Nachgefragt bei Ralph Kreter, Logrhythm

Infrastruktursysteme als neue Angriffsziele

Ralph Kreter, Director Central Europe and Middle East bei Logrhythm, spricht über Cyber-Angriffe auf Industrieanlagen bzw. -maschinen von Großunternehmen oder staatlichen Institutionen

Ralph Kreter, Logrhythm

Ralph Kreter, Director Central Europe and Middle East bei Logrhythm

IT-DIRECTOR: Herr Kreter, wie schätzen Sie derzeit die Bedrohung für Cyber-Angriffe auf Industrieanlagen bzw. -maschinen von Großunternehmen oder staatlichen Institutionen ein?
R. Kreter:
Über die letzten Jahre hat sich der Fokus von Cyber-Attacken bedenklich verschoben: Neben dem Diebstahl von Informationen und Finanzdelikten werden immer häufiger wichtige und kritische Infrastruktursysteme Ziel von Angriffen – mit globalen, negativen Auswirkungen. Diese Entwicklung ist in hohem Maße besorgniserregend. Denn zum einen nimmt die Anzahl an hochtechnisierten und komplexen Cyber-Attacken beständig zu und zum anderen wird die Welt immer abhängiger von Technologien. Mittlerweile erfolgt die Kontrolle der meisten Aspekte des täglichen Lebens über das Internet – von Verkehrssystemen über Bankautomaten bis hin zu intelligenten Stromzählern und anderen Infrastrukturkomponenten. Die Zahl von potentiellen Schwachstellen steigt somit in den nächsten Jahren weiter an. Hinzukommt, dass viele der landesweit eingesetzten Infrastrukturen noch aus einer Zeit vor der großen Kommerzialisierung des Internets stammen und die Kontrolle der Systemsicherheit oft auf physikalische Komponenten beschränkt ist.

IT-DIRECTOR: Wie viele und welche Attacken auf solche Anlagen sind 2012 ans Licht gekommen?
R. Kreter:
Es gibt zahlreiche Berichte für das Jahr 2012, die sich auf relativ ähnliche Malware-Ausbrüche und -Angriffe gegen Industrie- und Scada-Umgebungen beziehen. Besondere Aufmerksamkeit erhielten dabei Angriffe, die bis nach China zurückverfolgt werden konnten.

So berichtete beispielsweise Telvent Canada Ltd über den Fund bösartiger Software und verzeichnete auch den Diebstahl von Projektdaten im Zusammenhang mit seinem zentralen Produkt OASySScada – einer Lösung, die es Versorgungsunternehmen erlaubt, ihre älteren IT-Ressourcen gemeinsam mit fortschrittlichen Technologien einzusetzen. Saudi Aramco und Qatar Rasgas meldeten das Auftreten der Malware Shamoon (die Stuxnet, Duqu und Flame ähnelt), die gezielt Energieunternehmen im Nahen Osten ins Visier nimmt. Betroffene Unternehmen mussten ihre elektronischen Systeme herunterfahren, um die Malware zu lokalisieren, zu isolieren und letztlich zu entfernen.

IT-DIRECTOR: Wie gehen Cyber-Kriminelle bei ihren Angriffen vor?
R. Kreter:
Die Angriffsmethoden können sich je nach Zielsystem oder -unternehmen deutlich unterscheiden. So kann eine Attacke anfangs einen einfachen Social-Engineering-Ansatz verfolgen: Dies könnten beispielsweise ein oder zwei Gespräche mit den Angestellten in der Telefonzentrale sein, um Teile eines Puzzles zu erhalten, das Auskunft über die Art des Netzwerks gibt, oder auch Informationen zu Mitarbeitern wie deren Namen oder E-Mail-Adressen. Mittels dieser Informationen kann dann eine persönlich gestaltete E-Mail aufgesetzt werden, die einen offiziellen Eindruck vermittelt, aber einen Link auf eine externe Website enthält, auf der die Malware wartet. Über diese wird dann der C&C-Initiator (Command & Control) zur remoten Steuerung des Malware-Einsatzes geladen. Wird nun fortschrittliche Malware auf dem Rechner der Zielperson kompiliert, ist dieser kompromittiert und öffnet den Angreifern möglicherweise den Zugang zu weiteren Systemen innerhalb des Unternehmens oder der Organisation.

IT-DIRECTOR: Welche Einfallstore werden genutzt, um Anlagen zu attackieren?
R. Kreter:
Neben E-Mail- oder webbasierten Attacken ist es besonders einfach, digitale Geräte gleich an der Quelle – sprich beim Hersteller oder Händler – zu manipulieren, um sich dort einen Zugang zu dem Gerät zu verschaffen, wo es letztlich eingesetzt wird. Denkbar ist, dass Malware beispielsweise gleich in den Computerchips abgelegt wird, die bei der Produktion einer Klimatisierungslösung zum Einsatz kommen oder bei einem Lesegerät für digitale Berechtigungsausweise, die für die Zugangs- und Zugriffskontrolle genutzt werden. Wenn solch ein System installiert und in das Netzwerk eines Unternehmens eingebunden ist, kann die Malware versuchen, sich innerhalb des Netzes zu verbreiten.

Eine weitere, fast schon klassische Social-Engineering-Methode ist zum Beispiel das simple Platzieren eines USB-Sticks oder einer CD/DVD an einem allgemein zugänglichen Ort wie dem Parkplatz oder an der Rezeption. Der Reiz für den Finder, solch einen Datenträger mit dem eigenen Computer zu verbinden, ist groß – zumal dann, wenn er mit einer Aufschrift wie „Bitte umgehend der IT-Abteilung aushändigen“ versehen ist.

IT-DIRECTOR: Sind nur Anlagen mit IP-Adressen gefährdet? Inwieweit erweisen sich ICS- und Scada-Systeme (Industry Control Systems, Supervisory control and data acquisition) als die größten Schwachstellen?
R. Kreter:
Nein, Stand-alone-Scada-Systeme sind gleichermaßen gefährdet. Ein Beispiel ist ein Kontrollsystem, das den Wasserfluss aus einem höher gelegenen Reservoir über ein hydroelektrisches Ventil steuert. Wer in der Lage ist, Malware in solch ein System zu injizieren, kann das Öffnen und Schließen des Ventils beeinflussen oder das System außer Betrieb setzen.

Einige remote angebundenen Scada-Standorte sind zudem über drahtlose private Netzwerke mit den zentralen Kontrollstellen verbunden, was das Potential für eine Man-in-the-Middle- oder Over-the-Air-Attacke bietet. Als „Mann in der Mitte“ lassen sich dann Daten, die zwischen dem remoten Scada-Standort und Kontrollstelle ausgetauscht werden, abfangen und unter Umständen so manipulieren, dass die Funktion der Scada-Anlage nachhaltig beeinträchtigt wird. Für solch einen Angriff sind nur handelsübliche Funkmodems und Antennen, ein Laptop sowie leicht erhältliche Software nötig.

IT-DIRECTOR: Mit welchen Frühwarnsystemen und konkreten Sicherheitsmaßnahmen können die Verantwortlichen solchen Angriffen entgegenwirken?
R. Kreter:
Sicherheitsanalysen für Big Data in Verbindung mit Monitoring-Tools für das Security Information and Event Management (SIEM) sind in der Lage, Logdaten der Scada- sowie anderer Systeme innerhalb der IT-Infrastruktur zu erfassen, auszuwerten und in Korrelation zueinander zu bringen. So lassen sich von den tagestypischen Abläufen abweichende Nutzungs- und Verbindungsmuster, die auf einen Angriff hindeuten könnten, frühzeitig erkennen. Solche Frühwarnsysteme erlauben es also den Sicherheitsverantwortlichen, jede Änderung in einer Scada-Umgebung in Echtzeit zu überwachen.

IT-DIRECTOR: Welchen Schutz gibt es insbesondere für ICS- und Scada-Systeme?
R. Kreter:
Zunächst einmal sind Gewissenhaftigkeit, Sensibilisierung und Aufklärung durch Schulungen für Mitarbeiter maßgeblich. IT-Sicherheit muss sehr ernst genommen werden, daher ist es ebenfalls wichtig, die angewendeten Angriffsmethoden zu verstehen, die für Attacken auf solche Systeme zum Einsatz kommen. Weiterhin erlaubt eine bessere Nutzung der umfangreichen Menge verfügbarer Daten über Security-Analyseplattformen der nächsten Generation ein frühzeitiges Erkennen eines nicht dem Regelbetrieb entsprechenden Systemverhaltens und daraus resultierend proaktive Gegenmaßnahmen.

IT-DIRECTOR: Wurde ein Cyber-Angriff auf Anlagen und Maschinen bemerkt – welche Ad-hoc-Maßnahmen sollten sofort in die Wege geleitet werden?
R. Kreter:
Wenn eine Organisation Monitoring-Tools in Verbindung mit einer Plattformlösung für Sicherheitsanalysen einsetzt, gewährleistet dies nicht nur den steten Überblick über die IT-Umgebung, sondern erlaubt es auch, Features wie Smart Response einzusetzen, die es den Sicherheits- oder IT-Teams ermöglicht, im Falle eines laufenden Angriffs einzugreifen und mögliche Schäden zu verhindern. Diese frühe Entdeckung sowie die zeitnahe Möglichkeit zu reagieren sind wichtig, um die kritischen Systeme, die die Infrastruktur der Länder bilden, wirkungsvoll zu schützen.

IT-DIRECTOR: Welche Bemühungen existieren auf nationaler wie internationaler staatlicher Ebene, um Cyber-Bedrohungen für Industrieanlagen bzw. -maschinen abzuwehren?
R. Kreter:
Viele Staaten, aber auch große Industriebetriebe, verfügen über ein CIRT (Computer Incident Response Team), wobei für kritische Infrastrukturen Produkte wie Logrhythm zum Einsatz kommen, um die Einhaltung der festgelegten Sicherheitsanforderungen gewährleisten zu können. Weiterhin existieren Foren, in denen sich Versorgungsunternehmen über Vorgehensweisen zum Schutz, aber auch durchaus vertrauliche unterstützende Informationen zu Bereitschafts- und Einsatzplänen oder staatlichen Vorgaben austauschen können.

In Großbritannien beispielsweise müssen Unternehmen, die Teile der Versorgungsinfrastruktur bereitstellen, den Vorgaben des UK Government CPNI (Centre for the Protection of National Infrastructure) folgen, in den USA sind es die Richtlinien des Critical Infrastructure Protection Committee (CIPC), das vom US Department of Energy gefördert wird.

Die für IT-Sicherheit zuständigen Stellen in Deutschland – und damit auch die Zuständigkeiten – sind sehr vielfältig. Neben der Bundesregierung (in der die Zuständigkeiten auf mehrere Ressorts verteilt sind, insbesondere BMI, BMWi und BMBF) betätigen sich auch die Bundesländer auf diesem Gebiet. Die Wirtschaft hat ebenfalls diverse Initiativen und Institutionen ins Leben gerufen, die sich im Wesentlichen mit der Bereitstellung von Informationen für Unternehmen befassen. Hinzu kommt das milliardenschwere Forschungsprogramm der EU.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok