Business-IT
23.10.2019
IT-Security
1. Teil: „IoT und IIoT öffnen Angreifern Tür und Tor“

IoT und IIoT öffnen Angreifern Tür und Tor

Cyber SecurityCyber SecurityCyber Security
Soifer / shutterstock.com
Vor allem die Möglichkeiten von Industrie 4.0 werden zu einem ernsten Sicherheitsproblem. Längst sind auch Cyberkriminelle auf IoT und IIoT aufmerksam geworden.
  • Quelle:
    Teamdrive
Anfang Juli traf es elf Krankenhäuser und Einrichtungen des Deutschen Roten Kreuzes in Rheinland-Pfalz: Ein Malware-Befall legte die Netzwerke lahm. Die Mitarbeiter mussten für Patientenaufnahme, Befunde oder Laborberichte auf Kugelschreiber und Papier zurückgreifen. Cyberkriminelle hatten Server und Datenbanken verschlüsselt - ein  klassischer Ransomware-Angriff, wie er inzwischen sehr häufig vorkommt.
Es geht auch noch eine Nummer größer: Im Dezember 2015 soll eine Malware dafür gesorgt haben, dass in der Ukraine 700.000 Menschen kurz vor Weihnachten im Dunkeln saßen. Hacker sollen mit Hilfe einer manipulierten Word-Datei, die per E-Mail an den dortigen Energieversorger ging, die Infrastruktur sabotiert
haben.
Spätestens seit der Entdeckung von Stuxnet im Sommer 2010 weiß man, wie empfindlich auch vernetzte Industrieanlagen sind. Das Schadprogramm wurde für den Angriff auf Systeme und Kraftwerke von Siemens entwickelt. Immer häufiger geht es bei Cyberangriffen darum, Anlagen zu kompromittieren, oder um Spionage. So wurden nach Recherchen des Bayerischen Rundfunks mindestens acht große deutsche Unternehmen offenbar jahrelang umfassend ausgespäht, darunter der Waschmittelhersteller Henkel und der Chemieriese BASF. „Eine der größten Bedrohungen ist der Zugriff auf die Kronjuwelen eines Unternehmens, das heißt interne Geschäfts- oder geheime Strategiepapiere“, stellt Christian Stüble fest, CTO beim Sicherheitsdienstleister Rohde & Schwarz Cybersecurity.
Die Zeiten, in denen Hacker einfach nur aus Neugierde in Systeme eindrangen und vergleichsweise harmlose Scherze trieben, sind längst vorbei. Das Zepter halten mittlerweile gut organisierte kriminelle Banden in der Hand. Heutzutage ist eindeutig Geld der motivierende Faktor - „Erpressung, Sabotage und Datendiebstahl sind zum Geschäftsmodell geworden“, so Peter Meivers, Product Manager bei Baramundi, Anbieter von Lösungen für das Unified Endpoint Management.
Fest steht: „Der Cyberkriminelle von morgen ist entweder ein Spezialist, der darauf zugeschnittene Dienstleistungen anbietet. Oder er ist ein reiner Nutzer der Crimeware-as-a-Service-Industrie, der ohne tiefes technisches Wissen, aber mit hoher krimineller Energie ans Werk geht“, erklärt Michael Veit, Technology Evangelist beim Sicherheits-Software-Anbieter Sophos.
2. Teil: „Sicherheitsrisiko IoT und IIoT“

Sicherheitsrisiko IoT und IIoT

  • Digitale Sabotage: 28 Prozent der Unternehmen in Deutschland vermuten, dass dies bei ihren Produktionssystemen oder Betriebsabläufen schon einmal passiert ist.
    Quelle:
    Bitkom "Spionage, Sabotage und Datendiebstahl - Wirtschaftsschutz in der Industrie", 2018, n = 503
Angesichts neuer Technologien und immer raffinierterer Angriffe sehen sich die IT-Abteilungen in Unternehmen stetig größer werdenden He­rausforderungen in Sachen Cybersicherheit gegenüber. Umfangreich vernetzte Industrieanlagen eröffnen den Kriminellen ganz neue Möglichkeiten. Und eine Attacke auf die Produktionsanlagen und deren tagelanger Stillstand kann ein Unternehmen schnell aus der Bahn werfen.
Kurzum: Das Internet of Things beziehungsweise das Industrial Internet of Things bieten ungeahnten Angriffsflächen. „Daher“, so Josef Meier, Director Sales Engineering Germany beim IT-Sicherheitsspezialisten Fortinet, „werden wir einige große Aktionen mit DDoS-Attacken oder Erpressungsversuchen in diesem Umfeld sehen.“
Auch Peter Meivers von Baramundi unterstreicht: „Mit der zunehmenden Vernetzung - sowohl durch die schnell wachsende Zahl an mobilen Endgeräten in der klassichen IT als auch von IIoT-Endpoints in der Produktion - sind Transparenz im Netzwerk und Schwachstellen-Management von entscheidender Bedeutung, um das Risiko erfolgreicher Cyber­angriffe einzudämmen.“
Schwachstellen entstehen nach Erfahrung von Peter Neumeier, Head of Channel Germany bei Kaspersky, bereits bei der Produktentwicklung. Aufseiten der Entwickler und Anbieter sei es wichtig, von Beginn an IT-Sicherheits- und Datenschutzaspekte in ihre Produkte zu integrieren - „das Stichwort lautet hier ,Security by Design‘“.
Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure, ergänzt: „Die meisten IoT-Geräte werden von Unternehmen hergestellt, die mit Sicherheit nichts am Hut haben beziehungsweise die Produkte mit minimalen Anforderungen auf den Markt bringen, um das Produkt dann ,am Kunden‘ weiterzuentwickeln.“ Hinzu komme, dass einige Unternehmen bereits nach kurzer Zeit ihre Updates für ihre IoT-Geräte einstellten. Die Folge seien schwerwiegende Sicherheitslücken.
Trotz neuer Gefahren durch das IoT und das IIoT - eigentlich stehen die Sicherheitsverantwortlichen vor denselben Problemen wie die klassische IT vor 20 Jahren: Eine geforderte permanente Erreichbarkeit über das Netzwerk sowie häufig unübersicht­liche Hard- und Software-Landschaften machen es schwer, das System zuverlässig abzusichern.
Grundsätzlich gilt: „IoT-Geräte, die mit dem Internet verbunden sind, können wie jedes andere internetfähige Gerät gehackt werden“, warnt Luis Corrons, Security Evangelist beim Antiviren-Spezialisten Avast. Um das Netzwerk ausreichend zu schützen, ist es laut Corrons daher wichtig, die Sicherheitsschwachstellen von IoT-Geräten zu verstehen.
So sind zum Beispiel Trojaner-Angriffe auch bei Industrieanlagen ein Problem. Wenngleich industrielle Netze oftmals für abgeschottet gehalten werden, sind solche Angriffe von innen heraus möglich. Das ist etwa über neu in das Netzwerk eingebundene, infizierte Industrierechner der Fall, die über ein veraltetes Betriebssystem verfügen: „Industrieunternehmen sind gefährdet, da die von ihnen genutzten Produktions- und Steuerungsnetzwerke meist älteren Datums sind“, erklärt Christian Stüble von Rohde & Schwarz Cybersecurity. Im Zuge der Digitalisierung böten sie zunehmend Schlupflöcher für Hacker. Seiner Ansicht nach ist die deutsche Industrie mit ihren vielen kleinen und mittleren Zulieferern Angriffen besonders ausgesetzt: „Obwohl der Sicherheitsstandard der großen Unternehmen schon weit fortgeschritten ist, erfolgen konkrete Angriffe häufig über die verbundenen Unternehmen, die sich ein professionelles IT-Sicherheitskonzept oft nicht leisten können.“
3. Teil: „OT versus IT“

OT versus IT

  • Vernetzung von Geräten und Anwendungen: Fast ein Viertel der Sicherheitsverantwortlichen in Unternehmen sieht darin eine große Sicherheitsgefahr.
    Quelle:
    IDC, 2018, n = 230 IT- und Sicherheitsverantwortliche
Die neuen Herausforderungen in Sachen Sicherheit verlangen von vielen Unternehmen, ihre Strategien und Verhaltensweisen zu überdenken. So arbeitet die Operational Technology (OT) ganz anders als die klassische Informationstechnologie (IT). Unter OT versteht man den Betrieb von physischen Industrie- und Produktionsanlagen, beispielsweise Roboter, Pumpen oder Metallpressen.
Der gravierendste Unterschied zwischen Operational Technology und IT zeigt sich in der Häufigkeit von Updates. Während in einer IT-Umgebung beim Erkennen einer Schwachstelle der Administratror schnell ein Sicherheits-Update im Hintergrund installiert, sieht das bei der OT ganz anders aus. Industrielle Steueranlagen sind in Produktionsumgebungen im Dauerbetrieb - ohne die Möglichkeit, kurz für ein Update ausgeschaltet zu werden. „Weniger Backups und eine erhöhte Abhängigkeit von wenigen Anlagen bedeuten, dass jede Störung in der gesamten Lieferkette zusätzliche Folgen haben kann“, so Rüdiger Trost von F-Secure. Grundsätzlich gebe es in beiden Welten unterschiedliche Denkweisen und Prioritäten.
Peter Neumeier von Kaspersky erklärt, dass bei den meisten OT-Systemen der Sicherheitsfokus nicht auf den Daten liege, sondern auf der Kontinuität industrieller Systeme. Damit unterschieden sich die Anforderungen an industrielle Cybersicherheit von denen anderer Systeme.
Einige Strategien aus der klassichen IT lassen sich dennoch auf die Operational Technology übertragen. Transparenz und Überblick im Netzwerk ist zum Beispiel ein allgemeines Ziel, um Endgeräte und die darauf laufende Software identifizieren und einordnen zu können. Auch Schwachstellen-Scans sind sowohl in der IT als auch in der Operational Technology eine gute Maßnahme für mehr Sicherheit.
In vielen Unternehmen ist also ein Anpassen angestammter Strategien erforderlich. Operational Technology und IT sind sehr häufig getrennte Bereiche: So kümmert sich der Produktionsleiter um die Fertigungssteuerung, und der CIO ist für die IT-Systeme verantwortlich. Hier ist ein Umdecken unerlässlich. „Eine intensive Zusammenarbeit von IT und Operational Technology zur Absicherung von Industrie 4.0 ist gefordert und damit eine Änderung der Organisationsstruktur unabdingbar“, betont Christian Stüble von Rohde & Schwarz Cybersecurity.
4. Teil: „IoT-Absicherung“

IoT-Absicherung

  • Sicherheitsrisiko Industrie 4.0: Die vernetzte Produktion bietet viele Möglichkeiten - ist aber längst auch ins Visier von Cyberkriminellen geraten.
    Quelle:
    Zapp2Photo / shutterstock.com
Internet-of-Things- oder Indus­trial-Internet-of-Things-Geräte sind deutlich schwieriger zu schützen als herkömmliche Computer und Notebooks oder mobile Endgeräte - „auf den meisten IoT-Geräten wird niemals eine aktuelle NextGen Endpoint Protection laufen“, so Michael Veit von Sophos. Die Absicherung solcher Geräte müsse daher über das Netzwerk erfolgen.
Wichtig ist zunächst, dass die bestehenden Schwachstellen in der IT-Infrastruktur erkannt und mit wirksamen Maßnahmen und Technologien geschlossen werden. Vor allem ein Wechsel von reaktiven zu proaktiven Sicherheitslösungen ist unverzichtbar. Solche proaktiven Lösungen arbeiten nach dem Prinzip der Separierung, was die Angriffsfläche für Eindringlinge erheblich reduziert. Kurzum: „Ein Virenscanner allein reicht nicht mehr aus, um die Unternehmens-IT vor den zunehmenden Cyberangriffen zu schützen“, so Christian Stüble. „Statt immer neuen Angriffsarten mit Antivirenprogrammen hinterherzujagen, sollte eine systematische Trennung zwischen Internet und Intranet angestrebt werden.“
Es gibt allerdings keine Blaupause, die universell für jedes Unternehmen anwendbar wäre. Dazu sind die Strukturen und Anforderungen zu vielfältig. Eine mögliche Orientierung geben etablierte Standards wie IEC 62443. Dabei handelt es sich um eine internationale Normenreihe  „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“. Auf Basis dieser Standards prüfen Unternehmen die potenziellen Schwachstellen ihrer Steuerungs- und Leittechnik und entwickeln wirksame Schutzmaßnahmen. Die Standards fokussieren dabei auf die IT-Sicherheit von Industrial Automation and Control Systems, kurz IACS, die für den sicheren Betrieb von automatisierten Infrastrukturen erforderlich sind.
Baramundi-Manager Peter Meivers empfiehlt Unternehmen vier Verteidungungselemente für eine umfassende und sichere „Defense in Depth“-Strategie. Defense in Depth ist  ein Sicherheitskonzept für Unternehmensnetzwerke, das auf unterschiedlichen Ebenen ansetzt:
1. Einführung umfangreicher IT-Sicherheitsrichtlinien und Schulung der Mitarbeiter
2. Separierung der Netze von Operation Technology und klassischer IT
3. Zusätzliche Segmentierung des OT-Netzes
4. IT-Sicherheit der Endgeräte in der Infrastruktur
Auch Josef Meier von Fortinet betont die Wichtigkeit sowohl einer Segmentierung als auch einer Separierung der einzelnen Netze im Unternehmen. Er empfiehlt die Teilung der Netze mit definierten und kontrollierten Übergängen. Künftig werde diese Mikro-Segmentierung eine große Rolle spielen. Denn oft
befänden sich Steuerungsgeräte in gleichen physikalischen Segmenten, was die Verbreitung von Schad-Software begünstige und ganze Produktionsstraßen lahmlegen könne. Sein Fazit: „Mittels Mikro-Segmentierung lässt sich eine potenziell infizierte Anlage effektiv isolieren, ohne Anlagen im gleichen Segment ebenfalls mit Schadcode zu infizieren.“ Die Anlage könnte dann nach entsprechender Meldung genauer untersucht und gesäubert werden. Eine Ausbreitung des Schadcodes auf weitere Geräte und Anlagen sei so nicht möglich.
Wie erwähnt werden IoT-Geräte meist mit dem Fokus auf Funktion und nicht auf Sicherheit entwickelt. Daher müsse, so Sophos-Evangelist Michael Veit, die zur Segmentierung genutzte interne Firewall zusätzlich mit IPS-Funktionen (Intrusion Prevention System) zum Schutz vor Netzwerkangriffen sicherstellen, dass etwa eine bekannte Windows-Sicherheitslücke nicht über das Netzwerk auf einem IoT-Gerät ausgenutzt werde, dessen Steuer-Software auf einem ungepatchten Windows-System laufe. Das Wichtigste aber ist laut Veit, dass die Netzwerkzugriffe auf die für den Betrieb notwendige Kommunikation eingeschränkt werden - „was gleichzeitig das größte Hemmnis für die Einführung solcher Maßnahmen ist“.
Weil viele Unternehmen nicht genau wüssten, welche Kommunikation von und zu einem IoT-Gerät für die Produktion tatsächlich notwendig ist, werde oft großflächig Kommunikation zugelassen oder die IoT-Geräte befänden sich - im Extremfall - ohne jegliche Beschränkung im gleichen Segment wie normale Server und Workstations. Die Folge: Ein infizierter Client kann die gesamte Produktion zum Stillstand bringen. Michael Veits dringender Rat: „Deswegen müssen Unternehmen im Zeitalter von Industrie 4.0 allein aus Gründen des nackten Überlebens den Aufwand betreiben und IoT-Geräte vom Rest des Unternehmensnetzwerks in eigene Segmente sperren und den Zugriff dorthin maximal einschränken und absichern.“
Luis Corrons von Avast betont darüber hinaus, dass für die Sicherheit von IoT und IIoT vor allem eine aktuelle Firmware beziehungsweise Software auf dem Router entscheidend sei. „Das Problem bei industriellen Smart Devices und industriellen Kommunikationsprotokollen besteht darin, dass sie sich in der Regel auf Standards und Protokolle stützen, die entwickelt wurden, lange bevor es IoT-Geräte gab.“ Daher fehle es diesen Protokollen schlicht an der nötigen Sicherheit. Die Lösung des Problems bestehe darin, sie durch neuere und sicherere Varianten zu ersetzen, was jedoch mit hohen Kosten verbunden sei. Daher sein Tipp: „In der Zwischenzeit ist der einzig richtige Weg, einzelne IoT-Geräte in industriellen Umgebungen nicht mit dem Internet zu verbinden.“
Unternehmen sollten außerdem das Ent­werfen eines sogenanntes Strategiehandbuchs ins Auge fassen, so der Rat von Rüdiger Trost von F-Secure. Der Vorteil eines solchen Handbuchs besteht laut Trost darin, dass die Sicherheitsverantwortlichen im Vorfeld so viele Angriffsszenarien wie möglich durchdenken und überlegen, was zu tun ist, wenn ein Angriff vermutet wird. Dazu gehört für ihn auch, wann und wie höhere Hierarchien hinzugezogen werden, an welchem Punkt sich ein Vorfall bestätigt, wer daran beteiligt werden muss und wie ein Vorfall kommuniziert wird. Sobald man bezüglich der Risiken übereingekommen sei, führten diese Erkenntnisse dann zur Implementierung der geeigneten Sicherheitstech­nologien.
5. Teil: „Ausblick“

Ausblick

Eines steht fest: Es wird für die IT-Sicherheitsverantwortlichen nicht einfacher werden. Hinzu kommt, dass stets das Gefühl vorherrscht, die Angreifer und Industriespione seien immer einen Schritt voraus. Diese Gefühl bestätigt Rüdiger Trost zwar, präzisiert aber: „Es ist eher so, dass Kriminelle mehr Zeit haben als Unternehmen.“ Sie würden ihre Angriffe monatelang planen, benötigten aber oft nur wenige Minuten für die Durchführung.
Was genau kommt also auf die Unternehmen in Zukunft zu? Bekannte Cybergefahren wie Ransomware-Attacken wird es auch weiterhin geben. Doch der Trend ist eindeutig: Ein Angriff auf Produktionsanlagen eröffnet Kriminellen ganz neue Möglichkeiten, um an Daten zu gelangen oder Unternehmen unter Druck zu setzen, zum Beispiel mit einem Abschalten einzelner Anlagen. Deshalb sollten Unternehmen den Schutz genau dieser Anlagen nun schleunigst in die Hand nehmen.
Die gute Nachricht: „Es ist im Grunde keine aufwendigere Technik notwendig“, so die Meinung von Josef Meier von Fortinet. IT-Security benötige lediglich die notwendige Aufmerksamkeit und eine ganzheitliche Betrachtung, die auch organisatorische Maßnahmen und den Faktor Mensch berücksichtige. Künstliche Intelligenz wird seiner Ansicht nach etablierte Technologien effektiver machen und gerade in der Angriffserkennung, der Automatisierung und der Reaktion große Veränderungen schaffen.
Die Unternehmen in Deutschland haben die steigenden Sicherheitsrisiken aber immerhin bereits erkannt und nehmen Geld in die Hand: Laut der „IT-Sicherheitsstudie 2019“ des Datenaustauschdienstes Teamdrive und der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS) plant mehr als die Hälfte der hiesigen Unternehmen, ihre Ausgaben für die IT-Sicherheit bis zum Jahr 2030 zu verdoppeln.
Wirtschaftskriminalität 2018 CEO-Fraud
CEO-Fraud als „Massendelikt“: Laut PricewaterhouseCoopers waren bereits 2016 und 2017 40 Prozent der Unternehmen in Deutschland betroffen – Tendenz steigend.
PricewaterhouseCoopers
CEO-Fraud: Mitarbeiter als Sicherheitsrisiko
Die Schwachstelle im Unternehmensnetzwerk ist oft nicht die Technik, sondern der Mensch.
Sogenannte CEO-Frauds erleichterten schon etliche Unternehmen um Millionen Euro. Dabei geben sich die Täter beispielsweise als Geschäftsführer aus und veranlassen einen Mitarbeiter zum Transfer eines größeren Geldbetrags ins Ausland. Die Kontaktaufnahme erfolgt entweder über E-Mail oder über Telefon, wobei E-Mail-Adressen verfälscht und Telefonnummern verschleiert werden. Ein CEO-Fraud ist quasi der Enkeltrick für Fortgeschrittene.
Besonders perfide ist es, wenn die Kriminellen am Telefon sogar die Stimme des Vorgesetzten imitieren. Die Software Lyrebird beispielsweise ermöglicht es jedermann, seine oder eine andere Stimme so zu speichern, dass ein Roboter eingetippte Sätze spricht und dabei klingt wie der Stimmgeber. Das können sich Kriminelle zunutze machen, indem sie öffentlich verfügbare Statements eines Geschäftsführers für das Training von Lyrebird verwenden.
So überwies vor nicht allzu langer Zeit laut „Süddeutscher Zeitung“ die britische Niederlassung eines deutschen Unternehmens über 200.000 Euro an Kriminelle, nachdem der deutsche Geschäftsführer dort angerufen und darum gebeten hatte. Das Geld war weg – freilich hatte nicht der Geschäftsführer angerufen, erledigt hatte das die synthetische Stimme von Lyrebird.

mehr zum Thema