Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Bessere Verteidigung gegen industrielle Schadsoftware

Seit der Entdeckung von Stuxnet im Jahr 2010 gab es bei industrieller Schadsoftware einige evolutionäre technologische Sprünge, aber auch massive Schäden sowohl bei Unternehmen als auch bei staatlichen Einrichtungen. Malware für ICS (Industriesteuerungen) ist nicht mehr länger eine Waffe, die nur Insidern zur Verfügung steht und die lediglich zur Wirtschaftsspionage genutzt wird.

 (Bild: Limes Security GmbH)

(Bild: Limes Security GmbH)

An aktuellen Beispielen wie LogicLocker (Ransomware), Industroyer aber auch Trisis (Triton/Hatman) lässt sich ablesen, dass Angreifer heute auch Wirtschaftssabotage im Sinn haben. Unterstützt wird die These von den zurückliegenden Vorfällen rund um das ukrainische Stromnetz Mitte Dezember 2015. Leider sind diese Angriffe immer erfolgreicher, was nicht nur daran liegt, dass sie immer ausgefeilter und zielgerichteter erfolgen, sondern auch, weil viele Hersteller und Unternehmen es versäumen in die Sicherheit der Systeme zu investieren.

Sabotage-Malware – ein aktueller Überblick

Am Anfang stand eine Software, die dafür entwickelt wurde, die Urananreicherung in Zentrifugen zu sabotieren. Mit Stuxnet wurde für die Welt der Industriesteuerung im Grunde genommen die Büchse der Pandora geöffnet. Wie einschneidend dieses Ereignis für die Branche war, ist daran erkennbar, dass alle nachfolgenden Bedrohungen mit Stuxnet verglichen werden. Die Malware zeigte, dass Automatisierungssysteme ähnlich durch Softwaremanipulationen gefährdet sein können wie IT-Systeme. Eine direkte Konsequenz war, dass nach dem Aufdecken von Stuxnet, Sicherheitsexperten auf der ganzen Welt begannen, gezielt nach Schwachstellen in Industriesoftware zu suchen. Die Schwachstellenmeldungen stiegen daraufhin sprunghaft an. Eine beliebte Quelle, die auf unsichere, direkt am Internet betriebene Industriesysteme hinweist, ist noch heute die Webseite https://www.shodan.io/explore/category/industrial-control-systems . Die erste Ransomware, die nachweislich auch Industriesteuerungen in Geiselhaft nehmen kann, ist LogicLocker. Diese wurde als Proof-of-Concept entwickelt und ist bisher noch nicht im Feld aufgetaucht, deshalb ist es schwer zu sagen, wie gefährlich diese Bedrohung wirklich ist.

Industroyer

Anders verhält es sich mit Industroyer. Die Schadsoftware löschte alle Registry-Keys, die mit bestimmten System-Services in Verbindung stehen, überschreibt bestimmte ICS-Konfigurationsdateien auf den Festplatten und manipuliert Daten auf Netzwerklaufwerken, die mit einer bestimmten Controller-Software in Verbindung stehen. Darüber hinaus werden auch gewöhnliche Windowsdaten überschrieben. Die Schadsoftware war auch in der Lage eine Konfigurationsdatei auszulesen, stoppte alle Master-Prozesse eines Energieautomatisierungssystems auf dem Host des Opfers, tarnte sich als neuer Master und löste autonom vier Arten von Schalthandlungen aus. Sie scheint außerdem für den Stromausfall in der Ukraine verantwortlich zu sein, Angriffe mit dieser Software auf Stromnetze in Deutschland sind ebenfalls prinzipiell denkbar, da die gleiche IEC-Protokollfamilie auch von deutschen EVUs eingesetzt wird. Bislang zielt sie primär auf kritische Energieinfrastrukturen, sie wurde jedoch auch in anderen Infrastrukturen entdeckt. Triton/Trisis/Hatman stehen für ein und dieselbe Malware, die Ende 2017 auf einem SIS (Safety Instrumented System)-Controller gefunden wurde. Sie modifiziert mit einem py2exe kompilierten Python Script den Speicher der Anwendung auf dem Controller. Allerdings kann das Script noch deutlich mehr. Die erste bekannt gewordene Infektion trat auf einem Windows-PC auf, der mit einem SIS-Gerät verbunden war und die daraufhin das Verhalten des Geräts veränderte. Die Spuren, die dabei hinterlassen werden, können von der Malware wieder gelöscht werden, sodass eine forensische Untersuchung nach der Entdeckung sehr schwierig ist. Wirklich bemerkenswert ist jedoch, dass die Schadsoftware nicht nach Schwachstellen im SIS selbst sucht, sondern sich das Design der Netzwerkarchitektur zunutze macht, um den Angreifern die Möglichkeit zu geben, die Befehle direkt an die Controller zu senden. Das vermutliche Ziel dieser Malware war die kritischen Betriebszustände des primären Automatisierungssystems zu erzeugen und dann zu unterbinden, sodass das Safety System (SIS) das Eintreten dieser Betriebszustände verhindert.


Das könnte Sie auch interessieren:

Der Aufbau einer kabelgebundenen Ortungsinfrastruktur auf großen Flächen wie Lagerhallen, Baustellen oder in der Prozessindustrie ist kostspielig und zeitaufwendig.‣ weiterlesen

KI-getriebene Convolutional Neuronal Networks in selbstfahrenden Autos sollen andere Verkehrsteilnehmer erkennen. Dabei gilt: Je selbstständiger das Auto, desto komplexer der Algorithmus und undurchschaubarer dessen Weg zur getroffenen Entscheidung. Ein Validierungs-Tool soll helfen, diesen besser zu verstehen.‣ weiterlesen

Erfolgreiche KI-Projekte kombinieren das Domänenwissen von Prozessbeteiligten mit der Expertise von Datenanalysten und IT-Spezialistinnen. Da nicht jedes Maschinenbauunternehmen über diese drei wichtigen Kompetenzfelder verfügt, sind Kooperationen wichtige Bestandteile von KI-Projekten.‣ weiterlesen

Extreme Networks hat die Verfügbarkeit des Wi-Fi 6E Access Point bekanntgegeben. Als Wireless-Plattform erweitert der Zugangspunkt den Einsatzbereich auf das 6GHz-Frequenzband. Das Gerät wurde für Umgebungen mit hohen Anforderungen an Bandbreite und Nutzerdichte entwickelt und zeichnet sich Anbieterangaben zufolge durch seine Perfomance, Funktionalität und Sicherheit aus.‣ weiterlesen

Die Ersatzteilversorgung in der Automobilindustrie besitzt einen sehr kurzfristigen Charakter. Anwendungen zum Abbilden solcher Prozesse sind S/4Hana Supply Chain Management sowie S/4Hana-Automotive-Ersatzteilmanagement. Die wichtigen Zielgrößen für die Versorgungsqualität sind Lieferservicegrad und Time-to-Delivery.‣ weiterlesen

Im Cloud-Projekt Gaia-X entstehen Infrastruktur-Angebote, mit denen Hersteller digitale und vernetzte Produkte entwickeln können, ohne in Abhängigkeit zu Technologiekonzernen zu geraten. Die Strukturen dafür sind bereits etabliert. Jetzt ist es an den Produzenten, durch ihre Mitwirkung aus dem Projekt eine europäische Erfolgsgeschichte zu machen.‣ weiterlesen

Werma bietet ein neues Ruf- und Meldesystem zur Prozessoptimierung in Fertigung, Logistik und an manuellen Arbeitsplätzen an. Mit dem Andon WirelessSet lassen sich Probleme bei der Produktion per Knopfdruck melden, um die Behebung zu beschleunigen.‣ weiterlesen

Alle Werte einer Lieferkette im Blick zu behalten, ist eine Mammutaufgabe - können diese doch schnell in die Millionen gehen. Behälter mit benötigten Materialien müssen nicht mal verschwinden, schon der falsche Lagerplatz im Werk kann die Produktion ausbremsen. Tracker können dafür sorgen, dass nichts Wichtiges aus dem Blick gerät.‣ weiterlesen

Siemens und Zscaler arbeiten zusammen, um Kunden den sicheren Zugriff vom Arbeitsplatz im Büro oder mobil auf Operational-Technology(OT)-Systeme und -Anwendungen im Produktionsnetzwerk zu ermöglichen.‣ weiterlesen

Der österreichische Ableger von Bechtle hat Open Networks erworben. Die neuen Spezialisten bringen insbesondere Erfahrung in den Bereichen Application Services, Datacenter, Security und Netzwerk mit. Die Firma betreut rund 250 Kunden im Alpenstaat.‣ weiterlesen

Viele Konzepte etwa für Modern Workplaces und Digitalisierung hinterfragen Unternehmenskonzepte, die auf traditionelle Strukturen und Hierarchien setzen. Robert Lindner, Senior Regional Director & Country Manager Germany bei Red Hat, hat vier zentrale Grundsätze herausgearbeitet, wie sich Innovation befördern lässt, insbesondere als ein Unternehmen im Open-Sorce-Softwaremarkt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige