Industrielle Cybersicherheit in Deutschland: weniger Angriffe, dafür aber komplexer

• Großteil der Bedrohungen: aus dem Internet und via E-Mail
• Weltweit 33 Prozent mehr Angriffe auf ICS-Computer

Aktuelle Kaspersky-Analysen für das zweite Halbjahr 2020 zeigen zwar, dass die Anzahl von Cyberangriffen seit dem Jahr 2019 auf deutsche Industrieunternehmen leicht gesunken ist, jedoch werden diese zunehmend zielgerichteter und gefährlicher [1]. Die Gründe: weniger Angriffe mittels Spyware und Agents verschiedener Botnets, Kryptominer und aggressive Adware – ebenso sinkt die Anzahl der Computer, die mit alter, sich selbst weiterverbreitender Malware in Form von Würmern infiziert sind. Gleichzeitig werden diese Angriffe jedoch lokaler, fokussierter und infolgedessen komplexer und schwerer zu erkennen, so dass die Kaspersky-Experten keine Entwarnung hinsichtlich des Cybergefahrenpotenzials für industrielle Systeme geben können – vor allem in Hinblick auf die weltweite Angriffssituation, wonach die Anzahl an blockierter Malware auf ICS-Computern auf 33 Prozent angestiegen ist [2].

Im Zuge der fortschreitenden Industrie 4.0 sind Produktionsstraßen, Stromtrassen, kritische Infrastrukturen und industrielle Systeme heute ebenso von Cyberbedrohungen betroffen wie traditionelle Büronetzwerke. IT-Sicherheitsvorfälle in der Industrie können jedoch hochgefährlich werden, da sie zu Produktionsausfällen, finanziellen Verlusten oder gar zur Gefährdung von Menschenleben führen können, wie der jüngste Angriff auf ein Trinkwasserwerk in Florida zeigte [3].

Das Ransomware-Paradox

Der Anteil der ICS-Computer in Deutschland, auf denen Spyware und Ransomware (sowie Skripte und Dokumente, die normalerweise als erste Stufe verwendet werden) blockiert wurden, stieg im zweiten Halbjahr 2020 gegenüber dem ersten leicht an:

• Spyware: 3,2 Prozent (gegenüber 3,1 Prozent im ersten Halbjahr 2020)
• Schädliche Skripte: 3,8 Prozent (gegenüber 3,0 Prozent)
• Schädliche Dokumente: 2,0 Prozent (gegenüber 1,4 Prozent)
• Ransomware: 0,60 Prozent (gegenüber 0,45 Prozent)

Ransomware (Erpresser-Software, die Daten verschlüsselt und Lösegeld erpresst) hat unmittelbare Auswirkungen auf das Geschäft, da Daten und Systeme nach einem Angriff nicht mehr für die Opferorganisationen zugänglich sind. Ransomware kommt daher üblicherweise als Malware der letzten Stufe zum Einsatz, während Spyware beispielsweise als erste oder zweite Stufe verwendet wird; viele Ransomware-Schädlinge werden entweder durch Spyware oder durch Missbrauch von über Spyware gestohlenen Anmeldeinformationen bereitgestellt. Der geringe Prozentsatz an Computern mit industriellen Kontrollsystemen (ICS) in Deutschland, auf denen Ransomware blockiert wurde, bedeutet also nicht, dass sie keine Bedrohung darstellt, sondern dass Malware früherer Phasen (wie Spyware, Trojaner-Skripte oder schädliche Dokumente) erfolgreich blockiert wurde.

Die meisten Bedrohungen, die im zweiten Halbjahr 2020 ICS-Systeme in Deutschland trafen, stammen aus dem Internet (6,6 Prozent), kamen via Mail (2,8 Prozent) und waren auf Wechseldatenträgern (1,1 Prozent) oder in Netzwerk-Ordnern (0,3 Prozent) zu finden.

Die weltweite ICS-Bedrohungslandschaft

• Weltweit betrug der Prozentsatz der angegriffenen ICS-Computer im zweiten Halbjahr 2020 33,4 Prozent, was einer Zunahme von 0,85 Prozentpunkten entspricht.
• Die Vielfalt der genutzten Malware-Familien hat um 30 Prozent zugenommen.
• Die Branchen Gebäudeautomation (46,7 Prozent), Öl und Gas (44 Prozent) und ICS-Technik und -Integration (39,3 Prozent Prozent).
• Darüber hinaus stieg in drei Viertel der untersuchten Länder (73,4 Prozent) der Prozentsatz der ICS-Computer, auf denen böswillige E-Mail-Anhänge blockiert wurden, an.

Herausforderungen der ICS-Sicherheit

• Die industrielle Infrastruktur ist generell schwierig zu aktualisieren und zu ändern. Dies gilt auch für Sicherheitsupdates (Patch-Management), Updates von Schutztools (wie Antiviren-Datenbanken sowie die Bereitstellung von Schutztools. So zeigen Kaspersky-Statistiken, dass geschützte Computer weiterhin wiederholt von allen Arten von Würmern angegriffen werden, die von ungeschützten Computern innerhalb des industriellen Netzwerks stammen.
• Bedingt durch unterschiedliche Standards und Produktionskulturen in verschiedenen Ländernkönnen Industrieunternehmen nicht für alle Organisationen weltweit dasselbe Sicherheitslevel einführen und aufrechterhalten. Dies führt dazu, dass einzelne Einrichtungen zur Bedrohung für die Sicherheit des gesamten Unternehmens werden können.

„Neben der schwer zu aktualisierenden ICS-Infrastruktur und gegebenenfalls weiterer Produktionsstandorte, die das Sicherheitslevel senken können, sehen sich Industrieunternehmen vor allem in Deutschland mit einer Menge Bürokratie konfrontiert, wenn es um die Reaktion auf Bedrohungen und die Implementierung neuer Sicherheitstechnologien geht“, erklärt Christian Milde, Geschäftsführer DACH bei Kaspersky. „Oft hindern bürokratische Prozesse Organisationen daran, jahrhundertealte Fertigungstraditionen zu ändern und Prozesse anzupassen, um rechtzeitig auf Herausforderungen der Informationssicherheit zu reagieren. Industrielle Systeme und kritische Infrastrukturen benötigen daher besondere Schutzmaßnahmen. Industrieunternehmen sollten zügig in präventive und umfassende Cybersicherheitslösungen investieren, um heute und in Zukunft vor allen Arten von Cyberbedrohungen geschützt zu sein.“

Kaspersky-Empfehlungen für Industrieunternehmen

• Regelmäßig Betriebssysteme, Anwendungssoftware und Sicherheitslösungen auf Systemen aktualisieren, die Teil des industriellen Netzwerks des Unternehmens sind.
• Der Netzwerkverkehr sollte auf Ports und Protokolle beschränkt werden, die auf Edge-Routern und in den OT-Netzwerken (Operational Technology, Betriebstechnologie) des Unternehmens verwendet werden.
• Zugriffskontrolle für ICS-Komponenten im industriellen Netzwerk des Unternehmens und an dessen Grenzen prüfen.
• Mitarbeiter sowie Partner und Lieferanten, die Zugang zum OT-/ICS-Netzwerk haben, sollten regelmäßig an Schulungen teilnehmen.
• Eine dedizierte Endpoint-Protection-Lösung wie Kaspersky Industrial Cybersecurity [4] auf ICS-Servern, Workstations und HMIs verwenden, um die industrielle sowie die OT-Infrastruktur vor Cyberangriffen zu schützen. Zudem sollten Lösungen zur Überwachung, Analyse und Erkennung des Netzwerkverkehrs für einen besseren Schutz vor zielgerichteten Angriffen eingesetzt werden.

[1] https://ics-cert.kaspersky.com/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/

[2] https://ics-cert.kaspersky.com/reports/2021/03/22/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/

[3] https://www.heise.de/news/Hackerangriff-auf-das-Trinkwasser-5049266.html

[4] https://www.kaspersky.de/enterprise-security/industrial-solution

Nützliche Links:

• Kaspersky Industrial Cybersecurity: https://www.kaspersky.de/enterprise-security/industrial-solution
• Kaspersky-Report “Threat landscape for industrial automation systems. Statistics for H2 2020”: https://ics-cert.kaspersky.com/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 240.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter https://www.kaspersky.de/