Welche Unternehmen werden zum Opfer – und warum?

Es gibt vor allem zwei typische Situationen, bei denen ein Unternehmen auf dem Radar eines Angreifers auftauchen kann. Diese sind:

• Das ‚einfache Ziel‘: Hier zählt, ob die Schutzeinrichtung einer Unternehmens-IT ausreichend ist, um einem ersten Angriff standzuhalten. Für Kriminelle, ‚Hacktivists‘ und ’script kiddies‘ sind einfache Ziele lukrativer, da diese Angreifer in der Regel weniger Aufwand für eine Attacke betreiben. Für Staaten und Wettbewerber sind solche Ziele als Beifang auch interessant, wobei diese Angreifer meist zielgerichteter arbeiten und somit intensiver angreifen dürften.
• Das ‚kollaterale Ziel‘: Unternehmen können sich als Beifang im Netz von Cyber-Angreifern verfangen. Die Chance besteht insbesondere, wenn Unternehmen engen Kontakt mit Kunden halten, deren Staaten oder Branchen häufige Ziele von Angreifern sind.

Auch die Angreifer lassen sich kategorisieren. Zum Beispiel nach den Motivationen, denen die Angriffe zugrunde liegen:

• • Staaten oder Wettbewerber: Ihr Interesse ist es, die eigene Ökonomie zu sichern. Staaten haben zusätzlich noch politische oder gar militärische Interessen. Der Aufwand spielt meist eine untergeordnete Rolle, da das Ziel der wirtschaftlichen Schädigung in der Regel entsprechend hoch ist. Ein Beispiel: Eine unter dem Namen Dragonfly oder Energetic Bear bekannte Gruppe griff unter anderem mit dem 2014 bekannt gewordenen Schadprogramm Havex mehrere deutsche Unternehmen an.

Anzeige

KI in Fertigungsbranche vorn

Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen

• • Kriminelle: Hier geht es um Geld nach der Schutzgeld-Erpressungsmethode. Der Aufwand ist im direkten Bezug zum Erlös häufig sehr gering. Eine einmal entwickelte Art und Vorgehensweise wird vielfach für unterschiedliche Unternehmen und verschiedene Branchen angewendet. Sodann werden Unternehmensführungen adressiert, eine bestimmte Summe zu transferieren, sonst würden die Angreifer die Produktion lahmlegen. Gelegentlich beweisen die Täter zuvor, dass sie bereits Zugang zu den Produktionsanlagen haben.

• • Hacktivisten: Das Ziel der Cyber-Angriffe von Hacktivisten ist zumeist, Aufmerksamkeit für eine bestimmte Sache zu erzeugen. 2013 hat zum Beispiel eine Gruppe, die sich ‚Syrian Electronic Army‘ nannte, Webseiten und Twitter-Accounts kompromittiert und verändert. Ziele waren hier westliche Organisation, die sich kritisch über die Syrische Staatsführung geäußert haben. Gerne werden zur Verbreitung der Botschaft auch Unternehmen genutzt und somit indirekt geschädigt.

• Script Kiddies: Täter mit diesem Profil haben keine direkte Motivation zum Angriff des ausgewählten Ziels. Sie probieren aus, was andere hergestellt haben, um sich mit ihren Erfolgen in der Hacker-Szene oder bei Freunden zu brüsten. Viele Tools sind frei im Internet verfügbar. Suchmaschinen bieten mögliche Ziele an und dann wird ausprobiert. Oft gibt es kein spezielles Ziel und somit gerichtete Motivationen, sondern dort, wo eine Möglichkeit zum Angriff gefunden wird, wird ein Schaden angerichtet.

Stuxnet hätte gefunden werden können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt: „Zwar gibt es keinen absoluten Schutz, jedoch können Cyber-Angriffe durch geeignete Maßnahmen deutlich erschwert und in ihren Auswirkungen abgeschwächt werden. Neben den präventiven Maßnahmen kommt es dabei auch auf das möglichst frühe Erkennen und auf das professionelle Reagieren im Falle eines Cyber-Angriffs an.“ Für die Automatisierung in der Fertigung, die IT-Infrastruktur in der Produktion und die angebundenen Netzwerke ist es nicht ausreichend, die Funktion der einzelnen Netzwerk-, Steuerungs- und Automatisierungskomponenten zu überwachen. Stuxnet hinterlassen, wie auch andere APTs, Spuren im Netzwerk. Hinweise liefern zusätzliche Verbindungen zwischen zwei oder mehreren Systemen, wo keine Verbindungen sein sollte. Auch Datenkommunikation mit verändertem Volumen, zusätzliche genutzte Protokolle zwischen Systemen, neue ausgehende Verbindungen und andere Indizien für einen Cyber-Angriff lassen sich identifizieren.

Anzeige

Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise

Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen

Indem Industrieunternehmen kontinuierlich und über alle Netzwerke und Systeme hinweg die Produktionsanlage automatisiert überwachen, lässt sich Stuxnet ausfindig machen. Diese Daten müssen dann als Informationen im Kontext eines Cyber-Angriffes übersichtlich aufbereitet werden, um als Unternehmen handlungsfähig zu sein. Oft fehlt es an dieser Vorgehensweise. Dann wird unter Umständen erst sehr spät in Betracht gezogen, dass eine intelligente Manipulation der Produktionssteuerung der Grund für verzeichnete Ausfälle war. Eine Herausforderung stellt es häufig bereits dar, dass es keine aktuelle Übersicht über alle IT-Systeme gibt. Das lässt sich mit einer IT-Sicherheitsanwendung ändern, die entsprechende Funktionen bereitstellt. Sie sollte in der Lage sein, kontinuierlich und selbständig alle System des Netzwerkes zu identifizieren. Die übergreifende Kontrolle mit einem Logging des Netzwerkverkehrs ist die Grundlage, um Angriffsmuster dieser Ausprägung zu erkennen.

Das passende Konzept entwickeln

Wie läuft die Erkennung von Stuxnet? Eine IT-Sicherheitslösung erfasst zu Beginn automatisch und kontinuierlichen alle ‚Systeme‘ wie Produktionsanlagen, die per Ethernet verbunden sind. Folgend werden das Kommunikationsverhalten der Systeme aufgenommen und überwacht. Es wird nicht in hochkritische, kritische oder normale Systeme unterschieden, da jedes System initial infiziert und somit das Einstiegstor für einen Angriff sein kann. Wichtig ist bei alldem, neue und veränderte Systeme umgehend zu validieren. Wie im A-B B-C B-D B-E-Beispiel dargestellt ist die Vorgehensweise eines APT-Angriffes einerseits davon geprägt, weitere Informationen zu sammeln und andererseits sich weiter zu verbreiten. Dies führt immer zu zusätzlichen und erweiterten Verbindungen, die sich durch eine Sicherheitslösung erkennen lassen. Erkennt die Lösung etwas Auffälliges, löst sie Alarm aus. Eine Herausforderung vieler Angriffe liegt jedoch darin, das die auffällige Kommunikation oft erst mittelbar erfolgt. Nach einer Infektion können Tage vergehen, bis die nächsten Schritte des Angriffes erfolgen. Für Überwachungslösungen stellt dies jedoch in der Regel kein Problem dar. Ist der Schädling erst einmal erkannt, lassen sich Gegenmaßnahmen einleiten und der Eintritt eines weiteren Schadens in vielen Fällen verhindern.