Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Samstag, 16. Februar 2019

IT-Sicherheit

Wachsende Sicherheitsrisiken für vernetzte Unternehmen

Von Christiane Schulzki-Haddouti | 11. Oktober 2018 | Ausgabe 41

Attacken auf vernetzte Unternehmen können erhebliche Schäden verursachen. Die europäische Sicherheitsbehörde Enisa drängt daher auf Regulierung und Zertifizierung.

Ransomware BU
Foto: panthermedia.net/kaptn

Den bislang größten Schaden aufgrund der Erpressersoftware Wanna Cry meldete der Chiphersteller TSMC, der in einigen seiner Fabriken die Produktion vorübergehend einstellen musste.

Die Erpressungssoftware Wanna Cry überfiel 2017 über 10 000 Rechner in rund 100 Ländern. Bis heute ist nicht klar, wer hinter der Attacke steckt, die Spuren weisen nach Nordkorea. Der Spuk ist aber noch nicht vorbei: Im August meldete der taiwanische Chiphersteller TSMC die bisher größte Schadenssumme, die Wanna Cry bislang in einem einzelnen Unternehmen verursacht hat: So sollen sich die Einnahmen von TSMC um 2 % und damit um 150 Mio. € im dritten Quartal 2018 mindern, weil einige Fabriken aufgrund eines Angriffs mit der Erpressungssoftware vorübergehend geschlossen werden mussten.

Der weltweit drittgrößte Halbleiterhersteller hatte eine neue Software auf Firmencomputer aufgespielt und diese vor der Installation nicht auf eine Infektion mit einer Schadsoftware überprüft. Die Rechner liefen auf dem Betriebssystem Windows 7, das zuvor nicht auf den neuesten Stand gebracht worden war.

TSMC dürfte jedoch kein Einzelfall sein: Eine Studie des IT-Sicherheitsunternehmens Sophos stellte in einer Umfrage unter 2700 Organisationen 2018 fest, dass über die Hälfte, nämlich 54 %, bereits von Erpressungssoftware betroffen war. Im Schnitt belief sich der Schaden auf rund 107 000 €. In der Regel wurden die Unternehmen sogar zweimal angegriffen.

„Wir wissen, dass Cyberkriminelle mitunter innerhalb von einer halben Stunde bis zu vier verschiedene Ransomware-Familien freisetzen, damit mindestens eine Attacke erfolgreich ist“, sagt Dan Schiappa von Sophos. Wenn es den IT-Administratoren in Unternehmen nach einem Angriff außerdem nicht gelinge, die Systeme von der Schadware vollständig zu befreien, sei eine Neuinfektion jederzeit möglich. Zu den bekanntesten Ransomware-Varianten gehören Petya, NotPetya und Wanna Cry. Sie nutzten Sicherheitslücken, für die schon längere Zeit Sicherheitspatches zur Verfügung standen, die aber von den Unternehmen nicht eingespielt worden waren.

Petya, NotPetya und Wanna Cry sind jedoch nur die Vorhut: Die europäische IT-Sicherheitsbehörde Enisa hat auf Basis von Experteninterviews drei Szenarien entwickelt, die das Schadenspotenzial von Angriffen auf vernetzte Geräte und Sensoren im Unternehmen zeigen. Ziel ist es, dass Unternehmen rechtzeitig geeignete Sicherungsmaßnahmen einführen.

Angriff auf die Systemadministration: Im ersten Szenario übernehmen die Angreifer die Systemadministration über ein vernetztes Gerät. Einfallstor ist eine Sicherheitslücke wie ein nicht geändertes Standardpasswort. Nach dem Eindringen lesen die Angreifer die Gerätewerte aus und manipulieren sie. Außerdem können sie eine zusätzliche Möglichkeit einbauen, um nach dem Schließen der Sicherheitslücke weiterhin unerkannt in das System zu gelangen.

Nach Entdeckung eines solchen Angriffs können die Geräte binnen Stunden und Tage wieder in den ursprünglichen Zustand versetzt werden. Zu den vorbeugenden Sicherungsmaßnahmen gehört es, das Produkt so zu gestalten, dass es in einem sicheren Zustand ausgeliefert wird. Außerdem müssen Zulieferer Sicherheitspatches rechtzeitig zur Verfügung stellen können.

Das Szenario entspricht in etwa dem Angriff der sogenannten OMG-Schadsoftware, die 2018 die Steuerung von vernetzten Geräten übernahm, um sie zu einem Botnetz zusammenzuschließen, um sie für weitere Hackversuche zu verwenden.

Manipulation von Messwerten: Das zweite Angriffsszenario zielt darauf ab, die Messwerte in attackierten Geräten zu manipulieren. Dies kann beispielsweise die Kontrollsysteme industrieller Roboter in einer Industrie-4.0-Umgebung betreffen. Werden die Kennwerte für die Kalibrierung von Sensoren manipuliert, akzeptiert das Gerät unerwünschte Werte. Im Ergebnis würden Produkte mit verminderter Qualität produziert oder Arbeitsprozesse sabotiert werden. Roboter könnten fehlgesteuert das Leben von Mitarbeitern gefährden. Nach der Entdeckung kann die Wiederherstellung mehrere Tage bis Wochen dauern. Die Herausforderung besteht darin, Industrieroboter sicher zu gestalten und das Problembewusstsein der Mitarbeiter für solche Angriffe zu erhöhen.

Das bekannteste Beispiel für einen solchen Angriff ist die 2010 entdeckte Stuxnet-Attacke. Stuxnet wurde mutmaßlich von einem US-Geheimdienst entwickelt, um ein industrielles Steuerungssystem von Siemens zu manipulieren. Ziel war es, die Leittechnik der Urananreicherungsanlage im iranischen Natanz zu stören.

Erpressung nach Übernahme des Kommandos: Das dritte Szenario geht davon aus, dass die übernommenen Geräte zu einem Botnetz zusammengeschlossen werden, um weitere Geräte zu infizieren. Die Angreifer können das Unternehmen damit erpressen, dass die Attacke eingestellt wird, wenn die Forderungen erfüllt werden. Die Infektion der Geräte kann nur schwer entdeckt werden, die Wiederherstellung kann Wochen bis Monate dauern. Auch hier besteht die Herausforderung darin, die Geräte entlang ihres gesamten Lebenszyklus abzusichern.

Erpressungsversuche wurden bislang im Zusammenhang mit vernetzten Geräten noch nicht beobachtet. Experten halten dies jedoch nur für eine Frage der Zeit. Seit 2016 entwickelt sich nämlich die Mirai-Schadsoftware ständig weiter, mit der unter anderem Telekom-Router übernommen wurden. 2018 nutzte die Mirai-Variante „Satori“ Sicherheitslücken aus, um Router und vernetzte Geräte zu übernehmen, die dann im Auftrag des Angreifers Kryptowährungen schürften. Außerdem werden solche Botnetzwerke auch für Denial-of-Service-Attacken vermietet.

Je durchgreifender Unternehmen ihre Prozesse im Rahmen von Industrie 4.0 digitalisieren, desto mehr Angriffsvektoren entstehen. Die Angreifer wiederum entwickeln ihr Instrumentarium ständig weiter. Es ist nur eine Frage der Zeit, bis auch Erpressungsangriffe maßgeschneidert auf die Unternehmen treffen. Problematisch ist, dass der Digitalisierung der Unternehmen nicht durch eine „vorausschauende Regulierung, Zertifizierung oder Standardisierung begegnet“ wird, sagt Enisa-Präsident Udo Helmbrecht.

Funktionalitäten und niedrige Kosten würden eher als Treiber gesehen als IT-Sicherheit und Safety. Helmbrecht kommt daher zu dem Fazit: „Ich glaube, dass eine Explosion absehbar ist – und wenn es so weit ist, werden die Endnutzer das Fehlen von Sicherheit und Datenschutz durch Technikgestaltung bitter beklagen.“