Industrielle Netzwerke sind Angriffszielen ausgesetzt, die sowohl technische Funktionen als auch betriebliche Werte betreffen. Die Ausgangslage ist durch veraltete Betriebssysteme, zunehmende Vernetzung vom Büro bis zur Produktionsstätte, feste und wenig flexible Produktionsanlagen, Legacy-Anwendungen in Produktionslinien und ein mangelndes Bewusstsein für Cyber-Bedrohungen geprägt. Dadurch entsteht ein Umfeld, in dem Schwachstellen nicht nur in einzelnen Geräten liegen, sondern in der Verbindung von Technik, Organisation und Betrieb.
Allgemeine Angriffsziele
Ein Angriff auf die Verfügbarkeit zielt darauf, Daten so zu verfälschen oder zu verschlüsseln, dass die Funktionalitäten eines Systems eingeschränkt werden. Dazu gehört auch die Belastung eines Netzes durch Denial-of-Service oder Distributed-Denial-of-Service in einem Ausmaß, dass das Netz zusammenbricht. In industriellen Umgebungen ist das besonders kritisch, weil eingeschränkte Verfügbarkeit unmittelbar auf Produktionsabläufe durchschlägt.
Ein Angriff auf die Vertraulichkeit richtet sich gegen den Grundsatz, dass Daten nur von befugten Personen eingesehen, verarbeitet und verwaltet werden dürfen. Vertrauliche Daten können durch Veröffentlichung, Erpressung, Abhören der Kommunikation oder Phishing gestohlen werden. Damit betrifft Vertraulichkeit in industriellen Netzen nicht nur personenbezogene oder kaufmännische Daten, sondern auch technische Informationen und Prozesswissen.
Ein Angriff auf die Integrität betrifft veränderte Daten und gefährdet dadurch die korrekte Funktionsweise von Systemen. Solche Veränderungen können durch eine Fehlfunktion eines Geräts ausgelöst werden oder durch eine Aktion, die eine Fehlfunktion auslöst. Integrität ist damit nicht nur eine Datenfrage, sondern eine Funktionsfrage des Gesamtsystems.
Spezifische Angriffsziele
Zu den spezifischen Angriffszielen gehören Kapital, Inventar und Know-how. Genannt werden Geld, Server, Computer sowie das Ausspähen von Rezepturen, Produktionsprozessen und Maschinenparametern. In industriellen Umgebungen bedeutet das, dass Angriffe sowohl gegen physische Betriebsmittel als auch gegen produktionsrelevantes Wissen gerichtet sein können.
Weitere spezifische Ziele sind personenbezogene Daten sowie die Authentizität, konkret Benutzernamen, Passwörter und Adressen. Hinzu kommen das Image, das Erlangen von Wettbewerbsvorteilen, die funktionale Sicherheit, die Sicherheit des Personals und das Inventar in Form von Werkzeugen, Werkstücken und Maschinenausrüstung. Diese Aufzählung zeigt, dass industrielle Angriffe weit über klassische IT-Ziele hinausgehen und direkt in Produktion, Marktstellung und Sicherheit hineinwirken.
Angreifergruppen
Genannt werden Vulnerability Broker beziehungsweise Securityforscher, unbeabsichtigte Angreifer, Script Kiddies, Hacktivisten, Cyber-Kriminelle beziehungsweise Cyber-Terroristen, nationale Nachrichtendienste beziehungsweise staatliche Akteure in der Cyber-Kriegsführung sowie böse Insider. Zugleich wird festgehalten, dass Motive, Ziele und Ressourcen dieser Gruppen unterschiedlich sind und auf technischer Ebene nicht immer sofort erkennbar ist, welche Gruppe hinter einem konkreten Angriff steht.
Vulnerability Broker und Securityforscher versuchen in der Regel, Schwachstellen zu entdecken und sie den Anbietern zu melden, teilweise gegen Preise oder Belohnungen. Sie werden dabei als „White-Hat-Hacker“ eingeordnet. Script Kiddies werden als Teenager oder unerfahrene Hacker beschrieben, die vorhandene Skripte oder Werkzeuge, sogenannte Exploits, ausführen, um systematisch Schwachstellen auszunutzen. Oft genügt ihnen bereits die Tatsache, Schaden verursacht zu haben. Hacktivisten protestieren öffentlich gegen Organisationen oder Regierungen, veröffentlichen Artikel und Videos, geben vertrauliche Informationen preis oder führen DDoS-Angriffe durch, die die Verfügbarkeit von Diensten lahmlegen.
Cyber-Kriminelle und Cyber-Terroristen handeln entweder selbständig oder arbeiten für große Organisationen der Internetkriminalität, um illegal Geld zu verdienen. Ihre Ziele sind in erster Linie ausländische Regierungen, können aber auch Unternehmen sein, in der Regel kritische Infrastrukturen. Sie sabotieren diese oder versuchen, an vertrauliche Informationen zu gelangen. Staatliche Akteure werden als Teil staatlich geförderten Hackings beschrieben; von Staaten gesponserte Cyberangriffe seien zu einem immer häufigeren Instrument der digitalen Kriegsführung geworden. Böse Insider werden mit ehemaligen Mitarbeitern mit hohen Benutzerrechten, Insiderwissen über das System oder Mitarbeitern in schwierigen Lebenssituationen verbunden.
Zusammenfassung
Industrielle Angriffe richten sich gleichzeitig gegen Verfügbarkeit, Vertraulichkeit und Integrität sowie gegen konkrete betriebliche Werte wie Kapital, Inventar, Know-how, personenbezogene Daten, Authentizität, Image, Wettbewerbsvorteile, funktionale Sicherheit und die Sicherheit des Personals. Die Angreifer reichen von unbeabsichtigten Verursachern über opportunistische und ideologisch motivierte Gruppen bis zu professionellen kriminellen, staatlichen und internen Akteuren. Damit entsteht ein mehrschichtiges Bedrohungsbild, in dem technische, wirtschaftliche und sicherheitsrelevante Ziele unmittelbar miteinander verbunden sind.