IT-Sicherheit
Verhängnisvolle Verbindungen
Hacken mit Mittagspause und geregelter Arbeitszeit
Aus anderen Motiven sind Pharmakonzerne und andere produzierende Unternehmen Ziel von Angriffen. Dort geht es meist um Industriespionage. Generell sind jedoch all jene Firmen interessant für Hacker, die Daten ihrer Kunden speichern. Denn diese können im Internet weiterverkauft werden.
Einzeltäter, die von ihrem Versteck aus in der Nacht in Firmen eindringen - das Klischeebild vom Hacker verkehrt sich in der Realität ins Gegenteil. IT-Sicherheitsexperten berichten, dass sie den Ursprung zahlreicher Angriffe schon zu einzelnen Gebäude zurückverfolgen konnten. Dort wurde dann zu arbeitnehmerfreundlichen Zeiten zwischen neun und 17 Uhr versucht, in fremde Netze einzudringen.
- Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden. - Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment. - Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen. - Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos. - Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie. - Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt. - Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt. - Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht. - Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.
Zur Mittagszeit ließ die Zahl der Attacken merklich nach - man gönnte sich offenbar wie in jedem anderen Betrieb eine Pause. Einige dieser Hackerbüros sollen sich auf bestimmte Angriffsweisen spezialisiert haben, die sie als Dienstleistung anbieten.
Passgenau auf die Art der Attacke abgestimmt sind zunehmend auch Hacker-Werkzeuge und Schadsoftware. Diese lassen sich auf eigenen Marktplätzen erwerben. Die Vorgehensweise der Cyberkriminellen hängt eng mit ihrer Motivation zusammen. So nutzen Spione - seien es staatliche oder von Konkurrenten beauftragte - häufig Social Engineering. Dabei suchen sie gezielt nach einer Person im Unternehmen, die entweder über die gesuchten Informationen verfügt, oder dank umfangreicher Rechte an sie gelangen könnte. Über Tricks wird sie dazu verleitet, einen Link zu klicken, der Schadsoftware enthält und so das Netzwerk des Opfers infiltriert.
Geht es dagegen darum, generell das Netzwerk von Unternehmen zu infizieren, verteilen einige Kriminelle USB-Sticks auf Messen oder verschicken CDs, auf denen hinter der vermeintlichen Produktinformation Schadprogramme versteckt sind. Oder es werden schlicht Internetseiten infiziert, auf denen spezielle Berufsgruppen häufiger Informationen suchen. Diese Art des Angriffs nennt sich "Attacke am Wasserloch" - selbst Entwickler des US-Konzerns AppleApple gingen schon in die Falle. Alles zu Apple auf CIO.de
Angesichts der Vielzahl von Angreifern und Methoden sei es für Unternehmen immer wichtiger, Abwehrmechanismen zu entwickeln, sagt ISF Geschäftsführer Durbin. Fundamental sei eine Basis-Sicherheits-Hygiene: Firewalls auf den Geräten, regelmäßige Updates der Software und kontinuierliche Aufmerksamkeit der Mitarbeiter. Es müsse auch einen Plan dafür geben, wie sich der Betrieb von einem unerwarteten Angriff rasch erholen könne und wie die nötige Spurensuche ablaufe. "Damit Firmen ähnliche Angriffe in Zukunft vermeiden können", so Durbin.
Damit ein solcher Plan funktioniert, sei es nötig, ihn regelmäßig durchzuspielen. Denn: "Die Unternehmen müssen begreifen, dass es keine hundertprozentige Sicherheit gibt."
(Quelle: Handelsblatt)