Security

Industrial Security: der Malware auf der Spur

Mit zunehmendem Einsatz von IoT-Technologien (Internet of Things) rückt auch die Sicherheit sogenannter OT-Netzwerke (Operational Technology) stärker in den Fokus. Ohne entsprechende Sicherheitsmaßnahmen gefährden Angriffe auf OT-Netzwerke und -Maschinen komplette Betriebsabläufe. Ein Beispiel ist der WannaCry Ransomware-Angriff im Mai 2017, der sich nach seinem Ausbruch in einem britischen Krankenhausnetzwerk noch in derselben Nacht auf mehrere Produktionsbetriebe in mehr als 150 Ländern ausweitete. Als Infektionsursache wurde eine Malware identifiziert, die öffentliche Adressräume im Internet scannte und sich wie ein Lauffeuer in denjenigen Netzwerken verbreitete, bei denen das Server-Message-Block-Netzwerkprotokoll für externe Verbindungen geöffnet war. Die Malware verwendete von der NSA gestohlene Exploits, die eine bekannte Schwachstelle im Windows-Betriebssystem ausnutzten. Viele Unternehmen aktualisierten ihre Systeme trotz bereitgestellter Patches nicht rechtzeitig oder vertrauten auf eine Trennung von IT- und OT-Netzwerken.

Bei den betroffenen Unternehmen und Organisationen unterbrach die WannaCry-Ransomware die Betriebsabläufe. Sie verschlüsselte wichtige Unternehmens- und Administrationsdaten und forderte für deren Freigabe eine Bezahlung. Was wir aus diesem disruptiven Angriff lernen können? WannaCry beschränkt sich auf ungepatchte Systeme, sodass ein frühzeitiges Patching die beste Vorsichtsmaßnahme gegen die Bedrohung zu sein scheint. Doch der Sicherheitsansatz bei OT-Netzwerken ist wesentlich komplexer. Denn Produktionsmaschinen sind in der Regel vom Hersteller zertifiziert, Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann dabei unerwünschte Auswirkungen auf die Produktionsparameter haben. Daher sind die klassischen IT-Sicherheitsmaßnahmen für OT-Bereiche nicht immer anwendbar, sodass auf einen mehrschichtigen Sicherheitsansatz gesetzt werden sollte.

Selbst wenn das OT-Netzwerk vom IT-Unternehmensnetzwerk getrennt wird, sind sowohl Menschen als auch Daten oft in beiden Netzwerken unterwegs. Deshalb müssen hier gleichermaßen hohe Sicherheitsstandards gelten. In den allermeisten Unternehmen findet heute in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzwerkverkehrs statt. Im besten Fall führt dies dann „nur“ zu einem Prozessausfall. Ein Problem ist markant: Häufig werden gar keine Sicherheitsinformationen aus den industriellen Netzen erhoben, so dass sowohl Eintrittspunkt und Angriffspfad, also auch der Angriffszeitpunkt nicht genau festgestellt werden können. Die zunehmende Bedrohung zwingt Unternehmen deshalb dazu, neben der „Corporate IT“ auch die Sicherheitsprozesse bei industriellen Infrastrukturen zu berücksichtigen.  

Präventive Sicherheitsmaßnahmen

Basierend auf den industriellen Sicherheitsstandards (ISA-99 und IEC 62443) dürften innerhalb des OT-Systems unter anderem nur die nötigsten Anwendungen zur Kommunikation berechtigt sein. Zunächst sollte das Netzwerk deshalb in verschiedene Bereiche segmentiert werden. Außerdem sollten verschiedene Sicherheitsstufen eingeführt und nur Systeme innerhalb einer bestimmten Sicherheitsstufe miteinander kommunizieren dürfen. Jegliche Kommunikation – insbesondere zwischen IT und OT – sowie der relevante Datenverkehr über die Grenzen einer Stufe hinaus müssen dabei überwacht werden. Für eine fundierte Risikoanalyse sollte zudem ein Archiv über alle IT- und OT-Bestände (Assets) geführt werden, in dem unter anderem auch die Eigentümer, Hersteller, Standorte und Konfigurations-Backup-Daten hinterlegt sind.

Alle bisher dokumentierten großen Angriffe auf Maschinen wie die von WannaCry gelangten über die mit der OT verbundenen IT-Infrastrukturen in das Anlagennetzwerk. Bereits durch angemessenes Patching der IT-Komponenten hätten Unternehmen den erfolgreichen Attacken von WannaCry Einhalt gebieten können. Dabei ist der Aufwand überschaubar: Relevante Patches können in IT-Netzwerken von einer zentralen Plattform aus gesteuert werden. Bei OT-Beständen ist das jedoch mitunter nicht möglich. Deshalb hat IBM neben einer Lösung für IT- auch eine Patch-Management-Version für OT-Systeme entwickelt. Sie wird von ihrem Business-Partner Verve Industrial angeboten. Die Lösung ist praktisch rückwirkungsfrei und kommt ohne Betriebsunterbrechungen oder aktive Komponenten aus. Sowohl IBM BigFix für IT als auch Verve für OT lassen sich im Übrigen auch in IBMs zentrale Security Intelligence (QRadar SIEM, Security Information and Event-Management) integrieren. In dieser Kombination können beide Lösungen:

  • Endpunkte ermitteln, um Assets in ihrem definierten Einsatzbereich zu identifizieren;
  • Schwachstellen beseitigen, wenn ein Patch vorliegt;
  • anfällige Dienste erkennen und ggf. deaktivieren, bzw. Informationen zur tatsächlichen Bedrohungslage erhalten;
  • Berechtigungen für privilegierte Domänenkonten und Dienstkonten so gering wie möglich halten und Administratorenrechte von Standardbenutzerkonten entfernen;
  • Methodisch sicherstellen, dass Standardkennwörter industrieller Komponenten geändert werden.

Detektive Sicherheitsmaßnahmen

Normalerweise sind zentrale Security Information und Event Management-Systeme (SIEM)-Systeme dafür zuständig, verschiedene sicherheitsrelevante Daten zu erfassen, diese zu analysieren, zu korrelieren und –  basierend auf vordefinierten Regeln – Alarm auszulösen. Es gibt jedoch auch einige Punktlösungen und Netzwerkflussanalysen, die Cybergefahren erkennen können. Beispielweise können auch IBM BigFix für IT und Verve für OT helfen, Bedrohungen schnell zu erkennen, in dem sie anomales Prozessverhalten registrieren und selbst unbekannte und Zero-Day-Bedrohungen identifizieren. Durch eine Kombination dieser Security-Lösungen wäre WannaCry womöglich einfacher und schneller zu identifizieren gewesen.

Die folgende Grafik fasst die Wirkungsphasen von Sicherheitsmaßnahmen zum besseren Schutz industrieller Infrastrukturen vor Bedrohungen zusammen

Zwar gibt es für WannaCry nur begrenzte Möglichkeiten, die Infektion und deren Verbreitung in OT-Umgebungen zu verhindern. Jedoch hätten Kommunikationsversuche des Schadcodes potenziell entdeckt werden können. Erst recht, wenn ein SIEM-System vorhanden gewesen und entsprechend gewartet worden wäre.

Fazit: Natürlich sind insbesondere sehr ausgeklügelte Angriffe nicht immer vermeidbar. Allerdings gibt es in jedem Fall Alarmzeichen, mit denen Cyberattacken schneller erkannt und gestoppt werden können. Dazu müssen jedoch rechtzeitig entsprechende Sicherheitsmaßnahmen, zu denen auch automatische OT-Systemupdates und der Einsatz von SIEM-Systemen gehören, getroffen werden.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

IT-Sicherheit im Fokus bei der IoT-Implementierung

Das Internet of Things oder Internet der Dinge durchdringt bereits jetzt Unternehmen sowie das tägliche Leben von Verbrauchern. Experten sind sich einig, dass die Vernetzung und das Zusammenspiel von Geräten, Sensoren, Maschinen, Gebrauchsgütern etc. via IP-Netz weiterhin zunehmen und das Leben, Arbeiten und Art des Wirtschaftens verändern, wenn nicht revolutionieren werden – Stichworte sind Smart […]

Digitalisierung und Automatisierung in der Finanzdienstleistungsbranche

Neue Marktteilnehmer, veränderte Gewohnheiten bei den Verbrauchern, neue Marktmechanismen und neue Regularien verwandeln Bankdienstleistungen mit sehr hoher Geschwindigkeit. Für Banken gibt es dabei folgende Herausforderungen: Immer weniger Menschen besuchen Bankfilialen. Stattdessen benutzen sie ihre Handys – nicht nur um zu bezahlen, sondern inzwischen auch, um fast alle Bankgeschäfte abzuwickeln. Banken müssen also innovativ sein, um […]

Kostenfalle Datenpannen: Investition in automatisierte Sicherheitslösungen zahlen sich aus

Der Aufruhr bei einem Cyberangriff mit Datenverlust ist groß. Für den Betrieb wichtige Daten gehen verloren, Betroffene werden mittlerweile oft mit Bitcoin-Lösegeldern erpresst, Datenschützer schlagen Alarm. Für die meisten Unternehmen steht auch finanziell einiges auf dem Spiel. Denn eine Datenpanne ist kostspielig. Die durchschnittlichen Kosten einer Datenpanne betragen in Deutschland laut der aktuellen Studie „Cost […]