- Anzeigen -


Sie sind hier: Home » Markt » Studien

Fernwartungssoftware im eigenen Netzwerk


Fernwartungssoftware ist eine große Gefahr für industrielle Netzwerke
Analyse: Remote Administration-Tools (RAT) auf fast jedem dritten ICS-System installiert

- Anzeigen -





Legitime Fernwartungssoftware (Remote Administration Tool, RAT) stellt eine ernste Gefahr für industrielle Netzwerke dar. Laut einer aktuellen Untersuchung von Kaspersky Lab sind RATs weltweit auf 31,6 Prozent der Rechner industrieller Kontrollsysteme (ICS) installiert – in Deutschland (35,1 Prozent), der Schweiz (33,2 Prozent) und Österreich (32,7 Prozent) sogar noch häufiger. Das Problem: Dass die Fernwartungssoftware im eigenen Netzwerk aktiv ist, wird von den Sicherheitsteams der betroffenen Organisationen oft erst bemerkt, wenn Cyberkriminelle diese zur Installation von Malware, Ransomware oder Kryptominern missbrauchen oder sich damit Zugriff auf Informationen beziehungsweise finanzielle Ressourcen des betroffenen Unternehmens verschaffen.

RATs sind legitime Software-Tools, mit denen Dritte aus der Ferne Zugriff auf einen Rechner erlangen können. Sie bieten Mitarbeitern einen ressourcensparenden Zugang ins Unternehmensnetzwerk, können allerdings auch von Cyberkriminellen für den unerlaubten Zugriff auf damit ausgestattete Rechner missbraucht werden. RATs werden beispielsweise in SCADA-Systemen oder HMIs (Human Machine Interfaces) von Arbeitsplatzrechnern zur Steuerung industrieller Prozesse eingesetzt. Weltweit wird jede fünfte Fernwartungssoftware (18,6 Prozent) automatisch zusammen mit der ICS-Software installiert. Dies führt zu einer mangelnden Sichtbarkeit für Systemadministratoren und macht RATs damit umso attraktiver für Angreifer.

Angriffsvektoren und mögliche Konsequenzen

Laut der Kaspersky-Untersuchung nutzen Angreifer RATs für
• >> unautorisierten Zugang zum Netz des angegriffenen Unternehmens,
• >> die Infektion des Netzwerks mit Malware zur Spionage und Sabotage,
• >> die Erpressung von Lösegeld durch Infektionen mit Ransomware,
• >> den direkten Zugriff auf finanzielle Ressourcen der angegriffenen Organisation über das infizierte Unternehmensnetz [3].

Die größte Gefahr durch RATs besteht darin, dass erweiterte Systemrechte erlangt werden können. Dies kann in der unbegrenzten Kontrolle über ein Industrieunternehmen resultieren und damit zu massiven finanziellen Verlusten bis hin zu physischen Schäden führen. Bei den Angriffen handelt es sich häufig um standardmäßige Brute-Force-Attacken, bei denen das Passwort durch Ausprobieren sämtlicher Zeichenkombinationen ermittelt wird. Neben dieser Methode könnten Angreifer jedoch auch Schwachstellen in der RAT-Software ausnutzen.

"Die Anzahl industrieller Kontrollsysteme mit RATs ist besorgniserregend", konstatiert Kirill Kruglov, Senior Security Researcher im Industrial Control Systems Cyber Emergency Response Team bei Kaspersky Lab (Kaspersky Lab ICS CERT). "Viele Unternehmen ahnen nicht einmal, wie hoch das damit verbundene Risiko ist. So konnten wir vor kurzem Angriffe bei einem Automobilhersteller feststellen, der auf einem seiner Rechner RAT-Software installiert hatte. Auf dem Rechner wurde regelmäßig über Wochen hinweg versucht, verschiedene Typen von Malware zu installieren. Unsere Sicherheitslösungen blockierten mindestens zwei solcher Versuche pro Woche. Wäre das Unternehmen nicht durch unsere Sicherheitssoftware geschützt gewesen, hätte dies unangenehme Folgen nach sich gezogen. Das heißt jedoch nicht, dass Unternehmen nun sofort jedes RAT aus ihrem Netzwerk verbannen sollten. Denn letztendlich handelt es sich um nützliche Anwendungen, die Zeit und Geld sparen. Jedoch sollte deren Einsatz im Unternehmensnetz nur mit der entsprechenden Vorsicht erfolgen – speziell in industriellen Kontrollnetzwerken, die oftmals Teil der kritischen Infrastruktur sind."

Empfehlungen des Kaspersky Lab ICS CERT
• >> Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RATs, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
• >> RATs, die zusammen mit ICS-Software installiert wurden, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
• >> Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert werden. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum gewährt werden.
(Kaspersky Lab: ra)

eingetragen: 07.10.18
Newsletterlauf: 09.11.18

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Weltweit 84 Prozent mehr DDoS-Attacken

    Im ersten Quartal 2019 stieg die Zahl der Distributed-Denial-of-Service (DDoS)-Angriffe gegenüber dem vierten Quartal 2018 um 84 Prozent an. Insbesondere die Anzahl der Attacken mit einer Länge von mehr als einer Stunde sowie die durchschnittliche Dauer von DDoS-Kompromittierungen sind auffallend gewachsen. Laut den Zahlen aus dem aktuellen globalen DDoS-Bericht von Kaspersky Lab für das erste Quartal 2019 scheint es darüber hinaus eine Renaissance klassischer DDoS-Methoden zu geben, wobei sich Cyberkriminelle vor allem auf längere Angriffe fokussiert haben.

  • Gegenüber Datenschutzbedrohungen anfällig

    Laut einer Erhebung von Thales signalisieren europäische Unternehmen wachsende Sicherheitsdefizite - mit fast einem Drittel (29 Prozent) der Befragten, die im letzten Jahr eine Datenschutzverletzung vermelden mussten, und nur weniger als der Hälfte (55 Prozent), die ihre Bereitstellungen hinsichtlich der digitalen Transformation für sicher oder sehr sicher halten. Diese Ergebnisse und weitere Details finden Sie im soeben veröffentlichten2019 Thales Data Threat Report - Europäische Ausgabe auf der Basis von Forschung und Analysen von IDC.

  • Ein Jahr DSGVO: keinerlei Anlass zur Freude

    Im ersten Jahr nach Inkrafttreten der DSGVO hat sich das Datenrisiko in Deutschland nicht reduziert, sondern ist tendenziell noch gestiegen. Zu diesem Ergebnis kommt der Datenrisiko-Report der Security-Spezialistin Varonis Systems dem Risk Assessments bei rund 50 deutschen Unternehmen unterschiedlicher Größe - vom mittelständischen Hersteller bis hin zum international agierenden Healthcare/Biotech-Konzern - zugrunde liegen. Weltweit wurden insgesamt 700 Unternehmen aus rund 30 Branchen und mehr als 30 Ländern mit einem Datenvolumen von insgesamt 54,6 Petabytes analysiert.

  • Überraschungen nach Container-Implementierung

    Laut einer Gartner Studie wird im Jahr 2020 über die Hälfte der Unternehmen Container-Technologien einsetzen. Kein Wunder, schließlich bieten Container bisher ungekannte Mobilität, Vereinfachung und Effizienz, damit IT-Teams neue Mikroservices und bestehende Anwendungen schnell aufsetzen und aktualisieren können. Wegen ihrer zahlreichen Vorteile werden Container in den kommenden Jahren eine immer größere Rolle in der IT spielen. Die Container-Technologie wird immer ausgereifter, allerdings ergeben sich dadurch auch neue Herausforderungen. Erst wenn diese bewältig sind, können Container auch für geschäftskritische Anwendungen im großen Stil eingesetzt werden. Zwei zentrale Bereiche, in denen Container-Technologie noch voranschreiten muss, sind Sicherheit und Daten persistent zu speichern.

  • Social-Media-Plattformen eine reale Gefahr

    Eine neue Studie hat ergeben, dass Social-Media-Plattformen in der Cyberkriminalität eine wichtige Rolle spielen und eine große Gefahr für Unternehmen darstellen. Da Social-Media-Blockaden kein realistisches Abwehrszenario sind, sollten Unternehmen Lösungen implementieren, die eine sichere Nutzung der sozialen Netze unterstützen, empfiehlt Bromium. Die sechsmonatige Studie "Social Media Platforms and the Cybercrime Economy" hat die University of Surrey in Südostengland durchgeführt - gesponsert vom Sicherheitssoftware-Anbieter Bromium. Sie zeigt, dass Social-Media-Plattformen inzwischen eine reale Gefahr darstellen: 20 Prozent aller Unternehmen wurden bereits von Malware infiziert, die über Social-Media-Kanäle verbreitet wurde. Dabei sind bis zu 40 Prozent der Malware-Infektionen durch Malvertising verursacht und rund 30 Prozent durch Plug-ins und Apps.