Industrial Control System Security

Die 5 schlimmsten ICS-Hacks

Marcus Pauli ist Security Analyst bei Airbus Defence and Space. Als Experte des Security Operation Centers liegen seine Schwerpunkte in den Bereichen Vulnerability Assessment/Management und IOC-Sharing. Zuvor war Marcus Pauli unter anderem als Senior Cyber Security Specialist bei Sophos sowie als Senior Application Manager bei Roche Pharma tätig.
Industrieunternehmen und kritische Infrastrukturen stehen zunehmend im Visier krimineller Hacker. Kein Wunder, dass es in der jüngeren Vergangenheit zu gravierenden Sicherheitsvorfällen gekommen ist.

Im Zeitalter der Industrie 4.0 sind immer mehr industrielle Steuerungssysteme (Industrial Control Systems, ICS) mit dem Internet verbunden. Dies entspricht den Forderungen der digitalisierten Wirtschaft nach dynamischen und höchst effizienten Automatisierungsprozessen mit organisationsübergreifenden Datentransfers. Allerdings macht es die Industriekomponenten auch angreifbar.

Das Zeitalter der vernetzten Industrie bringt Gefahren mit sich. Wir zeigen Ihnen die schlimmsten Industrie-Hacks und sagen Ihnen, was Sie tun müssen, um das Not-Aus zu verhindern.
Das Zeitalter der vernetzten Industrie bringt Gefahren mit sich. Wir zeigen Ihnen die schlimmsten Industrie-Hacks und sagen Ihnen, was Sie tun müssen, um das Not-Aus zu verhindern.
Foto: sirtravelalot - shutterstock.com

Kriminelle Hacker profitieren davon, dass Produktionsumgebungen teilweise noch aus einer Zeit stammen, in der Industriesysteme als isolierte, offline arbeitende Einheiten betrachtet wurden. Folglich waren IT-SicherheitsmaßnahmenSicherheitsmaßnahmen wie Authentifizierung, Passwort-Management oder Zugriffskontrolle nicht unbedingt notwendig und wurden oftmals auch nur lückenhaft nachgerüstet. Alles zu Security auf CIO.de

Zudem kommen in heutigen ICS-Umgebungen nicht selten Komponenten vieler unterschiedlicher Hersteller zum Einsatz, was die Transparenz und Überwachung der IT-Sicherheit erschwert. Dies spielt Angreifern in die Karten, wenn sie beispielsweise eine zielgerichtete APT (Advanced Persistent Threat) -Attacke planen, um unbemerkt und über einen möglichst langen Zeitraum Daten abzugreifen.

Die Top 5 der Industrie-Hacks

Industrial Control Systems spielen auch eine wesentliche Rolle in kritischen Infrastrukturen, kurz KRITIS. Zu den Betreibern solcher Umgebungen zählen unter anderem Energieversorger, Wasserwerke, Unternehmen der Informationstechnik und Telekommunikation sowie Organisationen aus dem Gesundheitswesen oder der Finanz- und Versicherungsbranche. In Anbetracht der Bedeutung dieser Akteure für das Gemeinwohl sind die ICS-Komponenten dieser Organisationen attraktive Ziele für Cyberkriminelle, wie unsere Zusammenstellung der fünf größten Industrie-Hacks beweist:

Stromausfall in der Ukraine

Im Dezember 2015 gelingt Hackern eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Mutmaßlich kommen hierbei Spear-Phishing-E-Mails zum Einsatz, die Mitarbeiter zum Öffnen der schädlichen Anhänge verleiten können. Die kriminellen Hacker spielen unter anderem Schadsoftware auf Systeme mit veralteter Software auf, löschen Daten auf Windows-Systemen und führen einen TDoS-Angriff (Telephony Denial of Service) auf mindestens ein Callcenter der Verteilnetzbetreiber durch, was eine Überlastung zur Folge hat. Rund 225.000 Einwohner sind von einem mehrstündigen Ausfall der Stromversorgung betroffen und haben auch keine Möglichkeit, die Störung telefonisch zu melden.

Ransomware im Krankenhaus

Im Februar 2016 schleusen Unbekannte einen Ransomware-Trojaner in das Netzwerk des Lukas-Krankenhauses in Neuss ein. Es kommt zu Störungen in IT-Systemen und Behinderungen bei der Behandlung von Patienten. Da das Netzwerk allerdings unmittelbar nach den ersten Auffälligkeiten heruntergefahren wird, wird nur ein sehr kleiner Teil der Daten verschlüsselt. Die Klinik entscheidet sich gegen eine Lösegeldzahlung und kann die Daten mit Hilfe von Backups wieder herstellen. Dennoch belaufen sich die Kosten für die Analyse des Hackerangriffs und die Wiederherstellung des IT-Betriebs auf circa eine Million Euro.

Cyberangriffe auf das Bankensystem

Im ersten Halbjahr 2016 wird bekannt, dass sich unbekannte Personen einen nicht autorisierten Zugang zu Kommunikationsdienstleistungen des SWIFT-Systems ("Society for Worldwide Interbank Financial Telecommunication") verschafft haben. Die Angreifer setzen dabei auf gängige Hacker-Methoden wie Phishing oder Watering-Hole-Angriffe. Sie versuchen, in die Banksysteme vorzudringen, Authentifizierungsdaten für den Zugang zum SWIFTNet abzuschöpfen und dort Nachrichten zu versenden, um Überweisungen auszulösen. Alleine die erfolgreichen Angriffe auf die Zentralbank von Bangladesch, die ecuadorianische Banco del Austro sowie eine ukrainische Bank verursachen einen Schaden von insgesamt 103 Millionen Dollar.

ITK-Provider mit Ausfallstunden in Millionenhöhe

Im Untersuchungszeitraum des aktuellen BSI-Lageberichts werden drei große Störungen bei ITK-Providern gemeldet. Insgesamt fallen so circa 36 Millionen Nutzerstunden in den Bereichen Telefonie beziehungsweise Internetzugang aus. Die umfangreichste Störung umfasst 27 Millionen Nutzerstunden und betrifft den Mobilfunkbereich. Alle Beeinträchtigungen werden durch Komplikationen bei der Verfügbarkeit von zentralen Authentifizierungs- beziehungsweise Routing-Komponenten verursacht. Der in Deutschland wohl bekannteste Vorfall ist der Hackerangriff auf die Deutsche Telekom im November 2016, bei dem die Internet-Router von mehr als einer Million Kunden betroffen sind.

Branchenübergreifender Angriff durch Petya

Am 27. Juni 2017 setzt der Verschlüsselungstrojaner Petya (auch: NotPetya, ExPetr, DiskCoder.C) die IT-Systeme zahlreicher Unternehmen und Institutionen außer Kraft. Ursprung und Schwerpunkt der Cyberattacke liegt in der Ukraine - allerdings hat sie weltweite Auswirkungen. Über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc soll die Ransomware verteilt worden sein. In Einzelfällen hat der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse. Betroffen sind dabei auch KRITIS-Betreiber wie ein russischer Ölproduzent, ein dänisches Logistik-Unternehmen und ein amerikanischer Pharmakonzern.

So schützen Sie kritische Infrastrukturen

Damit Ihre Industrial Control Systems vor Hackern gefeit bleiben, sollten Sie die folgenden Punkte in Angriff nehmen:

  • Netzwerk-Zonierung: Gliedern Sie Ihr Netzwerk in Bereiche, die nicht oder nur bedingt miteinander vernetzt sind. So entstehen Überwachungspunkte, die dabei helfen, von einem Angriff betroffene Zonen schnell zu lokalisieren und Hacker daran hindern, sich weiter horizontal im Netzwerk zu bewegen.

  • Authentifizierung und Zugriffskontrollen: Ihr Identitätsmanagement sollte auf einer Multi-Faktor-Authentifizierung basieren. Mithilfe einer Zugriffssteuerung und -kontrolle können Administratoren zudem definieren, wer zu welchem Zweck auf welche Geräte und Daten Zugriff hat. Dies ermöglicht auch eine sichere Fernwartung.

  • Whitelisting: Implementieren Sie Anwendungs-Whitelists auf den Servern. Die applikationsspezifischen Filter sorgen dafür, dass nur solche Programme verwendet werden können, deren Ausführung explizit erlaubt ist.

  • Komponenten-Härtung: Sie erhöhen die Sicherheit Ihrer Netzwerkkomponenten, indem Sie auf diesen ausschließlich Software einsetzen, die dort tatsächlich benötigt wird. Entfernen Sie alle Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgaben nicht zwingend erforderlich sind. Denn diese stellen ein vermeidbares Sicherheitsrisiko dar - zum Beispiel, wenn Patches nicht sofort installiert werden.

  • Monitoring: Eine möglichst frühe Angriffserkennung ist entscheidend. Setzen Sie dafür Monitoring-Systeme ein, die kritische Netzwerksegmente kontinuierlich überwachen und gewähren Sie internen Servern keinen direkten Zugang zum Internet (zum Beispiel durch Verwendung eines Proxy-Servers).

  • Notfallplan: Definieren Sie in einem Notfallplan eindeutig festgelegte Verantwortlichkeiten, Berichtslinien und Eskalationspfade, damit Sie gerüstet sind, falls es zu einem Hackerangriff kommt. Wenn keine personellen Ressourcen für ein internes Notfallteam vorhanden sind, können Sie auch auf die Unterstützung externer Anbieter zurückgreifen.

»

IDG Executive Education - Cybersecurity

IDG Executive Education

Exklusiv-Seminar "Cybersecurity"

COMPUTERWOCHE/CIO und das Fraunhofer AISEC - Institut für Angewandte und Integrierte Sicherheit laden Manager am 7. und 8. März 2018 zu einer Fortbildung in Cybersecurity ein. Lernen Sie aktuelle Risiken kennen und einzuschätzen, stellen Sie den Kontext für Ihr eigenes Business her und entwickeln Sie die passenden Abwehrstrategien.

Mehr Infos unter:

www.idg-executive-education.de

Zur Startseite