Angriffe auf das erweiterte Internet der Dinge
Kritisches schützen
Fortsetzung des Artikels von Teil 1
Neue Ransomware-Front
Der Angriff auf SolarWinds – und damit auf SolarWinds-Anwenderunternehmen – Anfang 2021 war für viele Technologiebetreiber ein erster und ernster Schock. Die Ende 2021 bekannt gewordene kritische Schwachstelle in Log4j verdeutlichte erneut, wie anfällig die Software-Lieferkette ist und wie ausnutzbare Schwachstellen in einer Open-Source-Komponente Tausende von Unternehmen in kürzester Zeit in Gefahr bringen können: Log4j, ein beliebtes, von Tausenden Unternehmen eingesetztes Open-Source-Framework für die Apache-Protokollierung, enthielt eine leicht ausnutzbare Schwachstelle, die Remote Code Execution erlaubte. Ein bösartiger String, der von einer Anwendung, die Log4j verwendet, protokolliert wird, löst dabei einen JNDI-Lookup (Java Naming and Directory Interface) aus. Dieser stellt eine Verbindung zu einem von den Angreifern kontrollierten Server her und lädt bösartigen Java-Code nach.
Zahlreiche Automatisierungsanbieter verwenden Log4j als Komponente im OT-Bereich, wodurch etliche Industrieprozesse gefährdet sind. Log4j wurde zwar schnell gepatcht, doch der Vorfall entfachte Diskussionen über die Software-Lieferkette und die Frage, wie man die sichere Verwendung von Open-Source-Komponenten in kritischen Infrastrukturen gewährleisten kann. Obwohl eine sichere Softwareentwicklung seit vielen Jahren als wichtiges Thema gilt, sehen viele Beteiligte die Berücksichtigung von Sicherheitsaspekten bei der Entwicklung nach wie vor oft als Hindernis für die Einhaltung von Fristen und die Veröffentlichung neuer Anwendungen und Updates.
Allzu oft wissen Unternehmen nicht, welche Komponenten eine bestimmte kommerzielle Software enthält. Kommt dann eine Schwachstelle in einer Komponente wie Log4j ans Licht, versuchen die Sicherheitsteams verzweifelt, die Gefährdung zu ermitteln und Prioritäten für das Patch-Management zu setzen. Steht jedoch eine Software-Stückliste (Software Bill of Materials, SBOM) zur Verfügung, können Fachleute nicht nur Schwachstellenanalysen durchführen, sondern auch die Risiken von Produkten besser bewerten. Es ist davon auszugehen, dass die Sicherheit der Software-Lieferkette weiterhin ein zentrales Thema im Risiko-Management darstellen wird – und dass SBOMs ein wichtiger Bestandteil dieser Diskussionen sein werden.
Ransomware-Angriffe stellen nach wie vor eine enorme Bedrohung für Betreiber industrieller Anlagen und kritischer Infrastrukturen dar und sind eine entsprechende Herausforderung bei der Risikobewertung. Laut einer aktuellen Umfrage waren bereits 80 Prozent der kritischen Infrastrukturen Ziel von Ransomware-Angriffen, wobei 60 Prozent Lösegeld zahlten. Angreifer haben erkannt, dass kritische Infrastrukturen und OT-Anlagen oft mit anfälliger IT laufen, die sie gezielt attackieren können, um wichtige Prozesse und Dienste zu beeinträchtigen. Bei Angriffen wie jenen auf Colonial Pipeline, das Universitätsklinikum Düsseldorf, den Landkreis Anhalt-Bitterfeld oder die Technischen Werke Ludwigshafen handelte es sich in erster Linie um profitorientierte Angriffe, bei denen die Cyberkriminellen die Bereitschaft ihrer Opfer zur Zahlung hoher Lösegelder antizipierten und ausnutzten.
Insbesondere bei Kritis-Betreibern besteht zudem die Gefahr, dass Ransomware-Angriffe eine weitaus schwerwiegendere Art von Attacken verdecken. Als sich die Spannungen zwischen Russland und der Ukraine im Januar verschärften, meldeten Beobachter destruktive Malware-Angriffe auf Regierungs-Websites der Ukraine. Mittels Ransomware als Ablenkungsmanöver infizierten Angreifer ukrainische Systeme mit Wiper-Malware, die die Festplatten der angegriffenen Rechner unbrauchbar machte. Diese Art von Ablenkungsangriffen zwingt die Verteidiger dazu, unnötig Zeit mit der Bekämpfung eines vermeintlichen Ransomware-Vorfalls zu verbringen, um dann festzustellen, dass es sich um einen weitaus wirkungsvolleren Angriff handelt.
Im Jahr 2022 müssen sich Sicherheitsverantwortliche dieser Arten von nationalstaatlichen Taktiken bewusst sein und wissen, wie sich politische Konflikte auch online auswirken können. Entsprechend sollten sie über Bedrohungsdaten verfügen, um über Taktiken, Techniken und Verfahren auf dem Laufenden zu bleiben, die gegen ihre Infrastruktur gerichtet sind. Dringt die Geopolitik in den Cyberspace vor, gibt es einige wichtige Maßnahmen, die ein Unternehmen ergreifen sollte: Es sollte die Firewall-Regeln verschärfen, Web-Mail zur Abwehr von Phishing-Angriffen blockieren, regelmäßig Backups erstellen, Backup-Dateien offline und an einem externen Standort speichern sowie OT-Projektdateien sichern.
Chen Fradkin ist Sicherheitsforscherin bei Claroty.
- Kritisches schützen
- Neue Ransomware-Front
Lesen Sie mehr zum Thema
