Bedrohungsbilder in industriellen Umgebungen
Industrielle Bedrohungsszenarien umfassen bösartige Software, netzbezogene Angriffe, Angriffe auf Menschen als Teil der Sicherheitskette sowie technische und organisatorische Schwachstellen entlang des gesamten Betriebs- und Lieferprozesses. Die Bandbreite reicht vom Einschleusen von Schadsoftware über mobile Datenträger bis zu Angriffen auf Fernwartungszugänge, Cloud-Komponenten und mit dem Internet verbundene Steuerungssysteme.
Begriffe und Grundformen
Malware ist der Oberbegriff für bösartige Software wie Viren, Ransomware, Spyware, Trojaner und Würmer. Malware ist das Werkzeug, das ein Angreifer verwendet, um ein bestimmtes Ziel zu verfolgen. Eine Malware kann mehrere Merkmale unterschiedlicher Typen aufweisen.
Ein Computerwurm verbreitet sich unabhängig auf mehreren Geräten und lädt häufig andere Malware, oft Spyware, ungefragt auf den infizierten PC. Die Verbreitung erfolgt eigenständig.
Ein Virus ist eine bösartige Software, die zum Beispiel Dateien und Programme auf einem Computer zerstört. Im Unterschied zu einem Wurm braucht ein Virus immer die Hilfe des Computerbenutzers, um sich zu verbreiten. Die Verbreitung ist also von Interaktion abhängig.
Ein Trojaner wird verwendet, um ungefragt weitere Malware, häufig Ransomware, auf den infizierten PC herunterzuladen und zu installieren. Er hängt sich häufig an vertrauenswürdig wirkende Dateien an.
Ransomware dient der Verschlüsselung von Dateien, zum Beispiel von Dateien mit Unternehmensdaten. Das Ziel ist die Erpressung einer Geldzahlung.
Spyware sind Spionageprogramme zum Ausspähen von Dateien, zum Beispiel Dateien mit Benutzeraktivitäten, Kundendaten oder Rezepturen.
Ein Man-in-the-Middle-Angriff bedeutet, dass ein Cyberkrimineller Daten oder Informationen abfängt, während sie von einem Ort zum anderen gesendet werden. Solche Angriffe können über ungeschützte Wi-Fi-Verbindungen erfolgen, etwa in Cafés, Hotels oder Restaurants.
Ein Drive-by-Download-Angriff bedeutet, dass beim Zugriff auf eine Website unbemerkt bösartiger Code auf einen Computer heruntergeladen wird. Als Ziel wird der Zugang zu Kundencomputern genannt, etwa um deren Rechenleistung für das Mining von Kryptowährungen zu nutzen.
Social Engineering greift den Faktor Mensch als Glied der Sicherheitskette an. Menschen werden durch gefälschte Identitäten oder vorgetäuschte Absichten manipuliert.
Phishing bedeutet, dass mit gefälschten oder manipulierten Daten versucht wird, Passwörter oder Zugang zu einem Computer zu erhalten. Ziel kann sein, unbemerkt an sensible Unternehmensdaten zu gelangen, etwa über den Zugriff auf Passwörter oder durch CEO-Betrug, bei dem vorgegeben wird, eine Führungsperson des Unternehmens zu sein.
Ein Bruteforce-Angriff besteht darin, fremde Passwörter und Benutzernamen durch systematisches Raten zu ermitteln. Dieser Vorgang kann automatisiert werden.
Passive und aktive Angriffsmethoden
Ein passiver Angriff liegt vor, wenn übermittelte Daten lediglich abgehört werden. Dabei werden keine Daten geändert, und zunächst entstehen keine sichtbaren Schäden. Erfasst werden können dabei Kommunikationsdaten wie IP- und MAC-Adressen sowie Informationen über Namen, Funktionen oder Positionen im Unternehmen.
Ein aktiver Angriff baut auf den Informationen auf, die bei einem passiven Angriff gesammelt wurden. Dabei wird die Identität eines Kommunikationspartners übernommen, ein Rechner infiziert oder die Netzwerkkommunikation selbst kompromittiert. Als Beispiel wird ARP-Spoofing genannt. Dabei werden zunächst Kommunikationsdaten erfasst, anschließend wird aus dem passiven Angriff ein aktiver Angriff, etwa durch die Übernahme einer Identität oder durch die Infektion eines Rechners mit Malware, und schließlich wird die Netzwerkkommunikation kompromittiert.
Die zehn größten Bedrohungen
1. Einschleusen von Schadsoftware über Wechseldatenträger und mobile Systeme
Wechseldatenträger wie USB-Sticks sowie interne Wartungsnotebooks oder Geräte externer Dienstleister können Schadsoftware in ein industrielles Umfeld einbringen. Projektdateien oder ausführbare Anwendungen können bösartigen Code enthalten. Dadurch entsteht ein direkter Übertragungsweg in Systeme, die ansonsten möglicherweise nicht unmittelbar aus dem Internet erreichbar sind.
2. Infektion mit Schadsoftware über Internet und Intranet
Schadsoftware kann über bekannte Schwachstellen oder sogenannte Zero-Day-Exploits in Systeme eindringen. Komponenten können außerdem durch automatisch verbreitete Malware wie Würmer infiziert werden. Auch private Hardware, etwa WLAN-Router oder PCs in einem Unternehmensnetzwerk, kann zum Einfallstor für Angreifer werden.
Zu diesem Bedrohungsbild gehört auch die Manipulation externer Webseiten im Sinn eines Drive-by-Download-Angriffs. Der Ablauf wird in mehreren Schritten beschrieben: Zunächst besteht eine Gefährdung durch Schwachstellen der Websites. Danach wird eine Website manipuliert. Es folgt das Herunterladen der Schadsoftware. Anschließend werden Informationen wie Berechtigungen und Zugangsdaten beschafft. Weitere Schadsoftware wird auf den PC eines Mitarbeiters übertragen. Danach wird ein Zugang zu Unternehmensservern eingerichtet. Abschließend kommt es zum Diebstahl oder zur Verschlüsselung von Daten.
3. Menschliches Fehlverhalten und Sabotage
Zu den Bedrohungen durch menschliches Fehlverhalten und Sabotage zählen Fehlkonfigurationen von sicherheitsrelevanten Komponenten, unkoordiniertes Patch-Management, vorsätzliche Handlungen, die Kompromittierung von Systemen durch nicht zugelassene Software und Hardware sowie die Erstellung nicht freigegebener Konfigurationen. Hier wirken technische und organisatorische Schwächen unmittelbar zusammen.
4. Kompromittierung von Extranet- und Cloud-Komponenten
Extranet- und Cloud-Komponenten können durch Störungen oder Unterbrechungen der Kommunikation beeinträchtigt werden, zum Beispiel durch Denial-of-Service-Angriffe. Hinzu kommen die Ausnutzung von Implementierungsfehlern und unzureichenden Securitymechanismen sowie technische Fehler bei Cloud- oder VPN-Anbietern. Als Beispiele werden eine unzureichende Trennung von Accounts durch den Cloud-Anbieter und Schwachstellen in der Software genannt.
5. Social Engineering und Phishing
Social Engineering ist zwischenmenschliche Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen, etwa die Herausgabe von Geldern oder die Offenlegung vertraulicher Informationen. Auch der Kauf eines Produkts kann auf diesem Weg ausgelöst werden.
Phishing-Angriffe arbeiten mit Nachrichten, die scheinbar harmlose Links oder Anhänge enthalten. Spear-Phishing-Angriffe richten sich gezielt gegen bestimmte Gruppen oder einzelne Personen. Die Angriffsmethoden sind dabei genau auf die jeweiligen Ziele abgestimmt.
6. (D)DoS-Angriffe
Zu diesem Bedrohungsbild gehören Distributed-Denial-of-Service-Angriffe auf die Internetverbindung, DoS-Angriffe auf die Schnittstellen einzelner Komponenten, Angriffe auf drahtlose Verbindungen wie WLAN oder Mobilfunknetze sowie DoS-Angriffe mit Ransomware, etwa Trickbot. Die Wirkung liegt in der Überlastung oder Blockierung von Kommunikationswegen und Schnittstellen.
7. Mit dem Internet verbundene Steuerungskomponenten
Mit dem Internet verbundene Steuerungskomponenten können über allgemeine Suchmaschinen wie Shodan aufgefunden werden. Dadurch entsteht die Möglichkeit des direkten Zugangs zu ungeschützten Komponenten. Zusätzlich können Schwachstellen in verfügbaren Diensten ausgenutzt werden. Dieses Szenario betrifft insbesondere Systeme, deren Erreichbarkeit nach außen die eigentliche Schutzgrenze bereits überschritten hat.
8. Einbruch über Fernwartungszugang
Fernwartungszugänge können direkt angegriffen werden. Möglich ist auch ein indirekter Angriff über die IT-Systeme des Dienstanbieters, die für die Fernwartung eingerichtet wurden. Der Fernwartungszugang bildet damit einen Übergang zwischen externen und internen Systemen und ist entsprechend kritisch.
9. Technisches Fehlverhalten und höhere Gewalt
Technisches Fehlverhalten umfasst Defekte von Bauteilen, etwa durch unsachgemäße Handhabung oder Umwelteinflüsse. Dazu gehören sowohl Hardwaredefekte als auch Fehler in Softwarekomponenten. Zusätzlich können Abstürze durch Softwarefehler auftreten, zum Beispiel infolge nicht freigegebener Softwareanwendungen. Dieses Bedrohungsbild verbindet klassische technische Ausfälle mit Sicherheitswirkungen.
10. Soft- und Hardware-Schwachstellen in der Lieferkette
Die Lieferkette kann Schwachstellen oder Manipulationen in Bibliotheken und verwendetem Quellcode enthalten. Updates zur Beseitigung von Schwachstellen werden möglicherweise nicht durchgeführt, oder es wird nicht ausreichend reagiert. Lieferketten weisen unterschiedliche Schwachstellen auf. Je früher im Prozess diese ausgenutzt werden, desto mehr Produkte können betroffen sein.
Zusammenfassung
Mögliche Bedrohungsszenarien in industriellen Umgebungen entstehen durch Schadsoftware, manipulative Angriffe auf Kommunikation und Benutzer, Überlastung von Netzen, unsichere Fernzugänge, mit dem Internet verbundene Steuerungskomponenten, technische Fehler und Schwachstellen in der Lieferkette. Die Szenarien betreffen damit sowohl klassische IT-Angriffe als auch spezifische Risiken aus Betrieb, Wartung, Vernetzung und Produktentstehung.