Die Entdeckung neuer Ransomwares, die speziell für operative Netzwerke entwickelt wurden, stellt einen Wendepunkt bei den Cyberattacken auf die Industrie dar. Diese Malwares zielen direkt auf die Produktionslinien, also den Kern der Industriekonzerne, ab und verschieben somit die Grenzen der digitalen Sicherheit. Könnte die Destabilisierung der Produktionslinien die neue Marotte der Cyberangreifer sein?
Die Neuigkeit kam per Tweet. Am 6. Januar 2020 verkündete der Forscher Vitali Kremez der Gruppe Malware Hunter Team, Snake (oder Ekans) entdeckt zu haben. Hierbei handelt es sich um eine Ransomware, die Industrienetzwerke lahmlegen und die Produktionslinien zum Stopp zwingen kann.
Die Information machte in der Cyber-Community schnell von sich reden. Dabei ist Snake nicht gerade die erste Ransomware, die es auf das OT-Netzwerk abgesehen hat. Denn bereits im Jahr 2019 hatte die Ransomware LockerGoga erhebliche Schäden verursacht. Eines der Opfer war damals insbesondere der norwegische Aluminiumproduzent Norsk Hydro. Der Angriff gefährdete seinen Betrieb und hatte umfassende finanzielle Verluste zur Folge. Warum ist jetzt nun Snake in aller Munde? Dies ist insbesondere darauf zurückzuführen, dass diese Ransomware noch mehr Services angreifen kann, die ausschließlich in Industrienetzwerken verwendet werden. Die Cyberattacken und ihre Komplexität nehmen stetig zu, muss man nun damit rechnen, dass die Industrieproduktion das bevorzugte Ziel der Cyberangreifer ist? Stellt Snake nach Industroyer nun einen neuen Wendepunkt für die Cyber-Sicherheit für die Industriesysteme dar?
Manufacturing und industrieller Hintergrund
Beim Manufacturing handelt es sich um eine sensible Branche, deren Besonderheiten auch potenzielle Schwachstellen darstellen. Die erste Herausforderung betrifft die Lebensdauer der Anlagen, die im Durchschnitt zwanzig Jahre lang betrieben werden sollen. An den meisten Industriestandorten „findet man somit mehr oder weniger alte Anlagen und gleichzeitig mehr oder weniger neue Netzwerke und Betriebssysteme an, die nicht unbedingt denselben fortschrittlichen Sicherheitsnormen entsprechen, da ein Upgrade eine kostspielige Sache ist“, unterstreicht Vincent Riondet, Leiter der Teams für Cyber-Sicherheits-Projekte und -Dienstleistungen bei Schneider Electric France. Dies ist beispielsweise bei den Steuerelementen der Maschinen der Fall: Sie weisen häufig sehr alte Windows-Betriebssysteme auf und waren nicht an das Internet angeschlossen. „Die auf zahlreichen Steuersystemen der Fabriken installierten Betriebssysteme sind potenziell veraltet, schwer auszutauschen oder ihre äußerst personalisierte Konfiguration ist mit den standardmäßigen Sicherheitsangeboten der IT-Teams nicht kompatibel“, fügt der Forscher Nisarg Desai in einem Blogartikel hinzu.
Man findet somit mehr oder weniger alte Anlagen und gleichzeitig mehr oder weniger neue Netzwerke und Betriebssysteme an, die nicht unbedingt denselben fortschrittlichen Sicherheitsnormen entsprechen, da ein Upgrade eine kostspielige Sache ist
Vincent Riondet, Leiter der Teams für Cyber-Sicherheits-Projekte und -Dienstleistungen bei Schneider Electric France
Eine weitere Herausforderung: das uneinheitliche Angebot der Anlagenhersteller, Steuersoftwareentwickler und Komponentenfabrikanten. Ihre Produkte entsprechen nicht alle denselben Anforderungen, Standards oder Bedingungen für die Herstellung, die Steuerung usw. Eine einzige Schwachstelle oder ein Backdoor kann somit die gesamte Produktionskette zum Stopp bringen. Diese Produktionsketten sind wiederum häufig komplexe Konstrukte und ihre Komponenten kommunizieren nicht unbedingt untereinander. Aus diesem Grund sind sie gegenüber diesen externen Angriffen besonders anfällig. Das Ganze wird dadurch noch komplexer, da gewisse Wartungsvorgänge von externen Akteuren ausgeführt werden können, die sich häufig USB-Medien bedienen, um die Anlagen zu aktualisieren oder zu konfigurieren. Diese Vorgänge stellen ebenfalls einen Vektor für Cyberattacken dar, da die Server in den meisten Fällen nicht geschützt sind.
Die Produktionskette wurde in der gesamten Industrie schließlich lange Zeit als isoliertes System angesehen, ist dies jedoch immer seltener. Hinter dem Begriff der Konvergenz von IT und OT versteckt sich die Konnektivität der OT-Netzwerke und somit einer der wichtigsten Infektionskanäle. Aufgrund dieser Konnektivität steht die Produktionskette nun zahlreichen Cyberrisiken gegenüber, die der IT-Welt bereits gut bekannt sind.
Dem Manufacturing inhärente Risiken
Die Cyberbedrohungen im Bereich des Manufacturing haben sich in den vergangenen Jahren stark ausgeweitet und betreffen nunmehr auch die Supply Chain sowie die Netzwerke. Und hierbei zielen sie auf potenziell verheerende Folgen ab. Das dänische Industrieunternehmen Demant, ein Hörgerätehersteller, war beispielsweise im September 2019 Opfer einer Blockade seiner Montagebänder. Die Folgen der Ransomware wurden auf mehr als 95 Millionen Dollar geschätzt. Der Großteil der Verluste stammte von verlorenen Verkaufsverträgen und der Tatsache, dass das Unternehmen seine Aufträge nicht erfüllen konnte, gab das Unternehmen an.
Man kann sich gut vorstellen, dass ein gezielter Angriff auf beispielsweise säumige Betriebssysteme es ermöglicht, die Steuerung mehrerer Nahrungsmittelunternehmen oder Pharmagesellschaften zu schädigen und somit die Herstellung fehlerhafter Produkte herbeizuführen. Dies würde für diese Unternehmen ein wesentliches Risiko darstellen, da sie für ihre Produkte im Rahmen der Qualitätskontrolle eine vollumfängliche Rückverfolgbarkeit gewährleisten müssen. Die Risiken der Industriespionage über gezielte Angriffe sind ebenfalls nicht unerheblich. Schließlich sollte man nicht vergessen, dass gewisse Cyberattacken auf die Produktionslinien einerseits die körperliche Unversehrtheit der Bediener selber gefährden und andererseits schwerwiegende Umweltvorfälle zur Folge haben können.
Wenn man das Interesse der Cyberangreifer am Manufacturing verstehen möchte, muss man sich das Geschäftsmodell dieser Unternehmen vor Augen führen. Denn neben den sicheren Schlagzeilen bei lang anhaltenden Störungen scheinen die Cyberangreifer vor allem durch die möglichen Gewinne angelockt. Mit angehaltenen Produktionslinien kommen nämlich bedeutende Verluste einher, was die Unternehmen dazu veranlassen kann, das Lösegeld schneller zu zahlen. Und dabei können sie sich nicht einmal sicher sein, dass die Angreifer ihr Versprechen einhalten.
Industrie 4.0, Erweiterung der Angriffsoberfläche
Wir schrieben dies bereits im Jahr 2018. Zum Zeitpunkt der Industrie 4.0, der Entwicklung des industriellen Internets der Dinge (IIoT), der Digitalisierung der Fabriken und der mit künstlicher Intelligenz versehenen Technologien werden die OT-Netzwerke immer vernetzter und kommunizierender, insbesondere mit den IT-Netzwerken. Diese ultrahohe Verbundenheit hat jedoch immer mehr Cyberbedrohungen zur Folge. „Dies gilt insbesondere, da die OT-Netzwerke oftmals keine Netzwerk-Barriere oder Endpoint-Barriere aufweisen“, betont Vincent Riondet. Die verschiedenen OT-Komponenten stellen somit ebenso viele Eintrittspunkte dar. Dies gilt insbesondere, da die Konvergenz zwischen IT und OT noch weitgehend heikel oder in gewissen Fällen sogar unwirksam ist.
„Mit der Industrie 4.0 gibt es immer mehr Eintrittspunkte, da die Nachfrage nach der Vernetzung erfüllt wurde, ohne sich wirklich um das Security-by-Design zu kümmern“, fügt Vincent Riondet hinzu. Die Ankunft des industriellen IoT, wie beispielsweise die Integration von automatischen Befehlen, oder der erweiterten oder virtuellen Realität haben neue Schwachstellen geschaffen. Im Mai 2017 zeigte ein anderes Cyber-Sicherheits-Unternehmen in Zusammenarbeit mit der technischen Hochschule in Mailand, dass man die vollständige Kontrolle über einen Roboter erlangen und somit auf ihm eine Malware installieren kann, mit der man ihn „umprogrammieren“ kann.
Die Integrität der OT-Branche gewährleisten
Wie gehen die Unternehmen der Branche diese neuen Gefahren an, die einen Wendepunkt in der Welt der Cyber-Sicherheit für die Industrie darstellen? Aktuell konzentrieren sich die Manufacturing-Unternehmen alle auf verschiedene Bereiche. „Die Verstärkung der Sicherheit der OT-Branche muss zunächst über die verstärkte Sicherung der Betriebssysteme der Netzwerkanlagen gehen“, so Vincent Riondet. Gleichzeitig stellt sich der Sicherheit der Manufacturing-Infrastruktur das große Problem, die Netzwerkkommunikation zu beherrschen.
Ein weiterer Schritt in Richtung mehr Sicherheit besteht also darin, sämtliche Kommunikation zwischen den Maschinen zu verschlüsseln. „Zusätzlich zu einer angemessenen Netzwerksegmentierung kann man den Datenaustausch sicherer gestalten, indem die Vertraulichkeit und Integrität der Daten gewährleistet wird“, erklärt wiederum Vincent Seruch, ICS Security Team Leader von Airbus CyberSecurity. „Es müssen sämtliche Kommunikationen, die über die OT-Netzwerke laufen, kartografiert und dann mit kryptografischen Methoden verschlüsselt werden. Hierzu müssen jedoch auch die Untersuchungsbedürfnisse der Datenaustausche berücksichtigt werden.“ Die Fernwartung ist eine weitere Möglichkeit. Denn wenn man die Updates aus der Ferne ausführt, kann man einerseits auf potenziell bedenkliche USB-Medien verzichten und andererseits die Fehlerrisiken aufgrund des zu häufigen Wechsels der Bediener beschränken. Das Ergebnis: effizientere Updates, insofern der Zugriff für diese Fernwartung ebenfalls gesichert wird.
Die Gesundheitskrise des COVID-19 wirft heute die Frage der industriellen Hoheitsgewalt und der Wiederansiedlung gewisser Fabriken strategischer Sektoren in Europa auf. Die Umsetzung eines solchen Plans könnte als praktischer Test dienen, da diese „industrielle Entglobalisierung“ eine erhöhte Automatisierung mit sich bringen würde. Die OT-Branche würde dadurch nur noch mehr Risiken ausgesetzt sein. Und es ist zu erwarten, dass die Cyber-Sicherheit für die Industrie bis dahin auch in den Vordergrund gerückt sein wird.