Wie Ransomware zunehmend auch OT-Infrastrukturen bedroht

Durch die zunehmende Konvergenz von Informationstechnologie (IT) und industrieller Betriebstechnik (OT) wird Ransomware zu einem wachsenden Problem für all diejenigen, die mit der Verteidigung industrieller Steuerungssysteme (ICS) betraut sind.

Aus ihrer OT-zentrierten Perspektive heraus müssen sie die aktuelle Bedrohungslage verstehen: Mehr als drei Jahre nach NotPetya haben sich die Ransomware-Taktiken erheblich weiterentwickelt – und sie werden sich auch weiterhin an neue Gegebenheiten und Möglichkeiten anpassen.

Anzeige

Ransomware wird immer zielgerichteter

In den letzten Jahren wurden Ransomware-Angriffe immer ausgefeilter, raffinierter und gezielter. Die klassischen Kampagnen nach dem Gießkannen-Prinzip finden sich heute nur noch selten. Einer der Gründe für diesen grundlegenden Strategiewechsel könnte in den verstärkten Bemühungen der Unternehmen liegen, nach WannaCry und NotPetya ihre Angriffsflächen deutlich zu minimieren. Die Cyberkriminellen wählen ihre Ziele mit Bedacht aus. Wesentliche Faktoren sind hierbei die Zahlungskraft des Opfers sowie dessen (aus Sicht der Angreifer) möglichst geringen Toleranz für Betriebsunterbrechungen. Ist beides gegeben, steigt die Wahrscheinlichkeit, dass die Lösegeldforderungen erfüllt werden. Der ausgesprochen disruptive Angriff auf Honda im Juni ist ein gutes Beispiel für diese Herangehensweise. Die Attacke störte die globalen Betriebsabläufe, einschließlich der Herstellungsprozesse, und demonstrierte damit, wie eine bewusstere Infektionsstrategie zu einem höchst schädlichen Angriff führen kann.

Ransomware beschränkt sich nicht auf die IT-Umgebung eines Unternehmens

Der NotPetya-Ransomware-Angriff vom Juni 2017 stellt sicherlich einen Wendepunkt für die OT-Sicherheit dar. Die weltweiten Auswirkungen dieses Angriffs auf OT-Umgebungen in einer Vielzahl von Branchen machen ihn zum wahrscheinlich kostspieligsten und zerstörerischsten Cyberangriff der Geschichte. Gleichzeitig diente er als Weckruf für viele CISOs und andere Entscheidungsträger, die bis dato fälschlicherweise angenommen hatten, dass Ransomware-Bedrohungen auf den IT-Bereich beschränkt seien. Es hat sich jedoch gezeigt, dass in Wirklichkeit ein erfolgreicher Lösegeld-Angriff verheerende Auswirkungen auf die OT (und damit auf die Produktionsabläufe und Geschäftsprozesse) haben kann. Erst im März dieses Jahres wurde der Stahlkonzern EVRAZ von der Ryuk-Ransomware getroffen, wodurch Betriebsabläufe an zahlreichen Standorten in den USA und Kanada zum Erliegen kamen. Die Folge waren die befristete Freistellung von Mitarbeitern sowie massive Störungen des Warenverkehrs.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Der digitale Wandel ist die treibende Kraft hinter dem OT-Ransomware-Risiko

Bei allen Vorteilen, die die Digitalisierung den Unternehmen bringt, erhöht sich parallel mit ihr auch das Cyber-Risiko. Dabei gibt es branchenspezifische Unterschiede in den verschiedenen Sektoren. So gab etwa das FBI im Juli eine Empfehlung für Speditionsunternehmen heraus, in der es vor der wachsenden Anfälligkeit der Branche für Lösegeldangriffe warnte. Durch die fortschreitende Digitalisierung der Prozesse, etwa durch die weitverbreitete Einführung von Lösungen wie GPS, KI-zentrierten Systemen und elektronischen Aufzeichnungsgeräten (ELDs), hat sich die potenzielle Gefährdung in diesem Bereich deutlich erhöht. Das FBI sieht in ELDs ein mögliches Einfallstor für Angreifer, welche sich dann lateral zwischen den IT- und OT-Umgebungen von Logistikunternehmen bewegen können. Die möglichen Auswirkungen können dabei von Datenexfiltration bis hin zur lebensbedrohlichen Manipulation von Fahrzeugfunktionen reichen. Weniger als einen Monat nach Herausgabe des FBI-Hinweises wurde Canpar Express das jüngste Speditionsunternehmen, das einem Lösegeldangriff zum Opfer fiel. Die Angreifer verursachten nicht nur Betriebsunterbrechungen, sondern leakten auch mehrere interne Dokumente, verbunden mit der Drohung, weiteres Material zu veröffentlichen, sollte auf ihre Forderungen nicht eingegangen werden. Dieser Fall ist ein Paradebeispiel für die neue Art von Ransomware, bei der die Daten nicht nur verschlüsselt, sondern vorher auch für weitere Erpressungen entwendet werden, ebenso für Angriffe, die sowohl die IT- als auch die OT-Systeme eines Unternehmens betreffen.

ICS-Schwachstellenforschung und OT-Netzwerksegmentierung 

Die bislang verheerendsten Angriffe durch NotPetya und auch WannaCry wurden durch einen Exploit ermöglicht, der eine Schwachstelle in Windows ausnutzt. Dies zeigt, dass Schwachstellen eine fundamentale Rolle bei der Ermöglichung von Lösegeld-Angriffen auf OT- und andere Umgebungen spielen. Entsprechend ist deren Aufdeckung (und Beseitigung) ein Schlüsselfaktor für die industrielle Cybersicherheit. So zeigte der ICS Risk & Vulnerability Report, dass sich mehr als 70 Prozent der in der ersten Hälfte des Jahres 2020 aufgedeckten Schwachstellen von industriellen Kontrollsystemen (ICS) aus der Ferne ausnutzenlassen. Nur mit dem Wissen um eine Problematik und besondere Gefahrenfelder lassen sich diese auch beseitigen.

In den meisten Fällen ist zudem eine unsachgemäße Segmentierung zwischen einstmals getrennten IT- und OT-Umgebungen eine der Hauptursachen für Infektionen mit OT-Ransomware. Deshalb kommt der Isolierung von OT-Netzwerk und -Assets von der IT, die dem Purdue-Modell und anderen bewährten Segmentierungsverfahren entspricht, größte Bedeutung zu. Auf diese Weise wird verhindert, dass sich Erpressungstrojaner und andere Malware lateral von der IT in die OT (oder umgekehrt) ausbreiten.

Die Aufdeckung und Beseitigung von Schwachstellen gepaart mit einer adäquaten Segmentierung trägt wesentlich dazu bei, das Ausmaß und die Häufigkeit von (erfolgreichen) Ransomware-Angriffen zu verringern und damit die industrielle Cybersicherheit weiter zu verbessern. 

Antova Galina

Claroty -

Mitgründerin und Chief Business Development Officer

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.