- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Angriffsszenarien auf Fertigungsanlagen


Horrorszenario der Industrie: Produktionsstillstand durch Cyber-Angriffe
Cyber-Angriffen auf Industriebetriebe und entsprechende Sicherheitsmaßnahmen



Von Jörg von der Heydt, Channel Director DACH bei Skybox Security

Beim Stichwort Cybersecurity denkt jeder zunächst einmal an die Absicherung gegen unberechtigte Zugriffe auf ein Netzwerk oder an Datendiebstahl. Dass Cyber-Risiken Produktionsbetriebe jedoch sogar komplett lahmlegen können, wird häufig nicht bedacht. Das Hauptrisiko von Fertigungsbetrieben besteht oft nicht in Form von Zugriffen auf vertrauliche Informationen, sondern darin, eine lückenlose Fertigung in der Produktion zu gewährleisten.

Unmittelbare Cyber-Risiken für Produktionsumgebungen durch Kontaktplanlogik
Die Funktionalität einer Maschine kann beispielsweise beeinträchtigt werden, wenn sie durch sogenannte Kontaktplanlogik infiltriert wird. Es handelt sich dabei um eine graphische Programmiersprache, die auf ein Steuergerät oder eine programmierbare Logiksteuerung gespielt wird. Dieser Low-Level-Code wird nicht aktualisiert und High-Priority-Geräte werden sowieso selten rebootet. So hat der injizierte Code eine längere Halbwertszeit und kann als Bug im Unternehmensnetzwerk aktiv ins Produktionsgeschehen eingreifen.

Unterschiedliche Angriffsszenarien auf Fertigungsanlagen
Es ist außerordentlich schwierig, einen Fehlercode dieser Art aufzuspüren, denn die Maschinen, auf denen sich der Bug eingenistet hat, sind in der Regel nicht physisch verbunden, sondern kommunizieren über proprietäre, systemspezifische Protokolle. Die Exploits können dabei verschiedene Angriffspunkte einer maschinellen Fertigungsanlage zum Ziel haben. Bekannte Beispiele für Attacken sind:

>> Ausschluss-Angriffe: Hier wird der Motor beispielsweise weiter betrieben, während die Ölpumpe ausgeschaltet ist. Dies kann aufgrund fehlender Schmierung zu einem Komplettausfall des Motors führen.
>> Verschleißangriffe: Das Getriebe wird zum Beispiel durchgehend bei 90 Prozent Leistung betrieben. Hierdurch sinkt die Lebensdauer der Maschine erheblich.
>> Trägheitsangriffe: Große Maschinen sind nicht dafür ausgelegt, schnell hoch- und runtergefahren zu werden. Wenn dies mehrfach geschieht, beeinträchtigt das die Lebensdauer der Maschine nachhaltig.
>> Surge-Angriffe: Systeme sind meistens auf die Produktion einer definierten Stückzahl ausgelegt. Wird diese überschritten, kann das zu einem Defekt an der Maschine führen.

Verheerende Auswirkungen auf Produktionsbetriebe
Cyber-Kriminelle können sich, sobald sie einmal in das Netzwerk eingedrungen sind, in weiteren Bereichen ausbreiten. Sie haben dann die Möglichkeit, einzelne Maschinen oder die gesamte Produktionsstrecke abzuschalten, zu unterbrechen oder vom System abzutrennen (DoS). Manche Schwachstellen wirken sich nur auf ganz spezielle Produktionsprotokolle aus und werden daher gezielt angegriffen. Andere wiederum ermöglichen Hackern, komplette Produktionsprogramme zu verändern.

Der Fall Norsk Hydro: Ransomware mit Dominoeffekt
Der kürzlich bekanntgewordene LockerGoga-Angriff auf Norsk Hydro ging von einem Standort in den USA aus und verbreitete sich epidemieartig über das Active Directory. Über dieses Microsoft-Tool verwalten Netzwerkadministratoren Domänen, Benutzer und Objekte. Erlangt ein Hacker Zugriff darauf, gewinnt er die Kontrolle über das gesamte Netzwerk des Unternehmens. Weil sich LockerGoga auf weitere Norsk Hydro-Anlagen übertragen hat, wirkte sich der Angriff auf die weltweite Produktion sowie die Verwaltung des gesamten Unternehmens aus.

Das IoT ist Einfallstor für Hacker-Angriffe
Ein häufig unterschätztes Problem sind im Unternehmen eingesetzte IoT-Geräte. Der Hauptgrund dafür sind simple und leicht zu überwindende Passwörter. Hersteller befinden sich bei der Neuentwicklung von innovativen IoT-Geräten im ständigen Wettstreit. Um Produkt-Release-Zyklen zu beschleunigen, wird systeminternen Schwachstellen weniger Aufmerksamkeit zugemessen als eigentlich notwendig. Anfangspasswörter sind einfach zu knacken und teilweise sogar online zu finden, um dem Endnutzer das Setup zu erleichtern. Hacker können die Geräte mit diesem Wissen mühelos und quasi simultan zum Release hacken. Hinzu kommt, dass einige Hersteller ihre Kunden nicht dazu ermutigen, neue Passwörter zu wählen und es sogar Fälle gibt, in denen Passwortänderungen am Gerät gar nicht möglich sind. So wird Hackern quasi Tür und Tor zu Unternehmensnetzwerken geöffnet.

Wie kann sich ein Unternehmen dennoch gegen Cyber-Angriffe schützen?
Um sich nachhaltig gegen Angriffe auf Unternehmensnetzwerke zu schützen, ist es elementar, sich ein Gesamtbild der Angriffsfläche zu verschaffen. Die Vernetzung zwischen der OT/IoT-Umgebung und der Gesamt-IT muss überprüft werden. Schwachstellen müssen identifiziert und durch aktives Schachstellen-Management minimiert werden. Hierbei ist es nicht ausreichend, lediglich eine einmalige Bestandsaufnahme vorzunehmen und Schwachstellen nur zu scannen. Eine Minimierung der Angriffsfläche kann nur gewährleistet werden, wenn neue Schwachstellen kontinuierlich und quasi in Echtzeit aufgedeckt werden. Da die Zahl an Cyber-Bedrohungen stetig wächst, kann dieser Prozess nur automatisiert und mit einem geeigneten Partner realisiert werden.

Mitarbeiter im Umgang mit Unternehmens-IT schulen
Viele Angriffe auf Unternehmensnetzwerke werden durch mangelndes Bewusstsein der Belegschaft zur Bedeutung von Cyber Security ermöglicht. Es ist deshalb außerdem äußerst wichtig, alle Mitarbeiter über Sicherheitsmaßnahmen aufzuklären und im gesamten Unternehmen eine Sensibilität für IT-Sicherheitsthemen zu etablieren.
(Skybox Security: ra)

eingetragen: 07.05.19
Newsletterlauf: 29.05.19

Skybox Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.