Cybersecurity für Hersteller

NEW BUSINESS Innovations - NR. 07/08, JULI/AUGUST 2023
Cyberkriminelle machen sich den Umstand zunutze, dass Administratoren nicht immer jedes Gerät überwachen können. © Adobe Stock/Real

Je mehr Hersteller sich zur Automatisierung ihrer Anlagen und Prozesse auf ­moderne Technologien verlassen, desto größer wird ihr Cybersecurity-Risiko ...

... Wie diese zunehmend schwierigere Herausforderung gemeistert werden kann, erläutert Candid Wüest, Vice President Cyber Protection Research bei Acronis.

Immer mehr Unternehmen bauen sogenannte Smart Factorys (intelligente Fabriken), weil die entsprechenden Technologien immer mehr verfügbar sind und weil Automatisierungen das Betriebsergebnis steigern, indem sie die Produktionskosten senken und die Produktivität erhöhen. Leider hat der Trend zur Migration in die Cloud auch eine größere Angriffsfläche für böswillige Akteure geschaffen, wodurch eben jene Maschinen, die das Geschäftswachstum voranbringen, zugleich zur Sicherheitsschwachstelle werden können. 

Die US-Sicherheitsbehörde CISA (Cyber Security and Infrastructure Security Agency) legt ihr Hauptaugenmerk auf den Schutz des systemkritischen Produktionssektors, d. h. von Unternehmen, die essenzielle Produkte für die Infrastruktur des Landes herstellen. In einer jüngsten Studie von Moody’s Investor Service wird festgestellt, dass genau solche Unternehmen (wie etwa Strom-, Gas- und Wasserversorger, Kraftwerkshersteller sowie Telekommunikations- oder Chemie-Unternehmen) stark gefährdet sind. 

Und tatsächlich haben Vorfälle, bei denen industrielle Steuerungssysteme gehackt wurden, in den letzten Jahren stetig zugenommen, ohne dass es Anzeichen für eine Abschwächung gäbe. Die Hacker haben gezielt herstellende Unternehmen ausgewählt, weil diese mit hoher Wahrscheinlichkeit bereit sind, Lösegeld zu zahlen. Außerdem sind oft nur unzureichende Sicherheitsmaßnahmen implementiert. Unternehmen aus diesem Sektor haben irrtümlicherweise geglaubt, sie seien für Diebe zu wenig lukrativ, um angegriffen zu werden. Das hat sich geändert – und zwar dramatisch. 

Wie Hacker Zugang zu Unternehmen erhalten
Ein einziger Produktionsbetrieb kann Hunderte von Einzelgeräten im Netzwerk haben. Da kann es leicht vorkommen, dass nicht auf allen ausreichende Sicherheitsmaßnahmen verfügbar sind. Cyberkriminelle machen sich auch gerne den Umstand zunutze, dass Administratoren nicht immer jedes Gerät überwachen können. Dadurch können sie länger unbemerkt bleiben, bevor die angerichteten Schäden auffallen. So können Hacker beispielsweise Geräte kompromittieren oder infizieren, um diese für eine größere Angriffskampagne einzusetzen. Dies kann teilweise tage- oder sogar wochenlang unbemerkt bleiben.

Indem sie die Kontrolle über viele Einzelgeräte übernehmen, können Cyberkriminelle ein sogenanntes Botnetz aufbauen. Darunter versteht man ein Netzwerk aus Computern, die ferngesteuert gezwungen werden können, schädlichen Code auszuführen. Solche Botnetze werden häufig für Distributed Denial-of-Service (DDoS)- und Phishing-Angriffe eingesetzt. In den meisten Fällen sind jedoch die Menschen die größte Schwachstelle. Dies gilt insbesondere für Mitarbeiter, die gefährliche E-Mails öffnen oder private Unternehmensdaten preisgeben (egal ob absichtlich, versehentlich oder als Opfer eines Betrugs). 

• Der US-amerikanische Einzelhandelsriese Target wurde kompromittiert, als böswillige Akteure über eine Phishing-­ E-Mail, die an einen Drittanbieter gesendet wurde, in die Kundendatenbank von Target eindrangen. Der Kühlanlagen-Lieferant Fazio Mechanical Services konnte remote auf das Netzwerk von Target zugreifen, um Abrechnungen durch­zu­füh­ren und Verträge abzuwickeln. Die Kriminellen konnten die Anmeldedaten eines Mitarbeiters erbeuten und sich so die notwendigen Zugriffsrechte verschaffen, um Malware auf dessen Computern installieren zu können.

Anschließend wurden innerhalb weniger Tage 40 Millionen Datensätze zu Kreditkarten und Bankkonten sowie 70 Millionen Kundendaten gestohlen. Diese Datenschutzverletzung hat Target außerdem ein Bußgeld in Höhe von 18,5 Millionen US-Dollar eingebracht. 

• Auch Ransomware-Angriffe sind ein lukratives Geschäft. Und sie sind nach wie vor die größte Bedrohung für mittlere und große Unternehmen. Die Folgen können schon für einzelne Unternehmen schwerwiegend sein. Auf breiterer Ebene können sie aber sogar die Wirtschaft insgesamt schädigen. Der US-amerikanische Ölpipeline-Betreiber Colonial Pipeline hat 4,4 Millionen US-Dollar Lösegeld an Hacker bezahlt, um seinen Pipeline-Betrieb wieder aufnehmen zu können, nachdem aufgrund eines Angriffs Millionen Barrel an Benzin, Diesel und Kerosin nicht mehr durchfließen konnten.

Colonial Pipeline betreibt das größte Rohrleitungssystem für Kraftstoffe in den USA. Ein Unternehmenssprecher räumte in Medieninterviews ein, dass die wirtschaftlichen Auswirkungen der herunter­gefahrenen Anlagen weitaus schlimmer seien als die Löse­geld­zahlung an sich.

Viele Hacker setzen Social-Engineering-Techniken ein, um an nützliche Informationen zu gelangen. Social-Engineering-Angriffe zielen eher auf Menschen statt auf Geräte bzw. Technologien, um nützliche Informationen zu sammeln. Social Engineering ist ein allgemeiner Begriff, der sich auf eine breite Palette von Manipulationstaktiken bezieht. In der Regel geben sich die Angreifer als Bevollmächtigte eines Unternehmens aus, um Personen zur Preisgabe von Kennwörtern oder anderen personenbezogenen Daten zu verleiten.

Sabotageangriffe können bei­spielsweise von einem internen Angreifer (wie einem verärger­ten Mitarbeiter), aber auch von einem Konkurrenten ausgehen. Die so genannte Operative Technologie (OT) hat Hackern einen Weg eröffnet, Maschinen als Eintrittspunkte in ansonsten sichere Netzwerke zu nutzen. Einmal eingedrungen, können sie die Betriebsabläufe stören, indem sie diese herunterfahren oder sogar irreparabel schädigen. 

Wie bei den Sabotageangriffen können auch mit DDoS-Angriffen Maschinen oder ganze Netzwerke lahmgelegt werden, sodass diese für die Unternehmen bzw. deren Kunden nicht mehr verfügbar sind. Ein DDoS-Angriff überflutet das betreffende Ziel mit einem Übermaß an Datenverkehr oder sendet ihm Informationen zu, die einen Absturz auslösen. Mehrere massive DDoS-Angriffe wurden beispielsweise Ende 2016 beobachtet.

Sie gingen, wie später bekannt wurde, auf eine Malware namens Mirai zurück. Und Google hat nach eigenen Angaben im vergangenen Jahr den bisher größten Angriff dieser Art gestoppt, der 46 Millionen Anforderungen pro Sekunde erreicht hat.

Laut Google ist das so, als würde man alle Anforderungen, die täglich an Wikipedia gestellt werden, innerhalb von nur 10 Sekunden erhalten. Derartige Angriffe sind in letzter Zeit immer komplexer und zahlreicher geworden, sodass Unternehmen unbedingt die richtigen Tools haben sollten, um einen potenziell gefährlichen Datenverkehr frühzeitig erkennen und analysieren zu können.

Angesichts der Zunahme von Ransomware-, DDoS- und InsiderAngriffen setzen IT-Teams verstärkt auf Prävention
Unternehmen sollten ihre Sicherheitslage noch bewusster einschätzen und in Cybersecurity-Lösungen investieren, um Betriebsstörungen proaktiv vorzubeugen. Sogenannte Cyberwarfare-Experten empfehlen ihren Unternehmenskunden, die Gefährdungssensibilisierung ihrer Mitarbeiter durch folgende Maßnahmen zu verbessern:
Red-Team-Analysen (Penetrationstests)
Übungen zu Phishing- und anderen E-Mail-Angriffen
Angriffssimulationen
Regelmäßige Tests der Backup- und Sicherheitssysteme

Arbeitgeber, die feststellen, dass sie nicht über die nötigen Ausbildungs- und Sicherheitskenntnisse verfügen, können die entsprechende Unterstützung auch an externe Dienstleister auslagern. Einer aktuellen Studie des Marktforschungsunternehmens Canalys zufolge werden entsprechende Dienstleistungsbereiche (wie Outsourcing, Consulting und Managed Services) weiter wachsen und schon in diesem Jahr rund 65 Prozent des weltweiten Cybersecurity-Marktes ausmachen. MSPs (Managed Service Provider) und MSSPs (Managed Security Service Provider) können diese Lücken schließen und Konzeption, Implementierung sowie langfristigen Support bieten.

Derartige Anbieter bieten häufig flexible Outsourcing-Modelle an, bei denen die Kunden selbst entscheiden können, in welchem Umfang sie Support wünschen – etwa, ob es sich um eine einmalige Hilfe oder ein langfristiges Engagement handeln soll. Auch Acronis bietet eine tiefgehende Bewertung von Cyber-Risiken an und unterhält ein umfassendes Programm für Informationssicherheit und Compliance, um Hersteller, die MSP-Unterstützung benötigen, beim Schutz ihrer Daten, der Einhaltung von Vorschriften und der Steigerung ihrer Produktivität zu unterstützen. Acronis bietet in dem Rahmen MSPs und Unternehmen diverse Cyber Protection Services an – wie etwa Schutz vor Ransomware-Angriffen, Disaster-Recovery-Lösungen oder Technologien zur kontinuierlichen Datensicherung (CDP). (CW)


DER AUTOR
Candid Wüest
VP Acronis Cyber Protection Research

www.acronis.com