krunja - stock.adobe.com
Cyberbedrohungen in der Industrie: Gefahren richtig begegnen
Die produzierende Industrie und Betreiber kritischer Infrastrukturen stehen vor besonderen Herausforderungen in Sachen Cybersicherheit, sind sie doch ein beliebtes Angriffsziel.
Kriminelle greifen unermüdlich kritische Infrastrukturen (KRITIS) auf der ganzen Welt an und kompromittieren die industriellen Kontrollsysteme (Industrial Control System, ICS) sowie SCADA-Systeme (Supervisory Control and Data Acquisition), die diese Infrastrukturen steuern. Im Jahr 2010 infiltrierte der Wurm Stuxnet zahlreiche Steuerungsanlagen und beschädigte die Atomkraftanlagen im Iran. Fünf Jahre später wurde mit dem BlackEnergy-Hackerangriff auf die ukrainische Stromversorgung der erste Cyberangriff bekannt, der einen Blackout verursachte.
Unter den Begriff KRITIS fallen jedoch nicht nur das Stromnetz, sondern auch Bereiche wie Militär, Fertigung, Gesundheitswesen, Transport, Wasserversorgung und Nahrungsmittelproduktion. Im Jahr 2017 zog der Ausbruch der Schadsoftware WannaCry etliche Gesundheitsunternehmen in Mitleidenschaft. Im Jahr 2018 gab das US-CERT zusammen mit dem britischen National Cyber Security Centre (NCSC) und dem FBI die Warnung heraus, dass die russische Regierung einen Angriff auf kritische Infrastrukturen in verschiedensten Branchen durchgeführt hatte.
Des Weiteren hielten sich über mehrere Jahre hinweg Meldungen zu Bedrohungen für Flugbuchungs- und öffentliche Nahverkehrssysteme in den Schlagzeilen. Anfang 2019 begann die Ransomware-Variante LockerGoga, die Produktionsprozesse von Chemiefirmen und Aluminiumherstellern zu infiltrieren und zu stören.
Wichtige Herausforderungen
Laut einer Untersuchung von (ISC)2 fehlen weltweit fast drei Millionen Cybersicherheitsexperten und fast 60 Prozent der 1.452 Umfrageteilnehmer meinen, dass für ihr Unternehmen ein mittleres bis großes Risiko von virtuellen Attacken ausgeht. Die vorhandenen Sicherheitsteams sind kaum in der Lage, die unzähligen Warnmeldungen zu verarbeiten. Zudem sind sie auf oberer Managementebene häufig nicht ausreichend vertreten, um für wichtige Initiativen die nötige Aufmerksamkeit und Unterstützung zu erhalten. Beispielsweise verfügen nur 31 Prozent der Organisationen in der Luftfahrtindustrie über einen dedizierten CISO.
Damit Sicherheitsteams ihre vorhandenen Ressourcen optimal nutzen können, müssen sie die Bedrohungsdaten und Warnmeldungen innerhalb des Kontexts ihres Unternehmens verstehen und priorisieren können. Damit haben die Teams die Chance, relevante Sicherheitsprobleme gegenüber der Geschäftsführung einfach und deutlich zu kommunizieren und für die Verbesserung der Sicherheitsprozesse erforderliche zusätzliche Ressourcen zu begründen.
Immer mehr Angriffe nutzen parallel mehrere Vektoren und erschweren die Abwehr. Die oben erwähnte Warnung des US-CERT nennt eine Vielzahl dieser genutzten Taktiken, Techniken und Prozeduren (TTPs), einschließlich Spear-Phishing-E-Mails, Watering-Hole-Angriffe, Anmeldedaten-Erfassung und spezifische Angriffe auf ICS- und SCADA-Infrastrukturen. Gleichzeitig wächst die Angriffsfläche, da KRITIS-Betreiber verstärkt in die Cloud migrieren und Mobilgeräte sowie IoT einführen. So gaben mehr als zwei Drittel der IT-Manager aus der Öl- und Gasindustrie an, dass sie aufgrund der Digitalisierung (der Bereitstellung digitaler Technologien zur erweiterten Automatisierung) anfälliger für Sicherheitsverletzungen sind.
Firmen können ihre digitale Landschaft nur dann vor Bedrohungen schützen, wenn sie einen Überblick über die gesamte Infrastruktur sowie die Möglichkeit besitzen, Threat Intelligence kontinuierlich neu auszuwerten und zu priorisieren.
Viele ICS- und SCADA-Systeme sind bereits seit Jahren im Einsatz und verfügen nicht über Sicherheitsfunktionen, die vor aktuellen Bedrohungen schützen können. Die Zahl der gemeldeten Schwachstellen im Bereich Produktion stieg im 2018 im Vergleich zum Vorjahr deutlich an. Diese Systeme werden jedoch selten aktualisiert, da die Betreiber Unterbrechungen befürchten. Trotz der zunehmenden Angriffe auf kritische Infrastrukturen wurde der Schutz nicht erweitert. Vielmehr ist er noch schlechter geworden, da die Geräte und Systeme zunehmend mit dem Internet verbunden werden, ohne dabei die Auswirkungen auf die Sicherheit zu beachten. Obwohl die Verantwortlichen für Informationstechnologie (IT) und Operative Technologien (OT) unterschiedliche Ziele, Prozesse, Tools und Konzepte haben, müssen sie zusammenarbeiten, da ihre Umgebungen immer stärker zusammenwachsen.
„Firmen können ihre digitale Landschaft nur dann vor Bedrohungen schützen, wenn sie einen Überblick über die gesamte Infrastruktur sowie die Möglichkeit besitzen, Threat Intelligence kontinuierlich neu auszuwerten und zu priorisieren.“
Markus Auer, ThreatQuotient
Umfragen unter Sicherheitsverantwortlichen besagen, dass 75 Prozent aller Unternehmen davon ausgehen, dass sie Opfer eines Cybersicherheitsangriffs auf OT/ICS-Systeme werden. Dennoch halten nur 23 Prozent die brancheneigenen oder gesetzlichen Mindestanforderungen für die Cybersicherheit dieser Systeme ein.
Fazit
Schlagzeilen über Angriffe auf kritische Infrastrukturen werden schnell als Sensation dargestellt. Es ist häufig schwer, die Fakten hinter der Meldung zu finden und zu erfahren, welche Auswirkungen eine groß angelegte Cyberkampagne auf das Unternehmen wirklich hat. Mit der Aktualisierung der ICS- und SCADA-Geräte allein ist es nicht getan. Nur mit einer zuverlässigen Bedrohungsdaten-Plattform können Unternehmen die wirklich relevanten Bedrohungen erkennen und darauf reagieren.
Folgende Punkte stehen dabei im Mittelpunkt:
- Konsolidierung aller Quellen für externe (wie OSINT) und interne (beispielsweise SIEM) Bedrohungs- und Schwachstellendaten in einem zentralen Repository.
- Erfassung von Informationen zur Sicherheitslage der gesamten Infrastruktur (lokal, Cloud, IoT, Mobilgeräte und ältere Systeme) durch die Integration der Schwachstellendaten und Threat Intelligence im Kontext aktiver Bedrohungen.
- Filterung nicht relevanter Informationen, Vermeidung von Überlastung aufgrund zu vieler Warnmeldungen und einfache Navigation in enormen Mengen von Bedrohungsdaten zur Konzentration auf wichtige Ressourcen und Schwachstellen.
- Priorisierung der wichtigsten je nach individueller Situation bei gleichzeitiger Möglichkeit zur dynamischen Anpassung, wenn neue Daten und Erkenntnisse verfügbar sind.
- Proaktive Suche nach böswilligen Aktivitäten, die schädliches Verhalten, Denial-of-Service-Angriffe sowie andere Störungen und potenzielle Schäden für Kunden, Mitarbeiter und wichtige Komponenten aufzeigen kann.
- Fokus auf Aspekte jenseits der Schutzmaßnahmen, um Erkennung, Reaktion und Wiederherstellung zu unterstützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.