Industrieunternehmen in Deutschland, Österreich und der Schweiz sind laut Kaspersky-Telemetrie nach wie vor ein beliebtes Angriffsziel von Cyberkriminellen. Allein in Deutschland belief sich die Schadenssumme durch Cyberangriffe im vergangenen Jahr, laut Bitkom, auf rund 203 Milliarden Euro. Basierend auf den Entwicklungen innerhalb der Bedrohungslandschaft in den vergangenen Jahren hat das Kaspersky ICS CERT diejenigen Schwachstellen identifiziert, die es APTs ermöglicht, Industrieunternehmen erfolgreich anzugreifen.
Hauptgründe für erfolgreiche APT-Angriffe
1. Keine Isolierung des OT-Netzwerks: Oftmals ist die Trennung und der Schutz des OT-Netzwerks (Operational Technology) nicht gewährleistet. So sind beispielsweise Maschinen wie Workstations weiterhin sowohl mit dem regulären IT-Netzwerk als auch mit dem OT-Netzwerk verbunden. Bedrohungsakteure können diesen Umstand ausnutzen, indem sie beispielsweise Netzwerke zu Proxy-Servern umfunktionieren, um den Malware-Verkehr zu kontrollieren. Zudem können sie diese dazu nutzen, Malware zu hinterlegen und in Netzwerke einzuschleusen, die als isoliert galten.
2. Menschliches Fehlverhalten: Wird Mitarbeitern oder Auftragnehmern Zugang zu OT-Netzen gewährt, werden die erforderlichen Maßnahmen zur Datensicherheit häufig übersehen. Fernverwaltungsprogramme wie TeamViewer oder Anydesk, die zunächst vorübergehend eingerichtet wurden, können unbemerkt aktiv bleiben. Dabei können diese Kanäle leicht von Angreifern ausgenutzt werden. Im laufenden Jahr untersuchte Kaspersky einen Vorfall, bei dem ein Auftragnehmer einen Sabotageversuch unternahm, indem er sich den Fernzugriff auf das ICS-Netzwerk, der ihm einige Jahre zuvor rechtmäßig gewährt worden war, zunutze machte. Eine mögliche Maßnahme gegen solch ein Szenario ist Zero Trust – ein Sicherheitskonzept, bei dem die Berechtigung eines Nutzers vom System automatisch überprüft wird, bevor dieser Zugang zu einem Programm, einer Datenbank oder einer Unternehmensressource erhält.
3. Unzureichender Schutz von OT-Ressourcen: Veraltete Datenbanken von Sicherheitslösungen, fehlende oder nutzerseitig entfernte Lizenzschlüssel, deaktivierte Sicherheitskomponenten und zu viele Ausschlüsse von Scan- und Schutzfunktionen – all dies trägt zur Verbreitung von Malware bei. Wenn Datenbanken nicht auf dem neuesten Stand sind und eine Sicherheitslösung nicht automatisch aktualisiert wird, können sich fortschrittliche Bedrohungen schnell und einfach ausbreiten – vor allem bei APT-Angriffen, bei denen ausgeklügelte Bedrohungsakteure versuchen, sich einer Entdeckung zu entziehen.
4. Unzulängliche Konfigurationen von Sicherheitslösungen: Korrekte Konfigurationen einer Sicherheitslösung sind entscheidend, um zu verhindern, dass diese deaktiviert oder sogar missbraucht wird. Denn APT-Akteure können Netzwerkinformationen stehlen, die in einer Sicherheitslösung gespeichert sind, um in andere Teile des Systems einzudringen oder sich lateral fortzubewegen, indem sie professionelle Infosec-Sprache verwenden. Vergangenes Jahr stellte Kaspersky fest, dass Cyberkriminelle sich nicht mehr nur darauf beschränken, kritische IT-Systeme wie Domain-Controller zu kapern, sondern sich nun den Verwaltungsservern von Sicherheitslösungen widmen. Hierbei verfolgen sie unterschiedliche Ziele – von der Aufnahme der Malware in eine Liste von Programmen, die nicht überprüft werden sollen, bis hin zur Verwendung von Tools im Sicherheitssystem, um die Malware in anderen Systemen zu verbreiten, selbst auf solche, die eigentlich völlig vom infizierten Netzwerk getrennt sein sollten.
5. Fehlender Cybersicherheitsschutz in OT-Netzwerken: In einigen OT-Netzen sind bei vielen Endpunkten noch überhaupt keine Cybersicherheitslösungen installiert. Hinzu kommt, dass Angreifer, selbst wenn das OT-Netzwerk vollständig von anderen Netzwerken getrennt und nicht mit dem Internet verbunden ist, immer noch Möglichkeiten haben, sich Zugang zu verschaffen. Zum Beispiel indem sie spezielle Malware erstellen, die über Wechsellaufwerke wie USB-Sticks verbreitet wird.
6. Herausforderungen bei Sicherheitsupdates für Workstations und Server: Industrielle Kontrollsysteme haben eine besondere Funktionsweise, bei der selbst einfache Aufgaben wie die Installation von Sicherheitsupdates auf Workstations und Servern sorgfältig getestet werden müssen. Diese Tests finden häufig während geplanter Wartungsarbeiten statt, weshalb Aktualisierungen nur sporadisch durchgeführt werden. Dadurch können Bedrohungsakteure bekannte Schwachstellen ausnutzen und Angriffe ausführen.
„In einigen Fällen erfordert die Aktualisierung des Server-Betriebssystems ein Update der Spezialsoftware – etwa die des SCADA-Servers – was wiederum eine Aufrüstung aller Geräte erfordert, die ihrerseits teuer werden kann“, erklärt Evgeny Goncharov, Leiter des Kaspersky Lab ICS CERT. „Aus diesem Grund gibt es weiterhin veraltete Systeme in den Netzwerken industrieller Kontrollsysteme. Leider bleiben sogar mit dem Internet verbundene Systeme in Industrieunternehmen, die relativ leicht zu aktualisieren sind, für lange Zeit anfällig und ungepatcht. Dies macht die OT anfällig für Angriffe und ernst zu nehmende Risiken.“
Tipps zum Schutz von Industrieunternehmen vor APT-Angriffen
OT-Systeme und kritische Infrastrukturen vom Unternehmensnetz trennen oder zumindest keine unzulässigen Verbindungen bestehen lassen.
Regelmäßig Sicherheitsaudits der OT-Systeme durchführen, um mögliche Schwachstellen zu ermitteln und zu beseitigen.
Ein Verfahren zur kontinuierlichen Schwachstellenbewertung und zum Schwachstellenmanagement etablieren.
Lösungen zur Überwachung, Analyse und Erkennung des ICS-Netzwerkverkehrs implementieren, um das Unternehmen besser vor Angriffen zu schützen, die technologische Prozesse und wichtige Ressourcen bedrohen könnten.
Eine Sicherheitslösung wie Kaspersky Industrial CyberSecurity [4] einsetzen, die den Schutz der industriellen Endpunkte und eine Netzwerküberwachung ermöglicht und verdächtige und potenziell schädliche Aktivitäten im OT-Netzwerk aufdeckt.
Um ein besseres Verständnis für die Risiken im Zusammenhang mit Schwachstellen in OT-Lösungen zu erhalten und fundierte Entscheidungen zur Abwehr von Bedrohungen treffen zu können, sollten Intelligence-Services wie Kaspersky ICS Vulnerability Intelligence genutzt werden, die die nötigen Informationen in Form von Berichten oder maschinenlesbaren Datenfeeds bieten.
Spezielle ICS-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Ingenieure durchführen, um den Umgang mit neuen und fortschrittlichen schädlichen Techniken zu verbessern.