Fachartikel

Vernetzte Produktion richtig absichern

In der Regel sind Maschinen in Produktionsumgebungen auf lange Lebenszyklen ausgelegt, sodass sich dort viele alte, ungepatchte Systeme finden. Die Folge: Ransomware-Attacken auf die Produktion nehmen zu und Cyberkriminelle freuen sich über zahlungswillige Opfer. Um sich zu schützen, brauchen Unternehmen passgenaue Securitymaßnahmen, die auf das jeweilige Einsatzgebiet abgestimmt sind. Welche Rolle dabei die Begriffe MES und SCADA spielen, lesen Sie im Fachartikel.
Auch Produktionsumgebungen gilt es gegen immer häufigere Cyberangriffe abzusichern.
Mehr als 60 Prozent der produzierenden Unternehmen waren schon einmal von einem Cyberangriff betroffen, so eine Studie des unabhängigen Marktforschungsinstituts Vanson Bourne im Auftrag von Trend Micro. Drei Viertel der Vorfälle führten zu Systemausfällen. Bei 43 Prozent der Unternehmen dauerten die Ausfälle sogar länger als vier Tage. So auch beim Automatisierungsspezialisten Pilz: Wegen einer Ransomware-Attacke stand seine Produktion zwei Wochen lang still. Ähnlich erging es dem norwegischen Aluminium-Hersteller Norsk Hydro, der durch den Vorfall nach eigenen Angaben einen Verlust von rund 30 Millionen Euro erlitt.

Viele Opfer entscheiden sich angesichts solch drohender Schadenssummen lieber dafür, Lösegeld zu zahlen, als längere Produktionsausfälle in Kauf zu nehmen. Beste Aussichten also für Erpresser, die das Geschäftsmodell Ransomware für sich entdeckt haben. Tatsächlich sind Cyberattacken auf produzierende Unternehmen nur selten Sabotageakte oder politisch motiviert. Meist geht es den Angreifern darum, mit möglichst wenig Aufwand möglichst viel Geld zu verdienen. Aus den Erfahrungen der vergangenen Jahre haben sie gelernt: In der Industrie gelingt das besonders gut.

Schwachstellen in der Produktion
Es gibt verschiedene Gründe, warum Produktionsanlagen einfache Ziele sind. In der Regel sind die Maschinen auf lange Lebenszyklen ausgelegt, sodass sich dort viele alte, ungepatchte Systeme finden. Für etliche gibt es schlichtweg keine Sicherheitsupdates mehr oder es fehlen entsprechende Freigaben der Hersteller. Häufig möchten IT-Verantwortliche laufende Systeme auch nicht anfassen, weil das den Betrieb gefährden könnte. So finden Cyberkriminelle zahlreiche offene Schwachstellen, die sie leicht mit altbekannten Exploits ausnutzen können.

Dazu kommt, dass Produktionsanlagen häufig nur unzureichend vor Cyberangriffen geschützt sind. Solange sie in einer weitgehend abgeschotteten Umgebung betrieben wurden, war das noch akzeptabel. Doch durch die Konvergenz von IT und OT (Operational Technology) sind Industriesteuerungen heute genauso angreifbar wie die Office-IT. Viele Maschinen verfügen über einen Internetzugang für die Fernwartung oder für die verbrauchsbasierte Abrechnung. Oft fehlt ein zentraler Überblick, welche Systeme eigentlich wohin kommunizieren. Meist gibt es zudem keine integrierte Security, und es lässt sich auch keine entsprechende Software installieren. Wenn Netzwerke dann noch nicht einmal segmentiert sind, kann sich ein Eindringling ungestört ausbreiten.
Spezialisierte OT-Malware
Wenig Hindernisse also – und lukrative Beute. Während die ersten Cybervorfälle in der OT eher zufälliger Beifang von breit gestreuten, unspezifischen Ransomware-Attacken auf die Office-IT waren, gibt es mittlerweile Malware, die direkt auf produzierende Unternehmen abzielt – etwa LockerGoga, Snake/Ekans oder DoppelPaymer. Mit einer IoT-Suchmaschine wie Shodan ist es zudem leicht, vernetzte Geräte aufzuspüren und sogar Details zum Betriebssystem zu ermitteln. Im Untergrund hat sich ein eigener cyberkrimineller Geschäftszweig entwickelt, in dem Spezialisten agieren, die genau wissen, wie sie Industriesteuerungen am besten angreifen und welche Daten am wertvollsten sind. Dazu kommt, dass Ransomware-Banden auch im Darknet miteinander handeln: Hacker, die einen Zufallstreffer landen, verkaufen ihren Fang gerne weiter an Kollegen, die sich mit OT auskennen.

Schutzmaßnahmen auf Netzwerkebene
Gerade im Produktionsumfeld ist es daher wichtig, Gefahren möglichst gut auf Netzwerkebene abzufangen. Denn auf den speicherprogrammierbaren Steuerungen (SPS) und Human Machine Interfaces (HMI) lässt sich in der Regel kein Endpunktschutz installieren. Eine wichtige Maßnahme besteht darin, das Netzwerk in verschiedene Segmente aufzuteilen und zum Beispiel besonders geschäftskritische Assets durch zusätzliche Kontrollen schützen.

Dafür kommen spezialisierte, industrietaugliche Firewalls und IPS-Werkzeuge zum Einsatz, die die Netzwerkkommunikation überwachen, gefährlichen Traffic erkennen und filtern. Sie arbeiten, ohne die latenzkritische Datenübertragung zu beeinträchtigen, und lassen sich integrieren, ohne in die Netzwerkkonfiguration einzugreifen oder Systeme zu verändern. Gelingt es einem Angreifer in ein segmentiertes Netzwerk einzudringen, ist er in seiner Bewegungsfreiheit eingeschränkt. Schnell steht er vor dem nächsten Schutzwall und kann nur wenig Schaden anrichten.

Eine wertvolle Securitytechnologie ist zudem Virtual Patching. Sie kommt in innovativen IPS- und Firewalls zum Einsatz und verhindert, dass eine Schwachstelle von außen ausgenutzt werden kann. Ein virtueller Patch wirkt wie ein Pflaster, das eine Wunde auf Netzwerkebene verschließt. Es schützt nicht nur vor einzelnen Exploits, sondern deckt eine Schwachstelle vollständig ab, sodass sie auch vor künftigen Exploits sicher ist. Virtual Patching kann sowohl nicht patchbare als auch patchbare Systeme besser absichern: Dadurch, dass Schwachstellen sehr schnell automatisiert geschlossen werden, gewinnen Administratoren Zeit, um – falls möglich – Herstellerpatches einzuspielen.

Seite 1: Spezialisierte OT-Malware


Seite 1 von 2 Nächste Seite >>
28.09.2022/ln/Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Nachrichten

Angreifer nutzen spezielles Dateisystem für Linux-Attacken [6.12.2022]

Auch Linux ist nicht vor Malware sicher. Doch legen die unterschiedlichen Distributionen Angreifern gewisse Hürden in den Weg, da sie ihre Schadsoftware stets anpassen müssen. Aus diesem Grund scheinen einige Hacker auf das Filesystem PRoot auszuweichen, dass ihnen ermöglicht, verschiedene Linux-Distributionen gleichzeitig anzugreifen. [mehr]

Besserer Schutz für vernetzte Medizingeräte [5.12.2022]

Gesundheitsdienstleister setzen digitale Geräte wie Diagnose- und Überwachungssysteme, Ambulanzgeräte und Operationsroboter ein, um die Patientenversorgung zu verbessern. Die Sicherheit dieser Geräte ist daher ebenso wichtig wie ihre primäre Funktion. Palo Alto Networks hat nun "Medical IoT Security" vorgestellt, das dank Machine Learning für Schutz sorgen soll. [mehr]

Auf Bedrohungssuche [1.12.2022]

Tipps & Tools

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Zahl der Cloudnative-Anwender legt weiter zu [1.11.2022]

Laut einer aktuellen Umfrage nimmt die Attraktivität Public-Cloud-gestützter Entwicklungs- und Betriebskonzepte spürbar zu. Ein wichtiger Treiber ist dabei der Kostendruck in Unternehmen. Doch steht ein grundlegender Paradigmenwechsel weiterhin aus – vor allem weil der Fachkräftemangel als immer stärkerer Hemmschuh wahrgenommen wird. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen