MANAGEMENT

Next Article

TERMINE

Folgen für IT-/OT-Umgebungen

Erpressungstrojaner dringen überall ein

Wer als Unternehmen von einer Ransomware-Attacke betroffen ist, der sollte davon ausgehen, dass kompromittierte Dateien veröffentlicht werden. Die in diesen Dateien enthalten Informationen tauchen mit ziemlicher Sicherheit irgendwo und irgendwann wieder auf. Auf diese Weise sollen Unternehmen Lösegeld bezahlen, um nicht öffentlich bloss gestellt zu werden. Manchmal verbirgt sich hinter diesen Angriffen mehr als eine blosse Lösegeldforderung.

Chris Grove¹

Ein aktuelles Beispiel hierfür ist die Webseite «Doppel Leaks». In einem «Testmodus» wurde versucht, Unternehmen blosszustellen, die Opfer des Ransomware-Angriffs geworden waren, aber kein Lösegeld ge zahlt hatten. Als Beweis sollten die gestohlenen Dateien veröffentlicht werden. Es handelt sich bei Doppel Leaks zwar um die erste Website, die sich ausdrücklich dem «Public Shaming», also dem öffentlichen Blossstellen von Opfern im Internet, ver schrieben hat, es ist aber nicht die erste Ransomware, die den Shaming-Ansatz nutzt.

Vorgetäuschter Angriff

Einige Theorien besagen, dass Ransomware-Angriffe lediglich dazu dienen, die Spuren weitreichenderer Operationen, wie zum Beispiel einen Angriff auf die Lieferkette oder Finanzbetrug, zu tarnen. Das letztliche Ziel ist es aber, Daten zu verschlüsseln und Lösegeld für die Freigabe der Dateien zu erpressen. Die meisten Industriebetriebe und -anlagen verfügen allerdings nur über eine begrenzte Zahl «sensibler» Daten, die für ihre Gegner tatsächlich von Wert wären. Mit «Public Shaming» haben die Angreifer ein zusätzliches Druckmittel in der Hand, um die Opfer zur Zahlung zu zwingen. Derartige Methoden können sich als sehr wirksam erweisen. Denn hier geht es nicht um die Art der Daten oder darum, wie sensibel die Informationen sind. Es geht um die Macht, diese Daten zu besitzen und jeder

¹ Nozomi Networks, San Francisco (USA)

Nicht nur «sensible» Daten des Managements, sondern auch OT-Systeme können für CyberKriminelle interessante Ziele sein.

zeit offenlegen zu können. Ob die Daten aus der betrieblichen Umgebung einer Industrieanlage stammen oder aus der Zentrale des Unternehmens ist dabei weitgehend unerheblich. Es geht primär darum, die Opfer unter Druck zu setzen und nicht um einen direkten Hack oder Betrug. Die Daten dienen vielmehr als Beweis, dass jemand gehackt wurde und offensichtlich verwundbar ist.

IT- versus OT-Paradigma

Diese Art von Angriffen konzentriert sich in erster Linie auf die Dateiverschlüsselung und nicht auf den potenziellen Schaden, wenn Systeme heruntergefahren oder stillgelegt werden, die mit Geräten in der realen Welt verbunden sind. Tatsächlich sind sich die Angreifer oft nicht bewusst, dass sie sich in einem industriellen Kontrollsystem (ICS) befinden. Alles, was sie wissen oder worum es ihnen geht, ist das Herunterfahren von OT-/IoT-Systemen. Für die Fahrgäste eines Zuges, der dadurch zum Entgleisen gebracht wird oder für die Anwohner in der Nähe einer brennenden Chemiefabrik können die Folgen hingegen katastrophal sein. Um an Geld zu kommen, agieren die meisten Angreifer einigermassen skrupellos. Und sie nehmen billigend in Kauf, das Leben anderer Menschen zu gefährden. Das bestehende Paradigma führt dazu, dass Firmen die Budgets zum Schutz sensibler IT-Daten nach oben schrauben und OT-Umgebungen aus der Finanzplanung ausschliessen. Es wird also viel Geld in den Datenschutz investiert, gemessen daran, wie sensibel diese Daten sind. Kriterien sind Vertraulichkeit, Integrität und Verfügbarkeit (die klassische C-I-A-Triade), aber nicht unbedingt die Sicherheit. Der Ansatz übersieht zudem, dass sich im Kontext von Datei-Leaks und «Public Shaming» der Grad der Sensibilität schnell ändern kann. Hier brauchen Firmen offensichtlich ein Umdenken.

Die ICS-Umgebung sollte für den Schutz einer Marke und den Ruf eines Unternehmens als ebenso wichtig erachtet werden wie «sensible» Daten, die auf einer «höheren Ebene» angesiedelt sind. Gegenwärtig geben Unternehmen allerdings bis zu 100-mal mehr aus, um Letztere zu schützen. Je früher Unternehmen begreifen, dass Angreifer bereit sind, die Führungsebene oder eine Anlage ins Visier zu nehmen, um an Daten zu gelangen, die sich für Erpressung und «Public Shaming» eignen, desto besser für die generelle Sicherheitslage und die betriebliche Kontinuität.

Auf dem Weg zur IT-/ OT-Konvergenz

Grosse IT-Unternehmen und alle, die einige Zeit in einem Security Operations Center (SOC), einem Dienstleister für EDV-Sicherheit, gearbeitet haben, werden bestätigen, dass es immer einen offenen Sicherheitsvorfall gibt. Irgendwo, irgendwie, werden ständig Systeme bereinigt oder forensisch analysiert. Es geht nicht mehr darum, einen Hackerangriff zu verhindern, sondern darum, Cyber-Resilienz zu gewährleisten: als konstanten Zustand einer effektiven Wiederherstellung. Wenn man diese Perspektive einnimmt, kann man einen Strategiewechsel einleiten, der ein verändertes Sicherheitsbewusstsein widerspiegelt. Anstatt weiterhin davon auszugehen, dass Perimetersicherheit ausreichend ist, sollten Unternehmen in Technologien investieren, die helfen, Fragen wie diese zu beantworten: Zentrale Fragen für ein sinnvolles Umdenken – Welche Tools brauchen wir für eine forensische Untersuchung? – Wie hat die Umgebung vor dem An griff ausgesehen? – Wo hat der Angriff begonnen? – Wie weit ist der Angreifer bereits ins

Netzwerk eingedrungen («lateral movement»)? – Welche Systeme sind betroffen? – An welcher Stelle im Netzwerk könn ten sich die Angreifer versteckt halten? – Wurden andere Angriffe oder Me thoden eingesetzt, die zusätzliche

Indikatoren für eine Kompromittie rung sein könnten? – Was können wir tun, um das poten zielle Ziel zu schützen? Die wichtigste Frage am Schluss: – Hat der Angriff einen Prozess beein trächtigt oder ist ein Prozess gefährdet?

Ransomware als solche trifft keine Unter scheidung. Sie operiert in IT-, IoT- und ICS-Umgebungen gleichermassen. Man ist also auf Tools angewiesen, die über das gesamte Technologiespektrum hinweg funktionieren, um Angriffe und Ransomware auch in heterogenen Umgebungen zu erkennen und nachzuverfolgen. Darüber hinaus tragen Betreiber von ICS-Systemen die zusätzliche Verantwortung, die realen Auswirkungen eines Ransomwa re-Angriffs zu berücksichtigen. Sie sind gezwungen, sehr schnell sicherzustellen, dass OT-Systeme während eines Vorfalls

Machen Sie den richtigen Zug!

Erfolgreich werben mit der ChemieXtra.

intakt bleiben. Im Idealfall sind entsprechende Tools bereits implementiert, bevor es zu einem Zwischenfall kommt. Das reduziert die Zeit für die Wiederherstellung, den Aufwand und die Kosten. Und es minimiert den Radius der möglichen Zerstörung und verhindert das Abfliessen von Daten.

Fazit: Ignoranz wird ausgenutzt

Hacker haben ihre taktische Reichweite ein weiteres Mal vergrössert. Damit ist es ihnen unter anderem gelungen, ansonsten vergleichsweise harmlosen Daten auf Anlagenebene (wie oben beschrieben) deutlich mehr Relevanz zu geben. Aus IT-Sicht ist die Bedrohung durch Ransomware grösser denn je, und aus OT-Sicht ist sie zu einem deutlich höheren Risiko geworden als in den Zeiten von Stuxnet, einem Computerwurm, der vor zehn Jahren zu wüten begann. Noch vor drei Jahren waren Informationen zu den häufigsten OT-Cyberangriffen für die meisten Anlagentechniker brandneu. Heute sorgt Ransomware täglich für Schlagzeilen. Betreiber sollten den Kopf nicht weiterhin in den Sand stecken, denn Angreifer werden nicht zögern, Ignoranz für sich auszunutzen.

Kontakt Nozomi Networks Mendrisio Via Laveggio 6 CH-6850 Mendrisio +41 91 647 04 06 info@nozominetworks.com www.nozominetworks.com