Mimi Potter - Fotolia

ICS: Industrielle Steuerungsanlagen als Ziel von Ransomware

Keine schöne Vorstellung für Unternehmen, dass industrielle Steuerungsanlagen per Ransomware als Cybergeisel genommen werden. Wo liegen die Risiken und wie kann man diesen begegnen?

Zwar nehmen die Budgets für die Absicherung von industriellen Steuerungsanlagen zu, gleichzeitig verschärft sich die Bedrohungslage aber auch ganz erheblich.

Entsprechende ICS-Lösungen (Industrial Control Systems) sind für Angreifer ein durchaus attraktives Ziel. Die Bedrohung durch Ransomware hat in diesem Bereich deutlich zugenommen. Trends wie IIoT (Industrial Internet of Things) oder Industrie 4.0 sorgen an dieser Stelle für eine vergrößerte Angriffsfläche.

Aufgrund der aktuellen Ergebnisse des SANS „Securing Industrial Control Systems“ Reports 2017 (PDF) hatte SearchSecurity.de Gelegenheit zu einem Gespräch mit Doug Wylie, seines Zeichens Director Industrials & Infrastructure Portfolio beim SANS Institute.

Warum liegen Ransomware-Attacken auf Industriesteuerungen aktuell im Trend?

Doug Wylie: Beide Systeme, sowohl die IT als auch die OT (Operational Technology), erlebten einen Anstieg der Risiken und Cybersicherheitsbedrohungen. Angreifer werden immer erfolgreicher darin, vor allem Ransomware auf OT anzupassen. Einige Angriffe sind äußert zielorientiert und richten sich gegen eine bestimmte Person, ein spezifisches System oder sogar gegen ein ganzes Unternehmen. In anderen Fällen sind die Attacken nicht zielgerichtet und wurden entwickelt, um so viele Opfer wie möglich zu erreichen und zu beeinträchtigen. Die Mehrheit der Ransomware-Arten unterscheidet nicht zwischen Opfern und ist darauf ausgelegt, jeden Host und jedes System zu beeinträchtigen, solange diese über die richtigen Merkmale und Netzwerkverbindungen verfügen, die sie verwundbar machen.

Industrielle Steuerungssysteme, die von Geschäftssystemen und der Außenwelt, einschließlich des Internets, aus zugänglich sind, sind nicht weniger verwundbar als IT-Systeme. Mehr und mehr ICS-Geräte, schwer „upgradebare“, ausführende Systeme, laufen „offen“. Deshalb ist eine Zunahme von Arbeitsabläufen zu erwarten, die mit Ransomware infiziert werden und es existieren bereits Hinweise, dass sich diese Annahme bewahrheitet. Neu ist allerdings die Tatsache, dass Angreifer beginnen, die zusätzliche Macht zu erkennen, die ihnen die Steuerung eines ICS-Geräts verleiht, indem sie es als Geisel nehmen und erst nach Zahlung eines Lösegelds wieder freigeben.

Wenn ein Unternehmen zur Zielscheibe wird, aber nicht ausreichend darauf vorbereitet ist, auf den Angriff zu reagieren und die Kontrolle über seine ICS-Lösungen zurückzugewinnen, könnte es naheliegender sein, sich den Lösegeldforderungen eines Angreifers zu beugen. Besonders dann, wenn das betroffene Unternehmen die Wahl zwischen einer fortwährend stillstehenden Produktion oder der Zahlung einer relativ geringen Summe in Bitcoins oder ähnlichem hat. Das Ransomware-Geschäftsmodell beweist aktuell, dass es auch in einer OT-Umgebung wirksam sein kann. Demnach sind in Zukunft verfeinerte und maßgeschneiderte Ransomware-Arten zu erwarten. Einige wurden bereits entdeckt. Diese neuen Versionen konzentrieren sich noch stärker auf ICS-Systeme und sind in der Lage, diese zu lokalisieren, sie zu stören und Schaden anzurichten.

Welche Komponenten und Angriffsvektoren stellen für ICS-Anlagen das größte Risiko dar?

Wylie: Ransomware stürzt sich auf mindestens eine Schwachstelle oder einen Fehler innerhalb der Sicherheitsmechanismen, die ein ICS schützen. Es ist nicht ungewöhnlich für eine Malware, mithilfe einer unbeabsichtigten Handlung einer gutmütigen Person einen ersten Fuß in die Tür zu einem System zu bekommen. Während menschliche Faktoren weiterhin einige der größten Sicherheitsrisiken hinsichtlich ICS-Umgebungen verkörpern, ist es wichtig, zu erwähnen, dass die Menschen auch die vielversprechendste Möglichkeit bieten, ebendiese Systeme zu schützen.

Standard-IT-Komponenten werden gemäß des „Securing Industrial Control Systems“-Reports häufig noch als das größere Risiko eingestuft. Aber Unternehmen sind sich der Auswirkungen von Angriffen auf Steuerungssysteme durchaus bewusst.
Abbildung 1: Standard-IT-Komponenten werden gemäß des „Securing Industrial Control Systems“-Reports häufig noch als das größere Risiko eingestuft. Aber Unternehmen sind sich der Auswirkungen von Angriffen auf Steuerungssysteme durchaus bewusst.

Die technische und administrative Komplexität des erfolgreichen Betriebs, der Instandhaltung und des Schutzes heutiger Industrial Control Systems während ihres gesamten Lebenszyklus bringt erhebliche Herausforderungen mit sich. Daher sollten Investitionen in die Cybersicherheit vor allem über die Kombination von Personen, Technologie und Best-Practice-Prozessen angewendet werden. Zusätzlich sollten alle kontinuierlich getestet und verbessert werden. Von diesen dreien versprechen Weiterbildung und Unterstützung der Mitarbeiter fast immer den höchsten Return-on-Invest, da Risikoentscheidungen und Aktionspläne fast immer beim Menschen ansetzen.

Wie funktionieren (im Allgemeinen) Patch-Management und Updates in ICS-Umgebungen und wie wird damit umgegangen?

Wylie: In ICS-Umgebungen existieren einzigartige Herausforderungen für die Aufrechterhaltung der Produktion und die Aktualisierung von Produkten und Systemen, mit denen die meisten IT-Systeme in der Regel nicht konfrontiert werden. In einer OT-Umgebung ist es nicht unüblich, dass Automatisierungs- und Steuerungssysteme kontinuierlich laufen. Sie stehen nur selten still, wenn überhaupt nur auf Grund eines mechanischen Versagens, eines Leistungsverlusts oder eines Mangels an Rohstoffen.

Die ICS-Produktivität misst sich an der Fähigkeit des Systems, eine bestimmte Menge eines Produkts oder einer Dienstleistung (etwa KRITIS, beispielsweise Strom- und Wasserversorgung) innerhalb eines bestimmten zeitlichen Rahmens zu produzieren. Demnach haben Produktionsausfallszeiten einen Preis und Geschäftsauswirkungen, die sich messen lassen. In allen Fällen wird der Betrieb der ICS, die eigentlich für den Dauerbetrieb konzipiert sind, während eines Patch-Upgrades unterbrochen. Dies stellt einen direkten Kontrast zu den meisten IT-Umgebungen dar, innerhalb derer Updates und Patches mit nur wenig Bedenken oder Trara umgesetzt werden.

Für hochentwickelte ICS geht Verfügbarkeit vor:

  • Sicherheitsvorkehrungen müssen getroffen werden, die garantieren, dass Personen und Geräte nicht gefährdet sind, solange Updates ausgeführt werden.
  • Für den Fall, dass ein Update fehlschlägt, müssen sorgfältige Überlegungen angestellt werden, wie sich Geräte und Systeme wiederherstellen lassen.
  • Für manche Anwendung kann jede noch so kleine Änderung eines einfachen Prozesses in einem Berg Papierkram, der sich in Compliance-Konformität begründet, enden.
  • Vor allem sind Entscheidungen wichtig, ob ein Software- oder Firmware-Update wirklich nötig ist, wenn es beispielsweise Konfigurationen zerstört und wann die richtige Zeit ist, um solche Updates einzuspielen.

Die Modernisierungsprozesse von ICS-Produkten und -Systemen, auch wenn sie nur darin bestehen, einen kleinen Software- oder Firmware-Patch anzuwenden, bilden einen starken Kontrast zu normalen IT-Umgebungen und den Konsumgütern, die wir gewohnt sind. Die Konsequenzen eines fehlgeschlagenen Patches auf einem IT-System wirken sich selten direkt auf die Sicherheit oder die Gewinne, die typischerweise aus einem Upgrade eines OT-Systems resultieren, aus. Aus diesen Gründen zeigen sich ICS-Besitzer und -Betreiber konservativ und sehr verständig, wenn es darum geht, wie und wann sie ihre Produktionssysteme aktualisieren, insofern sie es überhaupt tun. Während dies in gewisser Hinsicht verständlich ist, erhöht es allerdings auch die Sicherheitsherausforderungen bezüglich des Schutzes dieser Systeme vor bekannten Angriffen und Malware wie Ransomware, die es vor allem auf ungepatchte Geräte und Systeme abgesehen haben.

Sind ICS-Umgebungen in der Praxis Teil der IT-Sicherheitsstrategie?

Wylie: Fortschrittliche Unternehmen, die sich der Bedeutung ihrer OT-Systeme als Teil der Gesamtbetriebsaktivitäten bewusst sind, beginnen ihre IT-Sicherheitsstrategien für ihre ICS-Systeme direkt auf die Integrität und Verfügbarkeit der IT-Systeme abzustimmen, auf die sie angewiesen sind. Das Zusammenwachsen von Systemen und die größere Menge an Daten, die zwischen OT- und IT-Systemen ausgetauscht werden, führen zu neuen Überlegungen, wie sie sich am besten voneinander trennen lassen (wo dies möglich ist). Darüber hinaus werden Konzepte entworfen, wie sich auf dieser Basis eine sichere und zuverlässige Integration zwischen den Systemen erreichen lässt.

Unternehmen, die noch nicht soweit sind, sind tendenziell einem höheren Risiko ausgesetzt – nicht nur im Fall von Störungen und Schäden an ihren ICS-Systemen, sondern auch in Bezug auf ihr Geschäftsmodell. Incident Response und Business Continuity sind dann größeren Risiken ausgesetzt und ohne eine Sicherheitsstrategie, die sowohl ICS- als auch IT-Systeme vereint, kann und wird ein Sicherheitsvorfall innerhalb einer Umgebung eine Kette von Auswirkungen und Konsequenzen anstoßen.

Was sind in diesem Zusammenhang die größten Herausforderungen im Zusammenspiel zwischen IT-Sicherheit und ICS?

Wylie: Die Prioritäten der Arbeitsabläufe zwischen IT- und ICS-Systemen variieren. Während Wirtschaftsinformationssysteme (Office IT) natürlich wegweisend für die Geschäftstätigkeit eines Unternehmens sind, wirkt sich eine Störung eines solchen Systems selten unmittelbar auf das Unternehmen aus und ist in der Regel innerhalb einer angemessenen Zeitspanne behebbar. Effekte, die einen signifikanten, negativen Einfluss auf das Unternehmen, dessen Kunden oder dessen Supply Chain haben, sind in der Regel nur temporär. Im Gegensatz dazu stehen industrielle Automatisierungssysteme, die zur Herstellung und Auslieferung von Produkten und Dienstleistungen unerlässlich sind. Die Störung dieser Produktionsprozesse übt oft einen unmittelbaren, finanziellen Einfluss auf das Unternehmen aus. Zusätzlich wirkt sie sich auf die Sicherheit aus und zieht Non-Compliance nach sich. ICS-Systeme erfordern ein anderes Verständnis und einen anderen Ansatz beim Risiko-Management als IT-Systeme.

Unternehmen mit industriellen Steuerungsanlagen sehen sich laut des Reports des SANS Institute einer ganzen Reihe von Bedrohungen ausgesetzt.
Abbildung 2: Unternehmen mit industriellen Steuerungsanlagen sehen sich laut des Reports des SANS Institute einer ganzen Reihe von Bedrohungen ausgesetzt.

Obwohl viele ICS-Systemarchitekturen und die eingesetzten Technologien denen in IT-Systemen ähneln, muss sich die Art und Weise, wie ICS verwaltet wird, inhärent unterscheiden. Die Auswirkungen und Konsequenzen nach Sicherheitsvorfällen und Angriffen werden sehr unterschiedlich ausfallen. Noch immer besteht die Herausforderung darin, dass IT- und OT-Personal diese Unterschiede verstehen. Eine noch größere Herausforderung könnte darin bestehen, die Unternehmensführung dafür zu sensibilisieren, solche Unterschiede zu erkennen, um entsprechende Maßnahmen ergreifen zu können. Viele Unternehmen kämpfen mit diesen Unterschieden; jedoch helfen Weiterbildungen, Training, die Reorganisation von Teams und die unterschiedlichen Fähigkeiten und Begabungen (beispielsweise analytische und kommunikative) der Mitarbeiter innerhalb der Abteilung, diese Herausforderungen zu meistern.

Wenn ICS-Unternehmen in die IT-Sicherheit investieren, wo investieren sie am meisten?

Wylie: Investitionen gestalten sich je nach Unternehmen verschieden und gemischt. Bestimmte Branchen verfügen über einen höheren Reifegrad an Sicherheit und investieren nicht mehr in einfache Netzwerkperimeter-Schutzmaßnahmen wie Firewalls, sondern in fortschrittliche Sicherheitssysteme. Sie wenden sich anspruchsvolleren Schutz- und Erkennungstechnologien zu, die Wiederherstellungs- und Asset-Management-Herausforderungen heutiger Systeme bewältigen. Viele dieser Unternehmen sind der Aufgabe gewachsen, umfassende Sicherheitsprogramme zu erstellen, mit denen die physische Sicherheit verstärkt wird. Zudem sind sie in der Lage, Sicherheitsrichtlinien und -prozesse festzulegen und sich verstärkt auf Cybersicherheitstrainings und Weiterbildung für ihre Mitarbeiter zu konzentrieren, mit Mandaten, die auch ihre Supply Chain erreichen.

Nicht alle Branchen befinden sich auf einem ähnlichen Entwicklungsniveau. Aber der Energiesektor einschließlich der Elektrizitäts-, Öl- und Gasindustrie gilt wegen seiner breit angelegten Sicherheitslösungen, die über Investitionen allein auf Produktebene hinausreichen, als wegweisend. Andere Branchen beginnen gerade auf einem ähnlichen Investitionslevel, während wieder andere nicht einmal die ersten Schritte eingeleitet haben. Die Vorteile, die sich aus ausgewogenen und kalkulierten Cybersicherheits-Investitionen in Menschen, Prozesse und Technologien ergeben, zahlen sich nicht nur darin aus, dass sie Sicherheitsrisiken für ICS-Systeme mildern. Sie tragen auch dazu bei, dass diese Systeme sicherer und zuverlässiger arbeiten und steigern die Produktionsqualität wie die Effizienz. Geschieht dies, verwandeln sich die mit Sicherheitsmaßnahmen verbundenen Kosten in ein „Return on Invest“.

Warum ist gerade der sogenannte deutsche „Mittelstand” gefährdet? Oder trifft diese These nicht zu?

Alle Organisationen, egal ob klein, mittel oder groß, schweben in Gefahr und sehen sich mit Sicherheitsherausforderungen konfrontiert, die mit der Zeit nur noch größer werden. Ob eine Gruppe einem größeren Risiko ausgesetzt ist, als eine andere, spielt keine entscheidende Rolle, da sie alle wichtig für die Wirtschaft und das Wohlergehen von Mitarbeitern und Bürgern sind. Unternehmen jeglicher Größe haben etwas zu schützen und dadurch auch etwas zu verlieren. Die Bemühungen eines Angreifers konzentrieren sich oft auf jene Organisation, die etwas Wertvolles besitzt und die er attackieren kann. Cyberkriminelle entwickeln sowohl wahllose, nicht-zielgerichtete als auch stark fokussierte Ansätze, um eine Ausgangsbasis innerhalb eines Unternehmens jeder Größe zu etablieren. Sie versuchen dann Geheimnisse zu stehlen, Betriebsabläufe zu stören oder diese Firma als Pfand im Rahmen einer viel größeren, sozialen, politischen oder sogar militärischen Attacke zu nutzen.

In Bezug auf die Unternehmensgröße ist es besonders wichtig, zu erkennen, dass in gewisser Weise größere Unternehmen oft bessere Möglichkeiten haben, Cybersicherheitsrisiken erfolgreich zu begegnen und Bedrohungen abzuwenden. Allerdings sind sie nicht unbedingt besser vorbereitet als kleinere und mittlere Unternehmen. Große Konzerne verfügen oft über mehr Ressourcen (sowohl Kapital als auch Personal), die sie zur Bewältigung solcher Herausforderungen einsetzen können. Dies bedeutet allerdings nicht, dass die Sicherheitslage großer Unternehmen im Vergleich besser ist.

Viele kleinere und agilere Unternehmen wissen genau, dass Großkonzerne oft nicht in der Lage sind, ein Problem zu identifizieren, geschweige denn Ressourcen schnell und effektiv zu koordinieren oder zu mobilisieren. Kleine und mittelständische Unternehmen besitzen oft diese Fähigkeit. Das kann einen potenziellen Vorteil darstellen, obwohl ihnen ähnliche Ressourcen fehlen, um entsprechende Maßnahmen zu ergreifen. Allerdings macht sie das natürlich auch verwundbarer. Aus diesen Gründen müssen kleine und mittelständische Organisationen besonders wachsam sein und sich Zeit nehmen, ihre Cybersicherheitsrisiken zu begreifen und zu überlegen, wie sie ihre Mitarbeiter und Abteilungen darauf vorbereiten können, zu reagieren und sich von Angriffen zu erholen.

Ist die Digitalisierung der Produktion Chance oder Fluch für die Industrie und was sollte getan werden, um ein grundlegendes Sicherheitsniveau zu erreichen?

Wylie: Das Informationszeitalter und seine Wirkung auf die Industrie hat mit der Entwicklung der aktuellen ICS hin zu signifikanten und greifbaren Belohnungen in Form von messbaren Verbesserungen in der Sicherheit, Qualität, Effizienz, Produktivität und Rentabilität geführt. Die Eigendynamik hinter der industriellen Automatisierung zur Verfeinerung der Prozesse und der Einführung neuer Technologien wird nicht nachlassen. Unternehmen, die diese Vorteile schon genießen, erkennen bereits, dass es eine Vielzahl von Risiken gibt, die Betriebsabläufe stören können, die Sicherheit beeinträchtigen und finanzielle Konsequenzen nach sich ziehen. Während Cybersicherheit ein Begriff bleibt, der manchmal beängstigend oder missverständlich wirken kann, hat die Industrie die Konzepte des Sicherheits- und Risiko-Managements bereits weitestgehend verstanden. Die Führungsebene eines Unternehmens, die erkennt, dass Cybersicherheit die Sicherheit und das Unternehmensrisiko beeinträchtigt, versteht bereits oft, dass es notwendig ist, in den Aufbau einer stärkeren, besser geschulten „Cyber-ready-Belegschaft” zu investieren, um das Erreichen der Unternehmensziele zu gewährleisten.

Für Unternehmen, die ihre Investitionen in die Sicherheit nur als optionale Kosten sehen, mit nur kleinen oder gar keinen direkten Auswirkungen, braucht es leider einen Sicherheitsvorfall oder Ausfall von Systemen, um ihre Einstellung zu verändern. Dennoch ist klar, dass ICS eine Effizienz mit sich bringen, die dazu beigetragen hat, das Unternehmen ihre Gewinne steigern konnten. Die heutige Fertigung wird niemals zu den weniger effizienten, teureren, getrennten oder isolierten Systemen der Vergangenheit zurückkehren. Also werden Unternehmen, die es verpassen, aktiv in die Absicherung von Systemen gegen Cyberrisiken zu investieren, letztlich einen höheren Preis zahlen, anstatt die Vorteile zu genießen, die sich aus der Härtung ihres ICS ergeben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Industrieanlagen häufig nicht genügend gegen Cyberattacken geschützt

Kritische Infrastrukturen und die Herausforderung ISMS

Industrielle Systeme sind häufig angreifbar

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close