Infrastruktur wird angegriffen

Infrastruktur unter Beschuss

Druckfreundlich, PDF & E-Mail

Vor nicht allzu langer Zeit waren Bilder im Internet von Menschenschlangen an Tankstellen zu sehen und in den Nachrichten gab es Meldungen, dass Flughäfen bald das Kerosin ausgehen könnte. Während früher große Teile der Bevölkerung Cyberangriffe als etwas Abstraktes ohne reale Auswirkungen wahrnahmen, ist dieses Mal ein Cyberangriff zu einem realen Angriff und einem echten Problem für die Gesellschaft geworden.

Der Angriff auf die Colonial Pipeline war natürlich nicht der erste erfolgreiche Angriff auf eine kritische Infrastruktur, aber die Auswirkungen in dieser Dimension und in einer so großen geografischen Region – der gesamten Ostküste der USA, der Heimat von Big Tech –, das ist neu und besorgniserregend. Verglichen mit den direkten Kosten und Auswirkungen auf die Wirtschaftsleistung ist das gezahlte Lösegeld von 5 Millionen Dollar ein geringer Betrag.

Den schnellen und einfachen Erfolg im Visier

Die genauen Details der Angriffsmethode in diesem bestimmten Fall sind noch nicht bekannt. Aber es ist klar geworden, dass es sich nicht um einen hoch entwickelten technischen Angriff handelte, der von langer Hand auf militärischer Ebene geplant war. Sowohl die Hacker-Organisation Darkside als auch ihr Ransomware-Angebot oder Ransomware-as-a-Service (RaaS) sind seit Mitte des Jahres 2020 bekannt.

Medienberichten zufolge wurden weder die Pipeline noch ihre Steuerungssysteme direkt angegriffen. Der Angriff dürfte vielmehr von den Büro-IT-Systemen ausgegangen sein und dort das Abrechnungssystem infiziert haben, das für den uneingeschränkten Betrieb einer Pipeline unerlässlich ist.

Anreize oder Hinweise von ausländischen Regierungsorganisationen für diesen Angriff sind nicht bekannt. Aber es steht fest, dass Computer mit einer russischen oder osteuropäischen Systemsprache nicht von Darkside angegriffen werden.

Wenn die weltweiten Medien auf einen Betreiber kritischer Infrastruktur blicken und darauf warten, dass dieser sich entscheidet, ob er das Lösegeld zahlt oder für einen schwer abzuschätzenden Zeitraum mit erheblichen Einschränkungen im öffentlichen Leben konfrontiert wird, ist die Entscheidung klar. Der doppelte Erpressungsansatz, bei dem Daten nicht nur verschlüsselt werden, sondern dem Opfer auch gleichzeitig mit deren Veröffentlichung gedroht wird, erhöht den Druck zusätzlich. Die Frage bleibt, ob es sich wirklich um einen gezielten Angriff oder nur um eine aufgedeckte Schwachstelle handelt.

Traditionelle Angriffsvektoren

Die beliebteste Angriffsmethode ist immer noch die E-Mail. Die Erfolgschancen sind gut und – selbst, wenn der Angriff scheitert – drohen dem Angreifer keine Konsequenzen.

Natürlich funktionieren Angriffe, die auf E-Mails basieren, besser, wenn Cyberkriminelle vorbereitet sind. Weit verbreitete Phishing-E-Mails mit generischem Inhalt haben eine geringere Erfolgschance als gezielte und gut vorbereitete Angriffe. Im letzten Jahr erwies sich COVID-19 als perfekter Aufmacher für Phishing-E-Mails. Wichtig ist vor allem, dass sich der Empfänger persönlich angesprochen fühlt – sei es aus Neugierde, wegen finanzieller Versprechungen oder ähnlicher Anreize. Durch einen Klick auf einen Schadlink wird in der Regel eine Software heruntergeladen, die dann ihre schädliche Wirkung entfaltet.

In Operational Technology(OT)-Netzwerken, zum Beispiel in der Industrie, Produktion oder Infrastruktur, sind Fernwartungszugänge häufig ein Problem. Eine große Anzahl von Mitarbeitern und externen Servicetechnikern muss aus den unterschiedlichsten Gründen auf Geräte zugreifen, wofür sehr oft verschiedene Methoden verwendet werden. Erst kürzlich gab es einen kritischen Vorfall bei einem Wasserversorgungsbetrieb in Florida, bei dem ein Fernwartungszugang zur Manipulation sicherheitsrelevanter Einstellungen missbraucht werden konnte.

Die Angriffsmethoden unterscheiden sich, und es gibt viele verschiedene Möglichkeiten, in ein fremdes Netzwerk einzudringen. Das Problem von OT-Netzwerken ist, dass sie flach und offen und die Geräte anfällig sind. Das bedeutet, dass sich Angreifer oder Malware, die ihren Weg ins Netzwerk gefunden haben, ungehindert ausbreiten können.

Erfolgreiche Verteidigung

Zum erfolgreichen Schutz von Industrienetzwerken sind strukturierte Sicherheitsmaßnahmen erforderlich. Das Beispiel der Colonial Pipeline zeigt, dass IT- und OT-Systeme mittlerweile eng miteinander verbunden sind und hier Abhängigkeiten bestehen, die einen entsprechenden Schutz beider Seiten erforderlich machen. Wenn ein Angriff auf ein Abrechnungssystem oder ein traditionelles ERP-System einen großflächigen Ausfall verursacht, zeigt dies ein hohes Maß an Systeminteraktion, wie es wahrscheinlich in vielen ähnlichen Unternehmen zu finden wäre. Der Air Gap zwischen IT und OT existiert nicht mehr, und beide Seiten müssen entsprechend geschützt werden.

Zu den Schutzmaßnahmen gehören neben technischen und organisatorischen Maßnahmen auch Mitarbeiterschulungen und User Awareness. Eine umfassende E-Mail-Sicherheitssuite sollte unbedingt zu einer Lösung gehören, da dies der häufigste Angriffsvektor ist. Aber auch bei der besten technischen Lösung muss immer damit gerechnet werden, dass noch etwas durchdringen kann. Aus diesem Grund müssen auch die Mitarbeiter so geschult werden, dass sie einen Angriffsversuch erkennen können.

E-Mails stellen nicht den einzigen Weg dar, in ein Unternehmen einzudringen. Fernwartungszugriffe sind ein großes Risiko, besonders in industriellen Netzwerken. Statt einer unkontrollierten Zunahme an unterschiedlichen Fernzugriffslösungen verschiedener Anbieter sollte ein standardisiertes Verfahren zur Verfügung gestellt werden, das einfach zu bedienen und umfassend abgesichert ist. Eine Mehrfaktor-Authentifizierung ist zwingend erforderlich, und auch der Fernwartungszugriff sollte zeitlich begrenzt sein. Sollte eine Malware oder ein Angreifer trotzdem noch in das Netzwerk eindringen, ist zudem eine Segmentierung der Schlüssel zum Schutz vor dem Angriff, der sich auf die Ressourcen des Unternehmens ausbreitet.

Physische Angriffsvektoren wie Social Engineering oder USB-Sticks und Malware auf mobilen Geräten müssen ebenfalls in die Überlegungen einbezogen werden. Unternehmen sollten daher immer davon ausgehen, dass Sicherheitsmaßnahmen am Perimeter auf irgendeine Weise überwunden oder umgangen werden können.

Die Segmentierung trennt das Büro-IT-Netz von der Betriebstechnik, und innerhalb des OT-Netzes wird die Steuerungsebene von der Prozessebene getrennt. Legitime Verbindungen werden zugelassen, aber so weit wie möglich eingeschränkt und mit Sicherheitssystemen der nächsten Generation wie Antivirus, IPS und Advanced Threat Protection auf bösartige Inhalte überprüft. Um eine horizontale Ausbreitung zu verhindern – wie zum Beispiel von einem Computer zu einem anderen – werden einzelne oder kleine Asset-Gruppen mithilfe von Mikro-Segmentierung voneinander isoliert. Mit dem zusätzlichen Einsatz von Anomalieerkennung können verdächtige Aktivitäten im Netzwerkverkehr erkannt und automatisch durch die Firewalls blockiert werden. Auf diese Weise kann im Falle eines Sicherheitsvorfalls zumindest eine Eindämmung erreicht werden.

Schutzmaßnahmen müssen daher immer vielfältig beziehungsweise vielschichtig sein, und jede einzelne Maßnahme muss den Anspruch haben, nicht überwindbar zu sein. Wenn diese Maßnahmen nicht auf die leichte Schulter genommen werden, ist das eigene Netzwerk kein leichtes Opfer mehr für Angreifer.

Die jüngsten Ereignisse des Ransomware-Angriffs auf die Colonial Pipeline haben wahrscheinlich viel mehr Aufmerksamkeit erregt, als die Hacker wollten. Das kann als Weckruf verstanden werden. Die Tatsache, dass die US-Regierung nun reagiert und Präsident Joe Biden umfangreiche finanzielle Mittel zur Verbesserung der Sicherheit der Infrastruktur zugesagt hat, wird sicherlich viele Unternehmen dazu veranlassen, ihre eigenen Sicherheitsmaßnahmen sorgfältig zu überprüfen.

Barracuda bietet eine dedizierte CloudGen Firewall-Produktreihe zur Sicherung industrieller IoT- und OT-Netzwerke. Der Fernwartungszugang ist mit herkömmlichen VPN-Clients oder der ZTNA-Lösung CloudGen Access sicher konzipiert. In Kombination mit Enterprise-Security-Lösungen wie Total Email Protection, Barracuda Web Application Firewall und Barracuda Backup sowie diversen Produktintegrationen von Technologiepartnern steht ein umfassendes Maßnahmenpaket zur erfolgreichen Abwehr moderner Angriffe zur Verfügung.

Nach oben scrollen
Twittern
Teilen
Teilen