MANAGEMENT
Folgen für IT-/OT-Umgebungen
Erpressungstrojaner dringen überall ein Wer als Unternehmen von einer Ransomware-Attacke betroffen ist, der sollte davon ausgehen, dass kompromittierte Dateien veröffentlicht werden. Die in diesen Dateien enthalten Informationen tauchen mit ziemlicher Sicherheit irgendwo und irgendwann wieder auf. Auf diese Weise sollen Unternehmen Lösegeld bezahlen, um nicht öffentlich bloss gestellt zu werden. Manchmal verbirgt sich hinter diesen Angriffen mehr als eine blosse Lösegeldforderung.
Ein aktuelles Beispiel hierfür ist die Webseite «Doppel Leaks». In einem «Testmodus» wurde versucht, Unternehmen blosszustellen, die Opfer des Ransomware-Angriffs geworden waren, aber kein Lösegeld gezahlt hatten. Als Beweis sollten die gestohlenen Dateien veröffentlicht werden. Es handelt sich bei Doppel Leaks zwar um die erste Website, die sich ausdrücklich dem «Public Shaming», also dem öffentlichen Blossstellen von Opfern im Internet, verschrieben hat, es ist aber nicht die erste Ransomware, die den Shaming-Ansatz nutzt.
Vorgetäuschter Angriff Einige Theorien besagen, dass Ransomware-Angriffe lediglich dazu dienen, die Spuren weitreichenderer Operationen, wie zum Beispiel einen Angriff auf die Lieferkette oder Finanzbetrug, zu tarnen. Das letztliche Ziel ist es aber, Daten zu verschlüsseln und Lösegeld für die Freigabe der Dateien zu erpressen. Die meisten Industriebetriebe und -anlagen verfügen allerdings nur über eine begrenzte Zahl «sensibler» Daten, die für ihre Gegner tatsächlich von Wert wären. Mit «Public Shaming» haben die Angreifer ein zusätzliches Druckmittel in der Hand, um die Opfer zur Zahlung zu zwingen. Derartige Methoden können sich als sehr wirksam erweisen. Denn hier geht es nicht um die Art der Daten oder darum, wie sensibel die Informationen sind. Es geht um die Macht, diese Daten zu besitzen und jeder-
¹ Nozomi Networks, San Francisco (USA)
66
Bild: Shutterstock
Chris Grove ¹
Nicht nur «sensible» Daten des Managements, sondern auch OT-Systeme können für Cyber- Kriminelle interessante Ziele sein.
zeit offenlegen zu können. Ob die Daten aus der betrieblichen Umgebung einer Industrieanlage stammen oder aus der Zentrale des Unternehmens ist dabei weitgehend unerheblich. Es geht primär darum, die Opfer unter Druck zu setzen und nicht um einen direkten Hack oder Betrug. Die Daten dienen vielmehr als Beweis, dass jemand gehackt wurde und offensichtlich verwundbar ist.
IT- versus OT-Paradigma Diese Art von Angriffen konzentriert sich in erster Linie auf die Dateiverschlüsselung und nicht auf den potenziellen Schaden, wenn Systeme heruntergefahren oder stillgelegt werden, die mit Geräten in der realen Welt verbunden sind. Tatsächlich sind sich die Angreifer oft nicht bewusst, dass sie sich in einem industriellen Kontrollsystem (ICS) befinden. Alles, was sie wissen oder worum es ihnen geht, ist das Herunterfahren von OT-/IoT-Systemen. Für die
Fahrgäste eines Zuges, der dadurch zum Entgleisen gebracht wird oder für die Anwohner in der Nähe einer brennenden Chemiefabrik können die Folgen hingegen katastrophal sein. Um an Geld zu kommen, agieren die meisten Angreifer einigermassen skrupellos. Und sie nehmen billigend in Kauf, das Leben anderer Menschen zu gefährden. Das bestehende Paradigma führt dazu, dass Firmen die Budgets zum Schutz sensibler IT-Daten nach oben schrauben und OT-Umgebungen aus der Finanzplanung ausschliessen. Es wird also viel Geld in den Datenschutz investiert, gemessen daran, wie sensibel diese Daten sind. Kriterien sind Vertraulichkeit, Integrität und Verfügbarkeit (die klassische C-I-A-Triade), aber nicht unbedingt die Sicherheit. Der Ansatz übersieht zudem, dass sich im Kontext von Datei-Leaks und «Public Shaming» der Grad der Sensibilität schnell ändern kann. Hier brauchen Firmen offensichtlich ein Umdenken. 9/2020
