Wachsende Bedrohung: Industrielle Steuerungssysteme und IoT im Fadenkreuz

Ausblick von Palo Alto Networks auf Angriffsszenarien im neuen Jahr 2017

[datensicherheit.de, 04.01.2017] 2016 war für viele Unternehmen bereits eine große Herausforderung, weil Cyber-Kriminelle insbesondere mit Ransomware sehr erfolgreich agierten. Eine der Lehren daraus: Keine Branche ist mehr sicher! Wenn es also eine Sicherheitslücke gibt, wird ein entschlossener Angreifer sie finden. Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks hierzu: „Im Jahr 2017 werden viele Unternehmen daher ein regelmäßiges Programm zur Risikobewertung anstoßen, um in der Cyber-Sicherheit voranzukommen.“

Präventiv agieren!

Es gehe künftig darum, präventiv zu agieren, erklärt Henning. Dies sei nur möglich, indem man aktuelle und potenzielle Bedrohungen versteht und die erforderlichen Maßnahmen kennt, um das Risiko abzuschwächen.
Palo Alto Networks hat in diesem Zusammenhang Prognosen zur Cyber-Sicherheit bei Unternehmen für das neue Jahr 2017 aufgestellt.

Einsatz Industrieller Steuerungssysteme gegen ihre Betreiber

Industrielle Steuerungssysteme (ICS) sind ein integraler Bestandteil jedes Unternehmens. Dazu gehören unter anderem Gebäudemanagement-Systeme, Heizungs-, Lüftungs- und Klimaanlagen (HVAC). Die meisten Unternehmen lagern ihr Gebäudemanagement aus, so dass sie nicht unbedingt wissen, ob beim Drittanbieter diesbezüglich eine ausreichende Sicherheit gewährleistet ist.
Es sei daher für einen böswilligen Akteur nicht unmöglich, einen Angriff mit erheblicher Schadenswirkung auszuführen, warnt Henning:

• Fast alle Unternehmen könnten einem solchen Angriff ausgesetzt sein. Unternehmer müssten daher ihre grundlegenden Schutzmaßnahmen prüfen und eine übergeordnete Sicht auf ihre potenziellen Schwachstellen durch Dritte sowie im eigenen Netzwerk gewinnen. Zusätzlich müssten sie einen Plan aufsetzen, um jedem möglichen Angriff entgegenzuwirken.
• Es gelte zu erfassen, welche Nicht-IT-Ausrüstung im Einsatz ist und wie es um die Sicherheit bestellt ist. Zu prüfen sei, ob Anlagen mit dem Internet verbunden sind bzw. ob diese von einem Drittanbieter verwaltet werden. Bei der Auslagerung an einen Drittanbieter sei zu prüfen, welche Sicherheitsstufe dieser bietet, d.h. wie er sich selbst schützt und das Netzwerk und die Systeme des Kunden.

Internet der Dinge im Visier der Cyber-Kriminalität

Das Marktforschungsunternehmen Gartner habe prognostiziert, dass die Zahl der ans Internet angebundenen Dinge von 6,5 Milliarden im Jahr 2015 auf fast 21 Milliarden bis 2020 steigen werde. Diese würden Informationen „über alles“ liefern, etwa wenn die Bremsen an einem Bus ersetzt werden müssen oder ob alle Maschinen auf einem Fertigungsstandort innerhalb akzeptabler Parameter laufen. Allerdings würden diese „Dinge“ auch ein Ziel für Cyber-Kriminalität sein.
Die Vielfalt an Endgeräten biete Tausende von potenziellen Einstiegspunkten in das Netzwerk von Unternehmen. Daher müssten diese besser – oder überhaupt – geschützt werden. Im Jahr 2016 hätten bereits kompromittierte Geräte in einem Botnet miteinander verbunden werden können, um Angriffe gegen Banken oder wichtige Teile der Internetinfrastruktur zu starten.
Das Internet der Dinge (engl.: „Internet of Things“ / IoT) sei kein Zukunftsprojekt, sondern bereits Realität. Nun gelte es, von den Lieferanten zu fordern, die Sicherheit der Geräte zu gewährleisten. Möglicherweise gebe es nämlich gar keine Sicherheitsmaßnahmen oder die Geräte seien nur mit Standard-Benutzernamen oder -Passwörtern „geschützt“. Diese sollten geändert werden, sobald sie sich im Netzwerk befinden. Alle Geräte, die Werkseinstellungen für die Sicherheit verwenden, seien gefährdet. IT-Manager müssten auch Standard-Passwörter für Administratoren ändern.
Die Geräte sollten auch regelmäßig überprüft werden, um festzustellen, ob sie mit der Sicherheitspolitik des Unternehmens konform sind.

Ransomware weiter für böse Überraschungen „gut“

Bei Ransomware-Angriffen sperren Angreifer die Daten eines Unternehmens und verlangen Lösegeld. 2017 dürfte diese Bedrohung noch schlimmer werden, mit einem höheren Angriffsvolumen und anspruchsvolleren Technologien.
Da Unternehmen und Einzelpersonen meistens zahlten, sei es mehr als wahrscheinlich, dass die Preise steigen würden. Es gebe Fälle, in denen nach Zahlung des Lösegelds und der Freischaltung der Daten das Opfer kurze Zeit später erneut erpresst worden sei.
Bezahlen, um einen oder mehrere Computer im Unternehmen zu entsperren, biete keine Immunität gegenüber einer Bedrohung, die sich in der Netzwerkumgebung ausbreiten könnte. Der Rat von Palo Alto Networks: nicht bezahlen!

Hinweise von Palo Alto Networks bei Ransomware-Angriffen

• „Wenn weniger als 72 Stunden bleiben, um zu reagieren: Steht eine umfassende Backup-Strategie bereit und gibt es Maßnahmen, um weiteren Angriffen künftig zu begegnen?“
• „Wann wurde das Backup das letzte Mal geprüft?“
• „Werden grundlegende Maßnahmen angewendet, um Bedrohungen zu verhindern?“
• Bestimmte Dateitypen könnten ein Risiko für das eigene Unternehmen sein. Daher gelte es, sich folgende Frage zu stellen: „Sollten wir alle Dateien zulassen oder sollten wir das Risiko umgehen, indem wir keine schädlichen Dateitypen zulassen, die ein Problem verursachen können?“

Gravierende Datensicherheits-Verletzungen zu erwarten

Die Menschen würden auch weiterhin darauf vertrauen, „dass etwas sicher ist, auch wenn es in Wirklichkeit nicht sicher ist.“ So könnten vertrauliche Daten in falsche Hände geraten, manipuliert oder unbrauchbar gemacht werden.
Ein Beispiel wäre ein Projekt, für das jahrelang Daten gesammelt und analysiert wurden, die dann beschädigt sind. Dies könnte eine Bergbaufirma sein, die massiv in Forschung und Entwicklung investiert und Petabyte von Daten gesammelt hat, die ein Angreifer manipuliert und damit wertlos macht. Wenn z.B. die Integrität der Daten manipuliert wird, und selbst nur ein paar Bits an Informationen geändert werden, könnte das Unternehmen an der falschen Stelle bohren, Zeit und Geld verschwenden oder möglicherweise eine Umweltkatastrophe verursachen.
Unternehmen müssten daher zwei wichtige Dinge beachten: wo sich ihre sensiblen Daten befinden und welche Daten für das Geschäft von entscheidender Bedeutung sind. Vielen Unternehmen falle es aber nicht leicht, diese Fragen auf Anhieb zu beantworten. Dies könne zu einer Veruntreuung von Ressourcen führen und zu erhöhten Kosten für die Umsetzung von Sicherheitsmaßnahmen.
Die nächste Frage sei: „Wer von den Mitarbeitern hat Zugriff auf sensible Daten?“ Einfach zu wissen, wer generell Zugriff auf Dokumente oder Datenspeicher hat, bedeute noch nicht zu wissen, wer tatsächlich worauf zugreift.
Ein wichtiger Weg, um Risiken für sensible Informationen zu reduzieren, sei auch zu verstehen, wie die Daten geschützt sind: „Sind auf der jeweiligen Ebene adäquate Schutzmaßnahmen im Einsatz, um das Risiko für geschäftskritische Datenbestände zu reduzieren?“

Weitere Informationen zum Thema:

datensicherheit.de, 24.02.2016
Industrie 4.0: Industrielle Steuerungssysteme vor Cyberattacken schützen

datensicherheit.de, 17.09.2015
Industrielle Steuerungssysteme beliebte Ziele für Cyberattacken auf Firmen

datensicherheit.de, 23.01.2014
ENISA fordert Tauglichkeitsprüfungen für industrielle Steuerungssysteme auf EU-Ebene