Kritische Infrastrukturen
Der wohl verwundbarste Punkt eines Landes
Fortsetzung des Artikels von Teil 1
The Worst Case: Cyberangriff auf KRITIS-Betreiber
Damit soll das Thema aber längst nicht vom Tisch sein, sondern für die weitere Einrichtung von Sicherheitsmaßnahmen sensibilisieren. Was wäre wenn? Worst Case: Ein Cyberangriff dreht Deutschland den Strom ab. Laut Arne Schönbohm vom BSI ist die Netz- und Energieversorgung ein attraktives Ziel, um ein ganzes Land lahmzulegen. Demnach entstünden weitreichende Versorgungsengpässe bei einem längeren und größeren Stromausfall. Dies gibt etwa auch der Katastrophenschutz zu Bedenken. Ein Blick auf ein mögliches
Angriffsszenario zeigt was passieren könnte:
Die Cyberkillchain
Ein Angriff erstreckt sich auf insgesamt sieben Schritte, die in einer sogenannten Cyberkillchain zusammengefasst werden. Das Konzept der Angriffskette stammt ursprünglich aus dem Militär und wurde auf den IT-Bereich übertragen. Ein Angriff einer Ransomware läuft in den folgenden Schritten ab (Näheres dazu im Kasten links):
❶ Reconnaissance: Reconnaissance: Identifizierung des Ziels
Es gibt grundsätzlich zwei Angriffsarten zu unterscheiden: gezielte und massenweise Attackierung. Bei der Killchain geht es hauptsächlich um gezielte Angriffe. Zunächst wird das Ziel ausgesucht. Hier werden dann so viele Informationen wie möglich gesammelt, um herauszufinden, wie das Unternehmen aufgestellt ist und wo eventuelle Lücken klaffen, die man für ein Eindringen nutzen könnte. Im Fokus steht meist ein bestimmter Mitarbeiter, der viele Informationen zu seiner Person teilt: Kontaktdaten, Jobtitel, Urlaubspläne und mehr. Ist die passende Schwachstelle gefunden, wird der nächste Schritt in Angriff genommen.
❷ Weaponization: Vorbereitung des Angriffs
Je nach angestrebtem Ziel und geplanter Vorgehensweise wählt der Angreifer ein passendes Tool aus – nach Möglichkeit sollte es perfide sein. Oft bietet sich dafür ein Verschlüsselungstrojaner an, der sich zunächst bedeckt hält und weitere Informationen sammelt. Viele dieser Codes stehen im Darknet frei zur Verfügung.
❸ Delivery: erste Schritte zur Durchführung des Angriffs
In dieser Phase muss der Kriminelle einen Verbreitungsweg wählen. Er kann hierbei auf eine CD-ROM, einen USB-Stick oder auch ganz klassisch auf die E-Mail setzen. Besonders beliebt ist die Phishing-Mail, die entweder per Link auf eine schadhafte Webseite leitet oder ein infiziertes Dokument enthält, welches der Empfänger öffnen soll. Der Vorteil der Phishing-Methode bringt uns direkt zum nächsten Schritt.
❹ Exploitation: Aufspüren von Sicherheitslücken
Die mangelnde Sensibilisierung der Mitarbeiter stellt einen gern genutzten Einfallsvektor dar. Stichwort „Social Engineering“: Über Phishing, CEO-Fraud oder Whaling wird gezielt die Unsicherheit und Unwissenheit der Mitarbeiter ausgenutzt, um ins System zu gelangen. Doch können offene Angriffsflächen auch in der Technik liegen, wie etwa ungepatchte Sicherheitslücken in unternehmensweit genutzten Programmen.
❺ Installation: Implementierung einer Backdoor
Logischerweise erscheint kein Pop-up, sobald die Malware installiert wurde. Die Installation läuft im Verborgenen und ohne das Wissen des Nutzers. Die Malware nistet sich ein und wartet auf ihren großen Moment.
❻ Command & Control: Fernsteuerung des Zielsystems
Um die Kontrolle der Malware zu behalten, kann beispielsweise das Remote-Desktop-Protokoll für den Fernzugriff ausgenutzt werden. Die Fernsteuerung ist essentiell, um das eigentliche Ziel zu erreichen. Mittlerweile ist es sogar möglich, sich Künstlicher Intelligenz zu bedienen, sodass die Malware selbstlernend Aktionen durchführen kann, wie etwa das Nachladen weiterer Schadsoftware oder das Ausspähen von persönlichen Daten.
❼ Actions on objective: Zielerreichung
Der große Moment ist gekommen und der Angreifer kann nach der kompletten Unterwanderung des Systems seine Handlung konkretisieren. In unserem Fall wird die Stromversorgung abgeschaltet. Es kann mehrere Jahre dauern, bis die Malware ausgeführt oder entdeckt wird.
Aus der Killchain wird deutlich, dass die Prävention und Verteidigung vor ausgefeilten Cyberangriffen nur mit speziellen Werkzeugen sowie einer starken und regelmäßigen Sensibilisierung der Mitarbeiter möglich sind. Zu nennen sind dabei beispielsweise Services, die perfide und komplizierte Schädlinge wie Advanced Persistent Threats mit speziellen Analyse-Engines, Freezing und Sandbox erkennen können. Fakt ist, dass Cyberangriffe weiter zunehmen werden und frühzeitig Maßnahmen zum Schutz ergriffen werden müssen.
Auswirkungen in unbekanntem Ausmaß
Zusammengefasst lässt sich sagen, dass Cyberattacken auf Kritische Infrastrukturen eine Bedrohung der nationalen Sicherheit darstellen können. Denn ein Angriff auf das Energienetz oder die Wasserversorgung kann Folgen haben, die nicht mehr nur für finanzielle Einbußen sorgen, sondern das Leben, so wie wir es kennen, völlig verändern könnten.
Julia Sempf, Social Media Manager bei Hornetsecurity
- Der wohl verwundbarste Punkt eines Landes
- The Worst Case: Cyberangriff auf KRITIS-Betreiber
Lesen Sie mehr zum Thema
