Anzeige
Anzeige
Beitrag drucken

Zwischen Prävention und Strafverfolgung

Und wenn es brennt?

Verschlüsselte Daten, nicht erreichbare Systeme, stillgelegte Produktion: Welche Auswirkungen Advanced Ransomware-Angriffe haben können, erfuhr der Automatisierungsspezialist Pilz im Jahr 2019 am eigenen Leib. Der Security-Spezialist @Yet war bei der Eindämmung des Angriffs mit an Bord. Geschäftsführer Wolfgang Straßer berichtet.

 (Bild: ©Gorodenkoff/adobestock.com)

(Bild: ©Gorodenkoff/adobestock.com)

Die Auswirkungen von Cyberangriffen können gravierend sein und die Methoden der Angreifer werden ausgereifter. Die Attacken beschränken sich nicht auf große DAX-Unternehmen – auch mittelständische Unternehmen, Verbände und Organisationen werden ins Visier genommen.

Advanced Presistent Threat

Die zunehmende Professionalität führt auch dazu, dass die Angreifer zielgerichteter vorgehen. So setzen die Angreifer oftmals Advanced Persistent Threat (APT) als grundlegenden Angriffsvektor ein. Dieser umfasst einen qualitativ sehr hohen Programmieraufwand seitens der Cyberkriminellen (Advanced) und erfordert, über einen möglichst langen Zeitraum (Persistent), unentdeckt zu bleiben, um dann anzugreifen (Threat) und sensible Informationen zu ergattern. Bereits vor zehn Jahren trat mit Stuxnet eine Schadsoftware in Erscheinung, die lange unentdeckt im System verbleiben konnte, und mit ihrer Durchschlagskraft Sicherheitsexperten beunruhigte. Zwar hat diese spezielle Malware heute keine Bedeutung mehr. Experten ist jedoch bewusst, dass solchen Angriffsmethoden großen Schaden verursachen können.

Advanced Ransomware

Eine weitere immer relevantere Angriffsmethode ist Advanced Ransomware. In Sachen Effektivität ist diese mit der APT-Methode vergleichbar, unterscheidet sich jedoch in der Intention der Cyberkriminellen. Es geht um Lösegeld-Erpressung durch Verschlüsselung. Das Vorgehen ist ebenso professionell und erfordert oftmals eine längere Vorbereitungsphase. Dafür suchen die Angreifer nach ungepatchten Systemen, um deren Schwachstellen für sich zu nutzen und möglichst viele Daten zu verschlüsseln. Der Druck auf das erpresste Unternehmen wird durch gleichzeitige Manipulation von Backups zusätzlich verstärkt.

Einstieg über E-Mail-Anhänge

Angriffe werden auf verschiedene Arten initiiert, beispielsweise über infiltrierte E-Mail-Anhänge. Diese Methode wird noch effektiver, wenn zuvor die Vorlieben eines potenziellen Opfers – beispielsweise eines Administrators – analysiert wurden, etwa über Social Media-Profile. E-Mails können so persönlicher gestaltet werden. Wird der Anhang geöffnet, gelangt Malware über eine vorhandene Schwachstelle auf das Endgerät des Administrators. In der Folge wird versucht, weitere Teile der IT-Infrastruktur sowie die Firewall-Systeme zu infiltrieren. Die Angreifer können sich dabei frei bewegen und gleichzeitig Spuren verwischen, da sie die Rechte des Administrators nutzen. Mit verschiedenen Angriffsmethoden werden diese ausgweitet, die Angreifer erhalten Kontrolle über IT-Systeme und gelangen an sensible Informationen. Diese Vorbereitungsphase kann einige Wochen in Anspruch nehmen. Der Angriff erfolgt dort, wo der größtmögliche Schaden entsteht. Der Gedanke dahinter: Die Unternehmen sollen Lösegeld zahlen, um die verschlüsselten IT-Systeme wieder nutzen zu können.

Ransomware-Angriff bei Pilz

Advanced Ransomware kam auch beim Cyberangriff auf den Automatisierungsspezialisten Pilz zum Einsatz. Innerhalb einer Stunde, nachdem eine Ransomware-Attacke mit Monitoring-Werkzeugen detektiert wurde, zeigten sich bereits die Auswirkungen: Auf einen Schlag war alles weg. Als Reaktion darauf veranlasste Geschäftsführer Thomas Pilz sofort, „alle Systeme vom Netz zu nehmen“. Im Anschluss wurde analysiert, welche der 40 Landesgesellschaften von Pilz eventuell nicht vom Angriff betroffen waren. Auf diese Weise sollte eine gewisse Arbeitsfähigkeit wiederhergestellt werden. Während der Untersuchung stellte sich jedoch heraus, dass nacheinander jeder Standort ausfiel. IT-Systeme, inklusive E-Mail und Telefon, waren nicht mehr verfügbar. Doch die Auswirkungen zeigten sich auch in der Produktion: Bis zur vollständig wiederhergestellten Arbeitsfähigkeit vergingen insgesamt fünf Monate. Viele der Maschinen wurden zur Zeit des Angriffs über alte Rechner gesteuert – diese Systeme mussten neu programmiert werden. Im Gegensatz zu den Steuerungseinheiten in der Produktion waren die SAP-Systeme nicht vom Angriff betroffen. Trotzdem konnten sie nicht genutzt werden, da im Offlinebetrieb Gehälter nicht ausgezahlt und Vorgänge nicht fakturiert werden können. Um die Geschäftstätigkeit aufrechtzuerhalten musste das Unternehmen für einige Wochen zum Papier zurückkehren. Später gelang es, mittels Mobiletelefonen und einer provisorischen Webseite etwas mehr Kommunikationsfähigkeit herzustellen.

Zurück zur Betriebsfähigkeit

Doch was sind die richtigen Schritte im Falle eines Angriffs? An wen können sich Unternehmen im Krisenfall wenden? Der erste Gedanke des Pilz-Geschäftsführers: Das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde hat gegenüber Unternehmen jedoch nur eine beratende Funktion bezüglich der Prävention von Angriffen. Unternehmen können sich also im Vorfeld an das Bundesamt wenden und Strategien sowie Umsetzungskonzepte zur Etablierung eines höheren Schutzniveaus abfragen. Die Polizei hingegen kann Unterstützung anbieten. Aber als Strafverfolgungsbehörde liegt ihr Fokus darauf, die Angreifer zu identifizieren und zur Rechenschaft zu ziehen. Beim Aufbau der Betriebsfähigkeit unterstützt sie nicht. Hier kommen IT-Sicherheitsunternehmen ins Spiel. Diese sollten die Schritte kennen, um den Schaden im Notfall möglichst gering zu halten.

Notfallplan vorbereiten

Der Vorfall bei Pilz zeigt, dass eine Incident-Readiness-Strategie essenziell ist. Dazu gehören unter anderem die Verschlüsselung von relevanten Daten, um den Angreifern etwas entgegenzusetzen und regelmäßige Backups. Zudem gilt es, eine Vorgehensweise festzulegen. Diese sollte beschreiben, was im Falle eines Angriffs zu tun ist und wer für was verantwortlich ist, wer Entscheidungen treffen darf und wer und auf welche Art zu informieren ist. Das daraus resultierende Notfallhandbuch sollte auf Papier vorliegen oder auf einem von allen Netzen getrennten Speichergerät aufbewahrt werden. Auch Tests des Notfallplans und dessen individuelle Ausgestaltung sind wichtig. Letztere erfolgt je nach Schutzbedarf und Zielen des Unternehmens. Darüber hinaus sollten Unternehmen Mitarbeiter schulen. Ebenso empfehlen sich IT-Sicherheitsmechanismen wie Firewalls, Verschlüsselungen, Authentifikation und Anti-Malware-Lösungen.


Das könnte Sie auch interessieren:

Zerspaner müssen sich intensiv mit hoher Variantenvielfalt, kleinen Losgrößen und langen Rüstzeiten befassen, um wettbewerbsfähig zu fertigen. MES-Software mit Advanced Planning and Scheduling-Funktionalität hilft, die Herausforderungen der Branche anzugehen.‣ weiterlesen

Weltweit steckt der Einsatz von künstlicher Intelligenz (KI) noch in den Kinderschuhen. Die Mehrheit der Unternehmen, die KI einsetzen, experimentieren laut einer Accenture-Untersuchung in diesem Bereich noch. 12 Prozent nutzen die Technologie mit einem KI-Reifegrad, der einen starken Wettbewerbsvorteil bringt, so das Ergebnis der Studie.‣ weiterlesen

Thomas Herrguth verantwortet seit 1. Juli das Deutschlandgeschäft bei VMware. Sein Vorgänger Armin Müller konzentriert sich nun auf seine Rolle als Vice President CEMEA bei VMware.‣ weiterlesen

Bei Predictive-Quality-Anwendungen kann es sich auszahlen, nicht auf die Cloud, sondern auf Edge Computing zu setzen – vor allem dann, wenn es schnell gehen muss, erläutert Data-Science-Spezialist LeanBI.‣ weiterlesen

Der ERP-Auswahlberater Trovarit begleitete Buhmann Systeme bei seiner Software-Neuausrichtung von der Prozessanalyse bis zur Systemauswahl. Ein zentrales Element war der Anforderungskatalog mit 850 Punkten. Im Marktvergleich bot die Software AMS.ERP die höchste Abdeckung - und ihr Hersteller erhielt den Zuschlag.‣ weiterlesen

Gemeinsam wollen Siemens und Nvidia das industrielle Metaverse erschließen. Die Unternehmen wollen dafür ihre Partnerschaft ausbauen und durch die Verknüpfung von Nvidia Omniverse und Siemens Xcelerator realitätsgetreue digitale Zwillinge ermöglichen.‣ weiterlesen

Amazon Web Services hat auf dem AWS Summit in San Francisco drei Services angekündigt, die sich vor allem an produzierende Betriebe richten. Mit AWS IoT TwinMaker können Entwickler digitale Zwillinge etwa von Gebäuden, Fabriken, Industrieanlagen und Produktionslinien erstellen.‣ weiterlesen

Wachstum hatte die Personalarbeit bei Schuler Präzisionstechnik vor Herausforderungen gestellt. Die manuelle Bearbeitung von Vorgängen kostete Zeit und war umständlich. Daher wurde ein digitales Personalmanagement-System auf Basis einer Software für Enterprise Content Management (ECM) aus der Taufe gehoben.‣ weiterlesen

Die Berliner Fraunhofer Institute haben im Auftrag von German Edge Cloud und dem Innovationscluster 5G Berlin eine 5G-Infrastruktur in Betrieb genommen. Diese steht Kunden und Partnern aus Industrie und Forschung für Projekte zur Verfügung.‣ weiterlesen

PTC hat das neunte Major Release der CAD-Software Creo vorgestellt. Das Unternehmen mit Hauptsitz in Boston hat in die Weiterentwicklung der Modellierungsumgebung investiert, um die Benutzerfreundlichkeit und Produktivität zu erhöhen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige