Cyberangriff auf den weltgrößten Fleischproduzenten offenbart systemische Schwächen

Die jüngste Serie von Angriffen auf kritische Infrastrukturen in den USA und weltweit zeigt, wie verwundbar unsere Wirtschaft ist. Am vergangenen Wochenende wurde der weltgrößte Fleischproduzent JBS von einem Ransomware-Angriff getroffen. In der Folge war das Unternehmen gezwungen, zeitweise seine Werke in den USA und in Australien stillzulegen. Die Auswirkungen können durchaus mit dem jüngsten Anschlag auf die Colonial Pipeline verglichen werden.

Angriffe auf große Infrastrukturunternehmen haben direkte Auswirkungen sowohl auf Einzelpersonen als auch die Wirtschaft. Die neue Dimension der Cyberangriffe, die wir in letzter Zeit beobachten, besteht darin, dass sie zu Versorgungsengpässen führen können, was sich in steigenden Preisen in den Lebensmittelgeschäften niederschlägt und somit Auswirkungen auf den normalen Verbraucher hat. Im Vergleich zu den üblichen Ransomware- oder Denial-of-Service-Angriffen, die keine oder nur geringe Auswirkungen auf das öffentliche Leben haben, treffen die jüngsten Angriffe auf kritische nationale Infrastrukturen in Privatbesitz die Menschen dort, wo es wirklich weh tut. Die direkte Auswirkung auf Verfügbarkeit und Preis von wichtigen Verbrauchsgütern weckt Ängste und beeinträchtigt das Alltagsleben in einer großen Umgebung. Es ist nur schwer vorstellbar, dass ein Angriff auf traditionelle IT-Systeme sich derart auf die Wirtschaft auswirken könnte.

Die großen Fische

In Anbetracht der laufenden Angriffe auf die Infrastruktur halte ich es für schwierig, diese Angriffe nur auf Pech oder Zufall zurückzuführen. Es ist klar, dass unsere Infrastruktur und unsere Wirtschaft angegriffen werden. In der Vergangenheit versuchten kriminelle Organisationen, unentdeckt zu bleiben und nicht zu viel Aufmerksamkeit von Regierungsorganisationen und Geheimdiensten auf sich zu ziehen. Jetzt scheint die Großwildjagd zur neuen Strategie geworden zu sein – gezielte Angriffe mit geringem Umfang und hohem Ertrag, die im Blickpunkt der internationalen Medien und Sicherheitsbehörden stehen.

Kriminelle sind inzwischen so unverfroren, dass sie die wirklich großen Fische ins Visier nehmen. Dabei ist es anscheinend egal, ob die lokale Regierung die Aktion als direkten Angriff auf militärischer Ebene wahrnimmt. In der Folge ziehen die verantwortlichen Behörden Konsequenzen. Tatsächlich wurden die jüngsten Vorfälle im Bereich Cybersecurity sogar dem US-Präsidenten Joe Biden angetragen, der das Thema beim bevorstehenden Gipfel mit dem russischen Präsidenten Wladimir Putin zur Sprache bringen soll. Die gegenwärtig unter Verdacht stehende cyberkriminelle Gruppe nennt sich „REvil“ und agiert von Russland aus. Gleiches gilt für „DarkSide“, die Gruppe hinter dem Angriff auf die Colonial Pipeline.

Risiken in der Lieferkette

Moderne Unternehmen mit einem hohen Automatisierungsgrad in ihrer Lieferkette sind stark von IT-Systemen abhängig. Ein fleischverarbeitender Betrieb wie JBS kann beispielsweise nicht ohne Dokumentation funktionieren. So würde eine Unterbrechung direkt dazu führen, dass gesetzliche Verpflichtungen hinsichtlich der Lebensmittelsicherheit nicht mehr erfüllt werden. In den letzten Jahrzehnten sind IT-Systeme und Produktionssysteme näher zusammengerückt und miteinander verbunden worden, um die bestmögliche Effizienz und einen hohen Automatisierungsgrad in der Lieferkette zu erreichen. Unterbrechungen der zentralen Architektur haben große Auswirkungen auf die Abläufe im gesamten Unternehmen. JBS musste den Betrieb in den USA und in Australien einstellen. Dies könnte eine Präventivmaßnahme sein oder das Ergebnis einer begrenzten Fähigkeit, Anlagen unabhängig von einer zentralen Architektur zu betreiben.

Innerhalb großer Produktionsnetzwerke sollten Unternehmen die Systeme so weit wie möglich trennen, nur legitimen Datenverkehr zulassen und kleinere Netzwerksegmente schaffen, in denen bösartige Software isoliert und eingedämmt werden kann, falls etwas schief geht. Der Schutz der Außengrenzen allein reicht nicht aus, und es gibt verschiedene Angriffsmöglichkeiten. Die Organisation sollte ein Verteidigungsniveau anstreben, das die Bösewichte fernhält, aber sobald ein Stück bösartiger Software seinen Weg in die Organisation gefunden hat, muss es in einem kleineren Netzwerkbereich eingedämmt werden. Eine Ausbreitung innerhalb des Unternehmens, zwischen IT und OT oder zwischen verschiedenen Abteilungen kann durch interne Segmentierung und interne Netzwerksicherheit vermieden werden.

Der JBS-Vorfall hat die Probleme im Agrar- und Fleischproduktionssektor aufgezeigt, insbesondere die Abhängigkeit der Versorgung von einigen wenigen Großunternehmen. Aber vom Standpunkt der Cybersecurity aus gesehen, sollten wir erwarten, dass das Sicherheitsniveau in diesem Bereich dem anderer Fertigungsunternehmen entspricht, die ebenfalls mit ähnlichen Risiken konfrontiert sind.

Zeit für OT-Sicherheit

Die Implementierung von IT- und OT-Sicherheit ist ein kontinuierlicher Prozess, der die fortlaufende Einführung neuer Technologien erfordert, um neuen und aufkommenden Bedrohungen zu begegnen. Letztendlich ist es ein ständiges Bestreben, den cyberkriminellen Organisationen einen Schritt voraus zu sein. Das Verteidigungsniveau, das erforderlich ist, um Unternehmen vor einem solchen Angriff zu schützen, erfordert ein vielschichtiges technisches Konzept mit einer Vielzahl von IT-Sicherheitslösungen in Verbindung mit Schulungen zur Sensibilisierung der Benutzer, angemessener Dokumentation und Notfallplänen sowie kontinuierlichen Überprüfungen und Verbesserungen. Das alles muss aber nicht gleich am ersten Tag umgesetzt werden.

Unternehmen, die noch ganz am Anfang ihrer IT-Sicherheitsreise stehen, sollten so bald wie möglich damit beginnen und nicht versuchen, alles auf einmal zu implementieren. Meine Empfehlung für OT-Netzwerke lautet, mit der Segmentierung zu beginnen, mit internen Firewalls anstelle von Routern zu arbeiten, Fernzugriffe zu überprüfen und eine sichere Lösung für interne Mitarbeiter und externe Betreuer für den Fernzugriff auf Systeme mit Verschlüsselung und mehrstufiger Authentifizierung zu implementieren.

Die IT-Seite ist ebenfalls Teil der Lösung und erfordert einen hochgradigen Schutz der Benutzer- und Serversysteme. E-Mail ist der häufigste Angriffsvektor in der IT und die größte Bedrohung. Ein aktuelles Backup, das von der Produktionsinfrastruktur getrennt und nicht für Ransomware-Angriffe anfällig ist, ist eine wichtige Voraussetzung für die Behebung, und das kann den Unterschied zwischen der Zahlung des Lösegelds und der Nichtzahlung ausmachen. Daher muss dies in Kombination mit anderen IT-Sicherheitslösungen angegangen werden. Wir bei Barracuda unterstützen unsere Kunden mit einer speziellen industriellen Produktlinie von CloudGen Firewalls und erstklassigen Lösungen für E-Mail-Sicherheit, Anwendungssicherheit und Datenschutz.

Schützen Sie mit dem Internet verbundenen IoT-Geräte und Ihre Betriebstechnik.