Top fünf der größten Industrie-Hacks

Industrieunternehmen und kritische Infrastrukturen stehen verstärkt im Visier von Cyberkriminellen. Kein Wunder also, dass es in der jüngsten Vergangenheit zu einigen gravierenden Sicherheitsvorfällen kam.

Das Zeitalter der Industrie 4.0 bringt eine klare Tendenz mit sich: Immer mehr industrielle Steuerungssysteme (Industrial Control Systems, ICS) sind mit dem Internet verbunden. Dies entspricht den Forderungen der digitalisierten Wirtschaft nach dynamischen und höchst effizienten Automatisierungsprozessen mit organisationsübergreifendem Datentransfer, macht Industriekomponenten aber auch angreifbar.

Anzeige

Cyberkriminelle profitieren davon, dass Produktionsumgebungen teilweise noch aus einer Zeit stammen, in der Industriesysteme als isolierte, offline arbeitende Einheiten betrachtet wurden. Folglich waren damals Sicherheitsmaßnahmen wie Authentifizierung, Passwortmanagement oder Zugriffskontrolle nicht unbedingt notwendig gewesen und oftmals wurden sie nur lückenhaft nachgerüstet. Zudem kommen in heutigen ICS-Umgebungen nicht selten Komponenten vieler unterschiedlicher Hersteller zum Einsatz, was die Transparenz und Überwachung der IT-Sicherheit erschwert. Dies spielt Angreifern in die Karten, wenn sie beispielsweise eine zielgerichtete APT-Attacke (Advanced Persistent Threat) planen, um unbemerkt und über einen möglichst langen Zeitraum Daten abzugreifen.

Industrial Control Systems spielen auch eine wesentliche Rolle in kritischen Infrastrukturen, kurz KRITIS. Zu den Betreibern solcher Umgebungen zählen unter anderem Energieversorger, Wasserwerke, Unternehmen der Informationstechnik und Telekommunikation sowie Organisationen aus dem Gesundheitswesen oder der Finanz- und Versicherungsbranche. In Anbetracht der Bedeutung dieser Akteure für das Gemeinwohl sind ICS-Komponenten attraktive Ziele für Cyberkriminelle.

Die fünf schlimmsten Cyberangriffe auf ICS-Systeme

Stromausfall in der Ukraine

Im Dezember 2015 gelang Hackern mit BlackEnergy eine koordinierte Attacke auf mindestens drei Energienetzbetreiber in der Ukraine. Mutmaßlich kamen hier Spear-Phishing-E-Mails zum Einsatz, die Mitarbeiter zum Öffnen der schädlichen Anhänge bewogen haben. Die Cyberkriminellen spielten unter anderem Schadsoftware auf Systeme mit veralteten Softwareständen auf, löschten Daten auf Windows-Systemen und führten einen TDoS-Angriff (Telephone Denial of Service) auf mindestens ein Callcenter der Verteilnetzbetreiber durch, was eine Überlastung der Telefonleitungen zur Folge hatte. Rund 225.000 Einwohner waren von einem mehrstündigen Ausfall der Stromversorgung betroffen und hatten keine Möglichkeit, die Störung telefonisch zu melden.

Ransomware im Krankenhaus

Im Februar 2016 brachten Unbekannte einen Ransomware-Trojaner in das interne Netz des Lukaskrankenhauses in Neuss ein. Es kam zu Störungen in IT-Systemen und Behinderungen bei der Behandlung von Patienten. Da das Netzwerk allerdings unmittelbar nach den ersten Auffälligkeiten heruntergefahren worden war, wurde nur ein sehr kleiner Anteil der Daten verschlüsselt. Das Krankenhaus entschied sich gegen eine Lösegeldzahlung und konnte die Daten mittels Backups wieder herstellen. Dennoch wurden die Kosten für die Analyse des Angriffs und die Wiederherstellung des IT-Betriebs mit einem Betrag von ca. eine Million Euro angegeben.

Cyberangriffe auf das Bankensystem

Im ersten Halbjahr 2016 wurden Vorfälle bekannt, in denen sich Unbekannte einen nicht autorisierten Zugang zu Kommunikationsdienstleistungen der „Society for Worldwide Interbank Financial Telecommunication“ (SWIFT) verschafft haben. Die Angreifer setzten gängige Hackermethoden wie Phishing oder Watering-Hole-Angriffe ein. Sie versuchten, in die Banksysteme vorzudringen, Authentifizierungsdaten für den Zugang zum SWIFTNet abzuschöpfen und dort Nachrichten zu versenden, um Überweisungen auszulösen. Allein bei den erfolgreichen Angriffen auf die Zentralbank von Bangladesch, die ecuadorianische Banco del Austro sowie eine ukrainische Bank kam es zu Schäden von insgesamt 103 Millionen US-Dollar.

ITK-Provider mit Ausfallstunden in Millionenhöhe

Im Untersuchungszeitraum des aktuellen BSI-Lageberichts wurden drei große Störungen bei ITK-Providern gemeldet. Insgesamt waren hierdurch ca. 36 Millionen Nutzerstunden in den Bereichen Telefonie bzw. Internetzugang ausgefallen. Die umfangreichste Störung umfasste allein schon 27 Millionen Nutzerstunden und betraf den Mobilfunkbereich. Alle Beeinträchtigungen wurden durch Komplikationen bei der Verfügbarkeit von zentralen Authentifizierungs- bzw. Routingkomponenten verursacht. Der wohl in Deutschland bekannteste Vorfall war der Hacker-Angriff auf die Deutsche Telekom im November 2016, bei dem die Internet-Router von mehr als einer Million Kunden betroffen waren.

Branchenübergreifender Angriff durch Petya

Am 27. Juni 2017 setzte der Verschlüsselungstrojaner Petya (auch: NotPetya, ExPetr, DiskCoder.C) die IT-Systeme zahlreicher Unternehmen und Institutionen außer Kraft. Ursprung und Schwerpunkt der Cyberattacke lag in der Ukraine; sie hatte allerdings weltweite Auswirkungen. Über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc soll die Ransomware verteilt worden sein. In Einzelfällen hatte der Angriff massive Auswirkungen auf Produktion und Geschäftsprozesse. Betroffen waren auch KRITIS-Betreiber wie ein russischer Ölproduzent, ein dänisches Logistikunternehmen und ein amerikanischer Pharmakonzern.

(Quelle: www.bsi.bund.de; BSI – Die Lage der IT-Sicherheit in Deutschland 2016)

So schützen Sie kritische Infrastrukturen:

  • Netzwerkzonierung: Gliedern Sie Ihr Netzwerk in Bereiche, die nicht oder nur bedingt miteinander vernetzt sind. So entstehen Überwachungspunkte, die dabei helfen, von einem Angriff betroffene Zonen schnell zu lokalisieren, und Hacker daran hindern, sich weiter horizontal im Netzwerk zu bewegen.
     
  • Authentifizierung und Zugriffskontrollen: Ihr Identitätsmanagement sollte auf einer Multi-Faktor-Authentifizierung basieren. Mithilfe einer Zugriffssteuerung und -kontrolle können Administratoren zudem definieren, wer zu welchem Zweck auf welche Geräte und Daten zugreifen darf. Dies ermöglicht auch eine sichere Fernwartung.
     
  • Whitelisting: Implementieren Sie Anwendungswhitelists auf den Servern. Die applikationsspezifischen Filter sorgen dafür, dass nur solche Programme verwendet werden können, deren Ausführung explizit erlaubt ist.
     
  • Komponentenhärtung: Sie erhöhen die Sicherheit Ihrer Netzwerkkomponenten, indem Sie auf diesen ausschließlich Software einsetzen, die dort tatsächlich benötigt wird. Entfernen Sie alle Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgaben nicht zwingend erforderlich sind, denn sie stellen ein vermeidbares Sicherheitsrisiko dar – zum Beispiel, wenn Patches nicht sofort installiert werden.
     
  • Monitoring: Eine möglichst frühe Angriffserkennung ist entscheidend. Setzen Sie dafür Monitoringsysteme ein, die kritische Netzwerksegmente kontinuierlich überwachen, und gewähren Sie internen Servern keinen direkten Zugang zum Internet (zum Beispiel durch Verwendung eines Proxy-Servers in der DMZ).
     
  • Notfallplan: Definieren Sie in einem Notfallplan eindeutig festgelegte Verantwortlichkeiten, Berichtslinien und Eskalationspfade, damit Sie gerüstet sind, falls es zu einem Angriff kommen sollte. Wenn keine personellen Ressourcen für ein internes Notfallteam vorhanden sind, können Sie auf die Unterstützung externer Anbieter zurückgreifen.

Marcus Pauli, Security Analyst bei Airbus Defence and Space

https://airbus-cyber-security.com/de/
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.