November 2016, bei dem die Internet-Router von mehr als einer Million Kunden betroffen sind.
Branchenübergreifender Angriff durch Petya
Am 27. Juni 2017 setzt der Verschlüsselungstrojaner Petya (auch: NotPetya, ExPetr, DiskCoder.C) die IT-Systeme zahlreicher Unternehmen und Institutionen außer Kraft. Ursprung und Schwerpunkt der Cyberattacke liegt in der Ukraine - allerdings hat sie weltweite Auswirkungen. Über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc soll die Ransomware verteilt worden sein. In Einzelfällen hat der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse. Betroffen sind dabei auch KRITIS-Betreiber wie ein russischer Ölproduzent, ein dänisches Logistik-Unternehmen und ein amerikanischer Pharmakonzern.
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
So schützen Sie kritische Infrastrukturen
Damit Ihre Industrial Control Systems vor Hackern gefeit bleiben, sollten Sie die folgenden Punkte in Angriff nehmen:
Netzwerk-Zonierung: Gliedern Sie Ihr Netzwerk in Bereiche, die nicht oder nur bedingt miteinander vernetzt sind. So entstehen Überwachungspunkte, die dabei helfen, von einem Angriff betroffene Zonen schnell zu lokalisieren und Hacker daran hindern, sich weiter horizontal im Netzwerk zu bewegen.
Authentifizierung und Zugriffskontrollen: Ihr Identitätsmanagement sollte auf einer Multi-Faktor-Authentifizierung basieren. Mithilfe einer Zugriffssteuerung und -kontrolle können Administratoren zudem definieren, wer zu welchem Zweck auf welche Geräte und Daten Zugriff hat. Dies ermöglicht auch eine sichere Fernwartung.
Whitelisting: Implementieren Sie Anwendungs-Whitelists auf den Servern. Die applikationsspezifischen Filter sorgen dafür, dass nur solche Programme verwendet werden können, deren Ausführung explizit erlaubt ist.
Komponenten-Härtung: Sie erhöhen die Sicherheit Ihrer Netzwerkkomponenten, indem Sie auf diesen ausschließlich Software einsetzen, die dort tatsächlich benötigt wird. Entfernen Sie alle Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgaben nicht zwingend erforderlich sind. Denn diese stellen ein vermeidbares Sicherheitsrisiko dar - zum Beispiel, wenn Patches nicht sofort installiert werden.
Monitoring: Eine möglichst frühe Angriffserkennung ist entscheidend. Setzen Sie dafür Monitoring-Systeme ein, die kritische Netzwerksegmente kontinuierlich überwachen und gewähren Sie internen Servern keinen direkten Zugang zum Internet (zum Beispiel durch Verwendung eines Proxy-Servers).
Notfallplan: Definieren Sie in einem Notfallplan eindeutig festgelegte Verantwortlichkeiten, Berichtslinien und Eskalationspfade, damit Sie gerüstet sind, falls es zu einem Hackerangriff kommt. Wenn keine personellen Ressourcen für ein internes Notfallteam vorhanden sind, können Sie auch auf die Unterstützung externer Anbieter zurückgreifen.