Startseite > Office & Kommunikation > Guter Nährboden für Cyber-Erpressungen

IIoT und OT

Guter Nährboden für Cyber-Erpressungen

6. Mai 2019, 10:52 Uhr | Autor: Jörg Schuler / Redaktion: Diana Künstler

Von vielen Experten wird der Aufstieg des Industrial Internet of Things (IIoT) und seine enge Beziehung zur Operational Technology (OT) als einer der wichtigsten Business-Trends des frühen 21. Jahrhunderts betrachtet. Auf den ersten Blick ist dies einfach nachvollziehbar: Eine Vielzahl von Geräten, Sensoren und Equipment mit dem Internet verbinden –, und das in Kombination mit Machine-to-Machine (M2M)-Kommunikation und -Automatisierung, die für industrielle Prozesse erforderlich sind, klingt nach der nächsten großen Industrieumwälzung. In Deutschland, Europas größter Industriewirtschaft, hat sich die Nutzung von IIoT zur digitalen Automatisierung so weit entwickelt, dass sie als vierte industrielle Revolution bezeichnet werden kann, die sogenannte strategische Initiative "Industrie 4.0", die auch von der Bundesregierung gefördert wird.

Die Aussicht auf integrierte Lieferketten, Echtzeit-Rückmeldungen über Prozesse, auftretende Probleme und vorhandene Bestände, bei denen selbst die kleinsten Elemente eines industriellen Prozesses miteinander verbunden wären, ist dabei äußerst erfolgsversprechend. Effizienz wird so erheblich gesteigert, Probleme und Fehlermeldungen verringert, weil die Systeme letztendlich für sich selbst sorgen könnten, ohne dass teure menschliche Eingriffe und Managementmaßnahmen erforderlich sind. Das IIoT wird so zur Plattform für jene Branchen, von denen die digitale Wirtschaft letztlich abhängt. Ein pessimistischerer Blick – man könnte ihn auch realistischer nennen –, sieht die flächendeckende Verbreitung von IIoT und OT aber auch als ein neues Feld digitaler Sicherheitsrisiken. Diese könnten in ähnlicher Weise unterschätzt werden, wie die Risiken des konsumentenorientierten IoT in den ersten Jahren. Nicht nur für Sicherheitsskeptiker dürfte dabei klar sein – je mehr Geräte, Equipment, Sensoren und Anwendungen miteinander verbunden werden, desto größer ist die gegenseitige Abhängigkeit und Empfindlichkeit gegenüber Störfällen. Die Entwicklung der Cyberkriminalität in den letzten 20 Jahren zeigt, dass mit den Nutzern des IIoT und OT analog auch die potenzielle Zahl von Angreifern steigt.

Da sich Industrie 4.0 und IIoT aber noch im Aufbau befinden und viele Technologien und Standards noch nicht final implementiert sind, sind auch potenzielle Schwachstellen für Cyberangriffe nicht immer offensichtlich. Jüngste Cyberangriffe auf Fertigungsanlagen zeigen aber, dass Anlass zur Sorge besteht. Laut dem letzten Data Breach Investigations Report (DBIR) von Verizon, der die Zahlen von 2017 analysierte, zählte das verarbeitende Gewerbe 42 bekannte Verstöße und 389 Cybervorfälle verschiedener Art. Damit liegt es direkt hinter Sektoren wie Gesundheitswesen, Finanzen und Einzelhandel. Etwa 90 Prozent davon gehen eher von externem Hacking aus als von einer internen Kompromittierung oder einer Fehlkonfiguration. Verizon weist zudem darauf hin, dass 86 Prozent gezielte Angriffe waren, die speziell für die Penetration bestimmter Unternehmen entwickelt wurden. "Die überwiegende Mehrheit der Angriffe unterstreicht, dass Kriminelle bestimmte Produktionsstätten mit einem ganz bestimmten Zweck verfolgen", heißt es im Bericht. Diese Zahlen sagen noch keine Details darüber aus, wie anfällig IIoT und OT für Cyberangriffe sein könnten, aber sie unterstreichen, dass sie bereits flächendeckend ins Visier genommen werden mit einer Reihe von Absichten, darunter geopolitische Vorteile und finanzielle Gewinne.

Wie könnten sich Angriffe entwickeln?
Cyberangriffe basieren auf einer Kombination aus technischen Mitteln – der Schwachstelle, die ausgenutzt wird, um in ein Zielnetzwerk einzudringen – und der kriminellen Absicht, dies ohne Rücksicht auf Risiken und Kosten zu tun. Jüngste Vorfälle zeigen, dass dabei das häufigste Vorgehen für Angriffe wahrscheinlich die gezielte Cyber-Extortion (=Erpressung) ist. Ein warnendes Beispiel, wie gefährlich dies werden kann, gab der Vorfall im März 2018 in der Stadt Atlanta. Wie mittlerweile fast jede große Stadt weltweit sind auch Atlanta und seine Bürger auf Online-Dienste angewiesen, die einfache Anwendungen wie Parken, Bill Payment, Gerichtsvorladungen und eine Vielzahl von lokalen Verwaltungsfunktionen bereitstellen. Unter Verwendung einer Hacking-to-Ransomware-Plattform namens SamSam drangen Angreifer in das Netzwerk der Stadt ein, um eine Reihe von Anwendungen zu verschlüsseln. Die Lösegeldforderung von 51.000 US-Dollar (circa 45.000 Euro) wurde zwar anscheinend nicht erfüllt, trotzdem kostete der Angriff schließlich 2,6 Millionen US-Dollar, um ihn zu bereinigen. SamSam wurde zudem für weitere Angriffe im Jahr 2018 verantwortlich gemacht, darunter die Stadt Newark, das Colorado Department of Transportation, die Universität Calgary und, aus industrieller Sicht vielleicht am beunruhigendsten, die Häfen von Barcelona und San Diego.

Dies zeigte eindringlich auf, dass diese Vorfälle in jeder Institution, Organisation oder kritischen Infrastrukturen geschehen können, einschließlich Fabriken, industrieller Prozesse oder Lieferketten. Hier können selbst ein paar Stunden Ausfallzeit verheerende Auswirkungen haben. Größe und Bedeutung scheinen kein Schutz mehr zu sein. Im Gegenteil, wenn eine Institution wertvoll und verletzlich genug ist, kommt sie als lohnendes Zielobjekt ins Visier. Zusätzliche Gefahr geht davon aus, dass IIoT-Systeme immer noch oft über keine effizienten Sicherheitsstrategien oder ausgereifte Sicherheitsmodelle verfügen. Fehler bereits beim Sicherheitsdesign sorgten in der Vergangenheit zu oft für vielfältige Penetrationsmöglichkeiten. Dazu kommt, dass industrielle Netzwerke, die IIoT unterstützen, in der Regel nicht von Grund auf neu aufgebaut werden, sondern von der etablierten Netzwerksicherheit und den Protokollen einer Organisation abhängen. Ein grundlegendes Problem dabei ist, dass IIoT und OT naturgemäß die Anzahl der Geräte erhöhen, die über Internetprotokolle kommunizieren und so die Angriffsfläche vergrößern. Angreifer müssen dann nur einen Schwachpunkt oder ein Protokoll finden – das Remote Desktop Protocol (RDP) war SamSams bevorzugte Einstiegsmethode – von dem aus sie einen tieferen Einbruch in das Zielnetzwerk aufbauen können. Wenn eine betroffene Institution merkt, dass sich ein Angreifer im Netzwerk befindet, ist es in der Regel schon zu spät.

Jede Planung für das Implementieren von IIoT und OT muss dafür in Zukunft Sicherheitsaspekte zentral und vorab einbeziehen. Die vielfältigen neuen Risiken stellen Experten dabei vor große Herausforderungen. Die Verteidigung der Industrie-4.0-Systeme muss grundlegend und hochprofessionell neu aufgestellt werden, wenn die nächste Welle dieser Industrietechnologie ihr Versprechen erfüllen soll.

Jörg Schuler ist OT Security Portfolio Manager bei Airbus CyberSecurity