ICS-Computer : Welche Branchen besonders von Cyberbedrohungen des betroffen sind

Dass sich Industrieunternehmen zunehmend Cyberbedrohungen ausgesetzt sehen ist mittlerweile bekannt, ebenso dass die Automatisierungssysteme von den Angreifern als Schwachstelle identifiziert und daher gerne als Einfallstor in die Fabrik genutzt werden. Der aktuelle Report vom IT-Sicherheitsspezialisten Kaspersky zur Cyberbedrohungslandschaft im Industriebereich für die erste Jahreshälfte 2019 untermauert das: 41,2 Prozent aller ICS-Computer (Industrial Control System), die mit Kaspersky-Produkten geschützt werden, waren einer Cyberbedrohung ausgesetzt. Am häufigsten davon betroffen war dabei ein besonders kritischer Infrastrukturbereich: Der Energiesektor musste die meisten Angriffe abwehren. Dahinter folgen die Automobilbranche und die Gebäudeautomationssysteme.

IT-Sicherheitsvorfälle in der Industrie sind gefährlich, da sie zu Produktionsausfällen und finanziellen Verlusten führen können. Darüber hinaus gestaltet sich die Vorfallreaktion – vor allem wenn eine kritische Infrastruktur wie die in der Energiebranche betroffen ist – schwieriger als im Büronetzwerk. Laut Kaspersky-Analyse für das erste Halbjahr 2019 waren 41,6 Prozent der ICS-Computer im Energiesektor, auf denen eine Kaspersky-Lösung installiert war, in irgendeiner Art und Weise von einer auf ICS-Systeme ausgerichteten Cyberattacke betroffen. Neben dem Energiesektor waren zudem auch andere Branchen betroffen: auf 39,3 Prozent der ICS-Computer im Automobilbau und auf 37,8 Prozent in der Gebäudeautomation wurden bösartige Objekte blockiert.

"Dank Statistiken und Analysen industrieller Cyberbedrohungen kann man aktuelle Trends einschätzen und vorhersagen, auf welche Art von Gefahr wir uns vorbereiten sollten", erklärt Kirill Kruglov, Sicherheitsforscher bei Kaspersky. "Unser Report zeigt, dass Sicherheitsexperten derzeit auf bösartige Software achten sollten, die darauf abzielt, Daten zu stehlen, kritische Objekte auszuspionieren, Perimeter zu durchdringen und Daten zu zerstören. All diese Vorfälle könnten der Industrie große Probleme bereiten."

Bei rund einem Siebtel (13,7 Prozent) der Infektionen im besonders gefährdeten Energiesektor handelte es sich um generische Malware-Samples. Eine Infektion mit solcher Malware kann sich negativ auf die Verfügbarkeit und Integrität von ICS- und anderen Systemen auswirken, die Teil des industriellen Netzwerks sind. Am häufigsten schlugen die Kaspersky-Lösungen bei Würmern an (7,1 Prozent), gefolgt von Spyware (3,7 Prozent) und Krypto-Minern (2,9 Prozent).

Eine besondere Bedrohung stellte in der ersten Jahreshälfte "AgentTesla" dar, eine spezialisierte Trojaner-Spyware, die Authentifizierungsdaten, Screenshots und Daten stiehlt, die von der Webkamera und der Tastatur erfasst wurden. In allen analysierten Fällen haben die Angreifer Daten über manipulierte Postfächer an verschiedene Unternehmen gesendet.

Neben Malware blockierten Kaspersky-Produkte auch die Meterpreter-Backdoor, die zur Fernsteuerung von Computern in industriellen Netzwerken von Energiesystemen verwendet wird. Angriffe mittels Backdoors sind zielgerichtet, unsichtbar und werden manuell ausgeführt. Die Fähigkeit der Angreifer, infizierte ICS-Computer heimlich und aus der Ferne zu steuern, stellt eine große Bedrohung für industrielle Systeme dar.

Des Weiteren wurde der Computerwurm "Syswin" blockiert, der in Python geschrieben und in das Windows-Executable-Format gepackt wurde. Der Wurm kann Daten selbst verbreiten und zerstören – und so erhebliche Auswirkungen auf ICS-Computer haben.

Die konkreten Empfehlungen auf technischer Ebene, die Kaspersky aufgrund der aktuellen Bedrohungslage vorrangig ansieht, beginnen bei der regelmäßigen Aktualisierung von Betriebssystemen, Anwendungssoftware und Sicherheitslösungen auf den Systemen, die Teil des industriellen Netzwerks des Unternehmens sind. Weiters sollte der Netzwerkverkehr auf Ports und Protokolle beschränkt werden, die auf Edge-Routern und in den OT-Netzwerken des Unternehmens verwendet werden.

Auf organisatorischer Ebene geht es um die Prüfung der Zugriffskontrollen für ICS-Komponenten im industriellen Netzwerk des Unternehmens und an dessen Grenzen. Aßerdem sollten Mitarbeiter sowie Partner und Lieferanten, die Zugang zum OT/ICS-Netzwerk haben, regelmäßig an Sicherheitsschulungen teilnehmen.

Strategisch sollten für die Zukunft umfassende Lösungen zur Überwachung, Analyse und Erkennung des Netzwerkverkehrs für einen besseren Schutz vor zielgerichteten Angriffen gesucht und eingesetzt werden, die zum jeweiligen Unternehmen und seiner Infrastruktur passen. Dazu gehören beispielsweise auch umfassende, dezidierte Endpoint-Protection, wie sie Kaspersky für ICS-Server, Workstations und HMIs anbietet.