Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Hacker Industrie

Legitime Fernwartungssoftware (Remote Administration Tool, RAT) stellt eine ernste Gefahr für industrielle Netzwerke dar. Laut einer aktuellen Untersuchung von Kaspersky Lab sind RATs weltweit auf 31,6 Prozent der Rechner industrieller Kontrollsysteme (ICS) installiert – in Deutschland (35,1 Prozent), der Schweiz (33,2 Prozent) und Österreich (32,7 Prozent) sogar noch häufiger.

Das Problem: Dass die Fernwartungssoftware im eigenen Netzwerk aktiv ist, wird von den Sicherheitsteams der betroffenen Organisationen oft erst bemerkt, wenn Cyberkriminelle diese zur Installation von Malware, Ransomware oder Kryptominern missbrauchen oder sich damit Zugriff auf Informationen beziehungsweise finanzielle Ressourcen des betroffenen Unternehmens verschaffen.

RATs sind legitime Softwaretools, mit denen Dritte aus der Ferne Zugriff auf einen Rechner erlangen können. Sie bieten Mitarbeitern einen ressourcensparenden Zugang ins Unternehmensnetzwerk, können allerdings auch von Cyberkriminellen für den unerlaubten Zugriff auf damit ausgestattete Rechner missbraucht werden. RATs werden beispielsweise in SCADA-Systemen oder HMIs (Human Machine Interfaces) von Arbeitsplatzrechnern zur Steuerung industrieller Prozesse eingesetzt. Weltweit wird jede fünfte Fernwartungssoftware (18,6 Prozent) automatisch zusammen mit der ICS-Software installiert. Dies führt zu einer mangelnden Sichtbarkeit für Systemadministratoren und macht RATs damit umso attraktiver für Angreifer.

Angriffsvektoren und mögliche Konsequenzen

Laut der Kaspersky-Untersuchung nutzen Angreifer RATs für

  • unautorisierten Zugang zum Netz des angegriffenen Unternehmens,
  • die Infektion des Netzwerks mit Malware zur Spionage und Sabotage,
  • die Erpressung von Lösegeld durch Infektionen mit Ransomware,
  • den direkten Zugriff auf finanzielle Ressourcen der angegriffenen Organisation über das infizierte Unternehmensnetz.

Die größte Gefahr durch RATs besteht darin, dass erweiterte Systemrechte erlangt werden können. Dies kann in der unbegrenzten Kontrolle über ein Industrieunternehmen resultieren und damit zu massiven finanziellen Verlusten bis hin zu physischen Schäden führen. Bei den Angriffen handelt es sich häufig um standardmäßige Brute-Force-Attacken, bei denen das Passwort durch Ausprobieren sämtlicher Zeichenkombinationen ermittelt wird. Neben dieser Methode könnten Angreifer jedoch auch Schwachstellen in der RAT-Software ausnutzen.

„Die Anzahl industrieller Kontrollsysteme mit RATs ist besorgniserregend“, konstatiert Kirill Kruglov, Senior Security Researcher im Industrial Control Systems Cyber Emergency Response Team bei Kaspersky Lab (Kaspersky Lab ICS CERT). „Viele Unternehmen ahnen nicht einmal, wie hoch das damit verbundene Risiko ist. So konnten wir vor kurzem Angriffe bei einem Automobilhersteller feststellen, der auf einem seiner Rechner RAT-Software installiert hatte. Auf dem Rechner wurde regelmäßig über Wochen hinweg versucht, verschiedene Typen von Malware zu installieren. Unsere Sicherheitslösungen blockierten mindestens zwei solcher Versuche pro Woche. Wäre das Unternehmen nicht durch unsere Sicherheitssoftware geschützt gewesen, hätte dies unangenehme Folgen nach sich gezogen. Das heißt jedoch nicht, dass Unternehmen nun sofort jedes RAT aus ihrem Netzwerk verbannen sollten. Denn letztendlich handelt es sich um nützliche Anwendungen, die Zeit und Geld sparen. Jedoch sollte deren Einsatz im Unternehmensnetz nur mit der entsprechenden Vorsicht erfolgen – speziell in industriellen Kontrollnetzwerken, die oftmals Teil der kritischen Infrastruktur sind.“

Empfehlungen des Kaspersky Lab ICS CERT

  • Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RATs, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
     
  • RATs, die zusammen mit ICS-Software installiert wurden, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
     
  • Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert werden. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum gewährt werden.

Weitere Informationen:

Den vollständigen Bericht „Threats posed by using RATs in ICS” von Kaspersky Lab ICS CERT finden Sie hier.

www.kaspersky.com/de
 

GRID LIST
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Bedrohung durch Cyber-Spionage- und Sabotageangriffe

Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr…
Tb W190 H80 Crop Int C85ebcb4ef072ba8aa27f388230b9282

Besorgnis über die ausgehenden Lieferanten-Cyberrisiken

BitSight und das Center for Financial Professionals (CeFPro) geben die Ergebnisse ihrer…
DSGVO

Sicherheit der Firmen-IT wichtiger als Datenschutz

Über 80 Prozent der deutschen Wirtschaft hat die Datenschutz-Grundverordnung (DSGVO) nur…
Weiterbildung Frau

Mitarbeiter bilden sich aus persönlichem Interesse weiter

9 von 10 Arbeitnehmern bilden sich immer wieder weiter. Was sie anspornt, ist die Lust am…
Security Expert

Nach der Cyberattacke: Externe Expertise bei Aufklärung nötig

Deutsche IT-Entscheider sind mehrheitlich (50,7 Prozent) der Meinung, dass…
DSGVO

DSGVO – Unternehmen vernachlässigen technische Datensicherheit

Um den Vorgaben der europäischen Datenschutz-Grundverordnung gerecht zu werden, müssen…