Company Topimage

09.06.2021

Sind Ihre Endgeräte gegen ICS-Angriffe geschützt?

Da Hacker immer mehr über die Protokolle von Industrial Control Systems (ICS) in Erfahrung bringen, haben sie sich in ihren ICS-Angriffen darauf spezialisiert, Herstellungsprozesse in Fabriken zum Erliegen zu bringen oder wertvolle Produktionsanlagen zu zerstören, indem sie sich über ein Firmen-Netzwerk ausbreiten und ihre Angriffe koordinieren, um die Kontrolle über Endpunkte jeglicher Art zu übernehmen. BlackEnergy 3, Industroyer und TRISIS waren Benchmark-Beispiele für Malware, die zeigen, was wir in den kommenden Monaten an steigenden Cyber-Bedrohungen erwarten können.

Die Malware BlackEnergy wurde erstmals im Jahr 2007 erwähnt. Seitdem ist sie in immer ausgeklügelteren Formen aufgetaucht, zuletzt sogar mit einer ganzen Lösungssuite von leicht einsetzbaren und vielseitigen Plugins. Die neueste Version, BlackEnergy 3, definierte im Dezember 2015 neu, was eine Cyber-Bedrohung bewirken kann. Mithilfe erfolgreicher Spear-Phishing-E-Mails wurde die BlackEnergy 3-Malware in Stromverteilungszentren in der Ukraine zur Anwendung gebracht, wodurch 230.000 Menschen sechs Stunden lang im Dunkeln saßen. Dieser Cyberangriff machte zum ersten Mal mal deutlich, wie kritische Infrastrukturen lahmgelegt werden können. Es ist leicht vorstellbar, welche Auswirkungen BlackEnergy 3 und ähnliche Angriffe auf Krankenhäuser und andere Infrastrukturen haben könnten, die das Leben von Menschen direkt betreffen.

Kritische Infrastrukturen wie Smart Grids oder das Gesundheitswesen sind durch moderne Malware, die speziell für die Kommunikation mit OT-Technologie-basierten Anlagen entwickelt wurde, erheblich gefährdet. Wie BlackEnergy 3 im Jahr 2015 hat auch Industroyer (alias CrashOverride) im Jahr 2016 die Stromnetze in der ukrainischen Hauptstadt Kiew angegriffen. Industroyer legte ein Fünftel der Kiewer Stromsysteme für eine Stunde lahm, da Reparaturversuche immer wieder durch eine ganze Kette netzwerkweiter Systemausfällen blockiert wurden. Als Forscher diese Malware analysierten, stellten sie fest, dass die Malware IEC-104-Befehle enthielt, mit denen sie speziell Infrastruktur-Geräte in Stromnetzen steuern konnte. Industroyer war die erste Malware, die mit einem derartigen Know-How und einer derartigen Spezialisierung auf ICS-Protokolle erstellt wurde und somit in der Lage war, die Energiebranche ins Visier zu nehmen und Smart Grids zu beeinträchtigen.

Die TRISIS-Malware zielte 2017 auf das Triconex Safety Instrumented System (SIS) ab ("Tri" von Triconex + SIS = TRISIS). In ihrem Bericht über TRISIS, den Sie hier lesen können, beschrieb der Cybersecurity Experte Dragos Inc., wie TRISIS als erste Malware mit dem Potenzial, die Sicherheit einer Anlage aus der Ferne zu gefährden, Neuland betrat. Schwachstellen, die die Hacker in den Sicherheitsverfahren entdeckten, ermöglichten den Zugriff auf Produktionsanlagen sowie auf das Netzwerk der Sicherheitssteuerung. Durch den TRISIS-Angriff waren die Hacker in der Lage, eine wichtige Öl- und Gasanlage im Nahen Osten komplett lahm zu legen. Dieser Angriff war zwar so hochspezialisiert und zielgerichtet, dass dieser Vorfall an sich keine direkte Bedrohung für andere SIS-Systeme darstellt, aber TRISIS zeigt uns durchaus den ausgefeilten Grad der Entwicklung, zu dem Hacker fähig sind, wenn sie ein bestimmtes Ziel im Auge haben.

BlackEnergy 3 (2015), Industroyer (2016) und Triton/Trisis (2017) zeigen das zukünftige Potenzial von Angriffen, die in der Lage sind, die „Sprache“ von ICS-Systemen zu sprechen. Um zu verhindern, dass Angriffe wie diese Ihre unternehmenskritischen Endpunkte beeinträchtigen, sind Ihre wichtigsten Verteidigungsmaßnahmen die Einschränkung von Privilegien auf Produktionsgeräten über Whitelisting und regelmäßige Malware-Scans.

Diese Angriffe haben gemeinsam, dass sie manchmal Jahre im Voraus in die jeweiligen IT-Systeme hochgeladen wurden, wo sie auf den Befehl zur Aktivierung warten und die betroffenen Anlagen ins Chaos stürzen. Für ICS-Systeme, die installierte Schutzsoftware verwenden können, ist Lockdown-Software wie Safe Lock, die nur die Aktivierung von Prozessen auf der Whitelist zulässt, entscheidend für die Cybersicherheit. Für ICS-Systeme, die keinerlei Software-Installationen erlauben, ohne dass die Garantie erlischt oder andere Probleme entstehen, kann eine Scan-Software wie Portable Security 3 solche Bedrohungen aufspüren und beseitigen.