Offen wie ein Fabriktor

Riskante Lücken in Industriesystemen

13.09.2021
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Industrieunternehmen werden zunehmend Ziel von Hackerattacken. In einem Bericht verweist der Security-Anbieter Positive Technologies auf die typischen Schwachstellen.
Trotz der fatalen Auswirkungen bis hin zum nationalen Notstand (Colonial Pipeline) sind viele Industrieunternehmen unzureichend vor Cyberangriffen geschützt.
Trotz der fatalen Auswirkungen bis hin zum nationalen Notstand (Colonial Pipeline) sind viele Industrieunternehmen unzureichend vor Cyberangriffen geschützt.
Foto: Lekali Studio - shutterstock.com

Wegen ihrer Größe und der Auswirkungen von Störungen auf Geschäftsprozesse, teilweise aber auch auf das tägliche Leben, sind Industrieunternehmen ein zunehmend beliebtes Ziel von Kriminellen. Einem Bericht von Positive Technologies zufolge war der Sektor 2020 mit zwölf Prozent der Angriffe das zweitbeliebteste Ziel für Hacker nach dem Regierungssektor.

Die größten Bedrohungen für Industrieunternehmen sind dabei Spionage und finanzielle Verluste. So waren Hacker im Jahr 2020 vor allem auf den Diebstahl von Daten aus (84 Prozent der Fälle), während sich 36 Prozent direkt finanziell bereichern wollten.

Kleiner Angriff, große Wirkung

Nicht nur die Motive der Hacker variieren, auch die Folgen der Attacken fallen unterschiedlich gravierend aus, wie folgende Beispiele zeigen:

  • Der Autohersteller Honda musste im Juni 2020 nach einem Ransomware-Angriff auf das Unternehmensnetz die Produktion in mehreren Werken für einen ganzen Tag lang stilllegen, um die volle Funktionsfähigkeit der technischen und geschäftlichen Systeme wiederherzustellen und zu verhindern, dass sich derartige Vorfälle in Zukunft wiederholen.

  • Colonial Pipeline, der größte US-amerikanische Kraftstofflieferant, wurde im Mai 2021 Opfer eines Ransomware-Angriffs. Der einwöchige Ausfall der Computersysteme führte dazu, dass eine wichtige Pipeline stillgelegt werden musste, über die fast die Hälfte aller an der Ostküste verbrauchten Kraftstoffe fließen.

  • Im Februar 2021 gelang es einem Hacker, sich Zugang zu den Wasseraufbereitungssystemen in einer kleinen US-Stadt in Florida zu verschaffen und die chemische Zusammensetzung des Wassers zu verändern.

  • Im Februar 2020 war er dem kroatischen Mineralölunternehmen INA aufgrund eines Hackerangriffs nicht mehr möglich, Rechnungen auszustellen, Kundenkarten zu registrieren oder mobile Coupons auszustellen. Schuld daran war die Ransomware Clop, die die Daten auf den internen Servern des Unternehmens verschlüsselte und so die Geschäftsabläufe störte.

Schwachstellen vor den Hackern aufdecken

Um solche schwerwiegenden Ausfälle im Vorfeld zu vereiteln, schlüpfen IT-Security-Spezialisten in die Rolle von Hackern und testen im Kundenauftrag, auf welchen Weg sie sich Zugang zur Infrastruktur eines Unternehmens verschaffen könnten und welche möglichen Konsequenzen ein Cyberangriff haben könnte. Mit dem Wissen um die Schwachstellen helfen sie später dabei, ein effizientes Sicherheitssystem aufzubauen. Die häufigsten Schwachstellen, die Attacken auf Industriesysteme ermöglichten, waren laut der Untersuchung:

  • ein vom Internet aus zugänglicher, externer Netzwerk Perimeter;

  • zu wenig Schutz vor Hackern, die in das Industrienetz eindringen wollen;

  • falsch konfigurierte Geräte;

  • Schwachstellen in Netzwerksegmentierung und Traffic-Filtern;

  • einfache Passwörter aus dem Wörterbuch;

  • der Einsatz veralteter Software.

"Nach unserer Erfahrung sind Industrieunternehmen nur sehr schlecht vor solchen Attacken geschützt", schreibt Positive Security entsprechend in seinem Bericht. So hätten die im Jahr 2020 durchgeführten Sicherheitsbewertungen gezeigt, dass ein externer Angreifer bei 91 Prozent der Industrieunternehmen in das Unternehmensnetz eindringen kann. Einmal dort angekommen, könnten Angreifer in 100 Prozent der Fälle Anmeldeinformationen abgreifen und die volle Kontrolle über die Infrastruktur erlangen.

In 69 Prozent der Fälle wären sie zudem in der Lage, sensible Daten zu stehlen, also etwa Informationen über Partner und Unternehmensmitarbeiter, E-Mail-Korrespondenzen und interne Dokumentationen. Noch gravierender ist jedoch aus Sicht von Positive Technologies, dass es den Experten bei 75 Prozent der Industrieunternehmen gelungen sei, sich Zugang zum technologischen Teil des Netzwerks zu verschaffen. Und in 56 Prozent der Fälle wären Kriminelle sogar in der Lage, sich Zugang zu industriellen Steuerungssystemen (ICS) verschaffen.

Wie brisant die tatsächliche Bedrohungslage ist, zeigen die Ergebnisse eines Netzanalyse-Tools von Positive Technologies, das zur Erkennung von Angriffen an der Peripherie und im Netz eingesetzt wird: Demnach wurden 2020 bei sämtlichen Kunden aus der Industrie verdächtige Netzwerkaktivitäten und Sicherheitsverletzungen festgestellt. Bei 71 Prozent registrierte das Tool Malware-Aktivitäten und bei jeweils 57 Prozent wurde festgestellt, dass Hacker versuchen, Schwachstellen zu nutzen oder Passwörter durch Brute-Force-Angriffe zu knacken.

Oft leichtes Spiel für Hacker

In einigen Fällen machten die Unternehmen den Hackern den Angriff auf kritische Systeme auch schlichtweg zu leicht, so die Experten von Positive Technologies. So seien sie bei einer Sicherheitsbewertung eines Industrieunternehmens beispielsweise zunächst in das Unternehmensnetz eingedrungen und hätten sich maximale Berechtigungen in der Domäne gesichert. Anschließend sammelten sie Informationen über die Hosts des Industrienetz. Bei dieser Aktion hätten sie dann herausgefunden, dass ein Computer mit dem ICS-Netzwerk verbunden war und griffen dann über diesen Knoten darauf zu.

Ein häufiger Fehler bei der Verwaltung solcher Computer bestehe zudem darin, die Verbindungsparameter (Benutzername und Kennwort) in einem Formular für die Fernzugriffsauthentifizierung (z. B. über RDP) zu speichern. Erlangt ein Angreifer die Kontrolle über einen solchen Computer, kann er sich ohne Anmeldedaten mit den Ressourcen eines isolierten Segments verbinden. Darüber hinaus würden Verbindungsparameter, Adressen, Schemata und Passwörter für Systeme in industriellen Netzen häufig im Klartext-Format (z. B. in Excel-Tabellen) auf den Computern von Ingenieuren und anderen Verantwortlichen gespeichert.

Eine andere, häufig auftretende Schwachstelle bei Industrieunternehmen ist der Einsatz veralteter Software. Laut einer Erhebung des Cybersicherheitsunternehmens Claroty ist die Zahl der Schwachstellen in ICS-Komponenten in den letzten Jahren stetig gestiegen. So beobachteten die Security-Experten 2020 einen Zuwachs um 25 Prozent gegenüber dem Vorjahr. Betroffen waren vor allem der Energiesektor, die verarbeitende Industrie und Wasseraufbereitungsanlagen. Das Problem dabei: Für die Aktualisierung von Industrieanlagen ist ein spezielles "Wartungsfenster" erforderlich, das nur wenige Stunden pro Woche oder sogar pro Monat offen ist.