{"id":17754,"date":"2018-09-21T11:07:53","date_gmt":"2018-09-21T09:07:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17754"},"modified":"2018-09-21T11:10:18","modified_gmt":"2018-09-21T09:10:18","slug":"rats-in-ics","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rats-in-ics\/17754\/","title":{"rendered":"Fernwartungssoftware stellt eine gro\u00dfe Gefahr f\u00fcr industrielle Netzwerke dar"},"content":{"rendered":"<p>Legitime Fernwartungssoftware (Remote Administration Tools, <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation&amp;_ga=2.234248030.1132467157.1537254968-1171819731.1512652850\" target=\"_blank\" rel=\"noopener\">RAT<\/a>s) ist seit Langem ein sehr umstrittenes Thema. Zwar erm\u00f6glicht sie Nutzern die Vermeidung eines direkten Hardwarezugriffs, kann allerdings gleichzeitig auch viele Risiken f\u00fcr die Computersysteme durch den Fernzugriff auf beliebige Ger\u00e4te bergen. Besonders in einer industriellen Umgebung kann ein solcher Remote-Zugriff gef\u00e4hrlich werden; aus diesem Grund haben unsere Kollegen des Kaspersky Lab ICS CERT eine Analyse bez\u00fcglich der Verbreitung von RATs auf Industriecomputern sowie m\u00f6gliche Sch\u00e4den, die aus Fernwartungssoftware resultieren k\u00f6nnen, durchgef\u00fchrt.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2018\/09\/20071313\/rats-in-ics-Featured.jpg\">KSN-Statistiken zufolge wurden in der ersten H\u00e4lfte des Jahres 2018 legitime RATs auf einem von drei Rechnern industrieller Kontrollsysteme unter Windows installiert. Unter industriellen Systemen verstehen wir hier SCADA- und Historian-Server, Daten-Gateways, Workstations von Ingenieuren und Bedienern sowie HMIs von Arbeitsplatzrechnern.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Kaspersky-Analyse: Remote Administration Tools auf fast jedem dritten ICS-System installiert.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F4htf&amp;text=%23Kaspersky-Analyse%3A+Remote+Administration+Tools+auf+fast+jedem+dritten+ICS-System+installiert.+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Zeitweise verwenden lokale Administratoren und Ingenieure RATs bei ihrer t\u00e4glichen Arbeit. Und manchmal ben\u00f6tigen externe Parteien wie Systemintegratoren oder Entwickler industrieller Steuerungssysteme den Fernzugriff zur Diagnose, Wartung und Fehlerbehebung. In der Tat werden RATs in manchen F\u00e4llen nicht f\u00fcr betriebliche Zwecke verwendet, sondern viel mehr um anfallende Servicekosten zu senken. Und selbst wenn sie f\u00fcr allt\u00e4gliche technologische Prozesse ben\u00f6tigt werden, lohnt sich die Einsch\u00e4tzung m\u00f6glicher Risiken und eventueller Restrukturierungsprozesse zur Verringerung der Angriffsfl\u00e4che.<\/p>\n<p>Dar\u00fcber hinaus ist nicht auszuschlie\u00dfen, dass Malware-Akteure legitime Fernwartungssoftware als Angriffstool verwenden, um bestehende Schutzl\u00f6sungen zu t\u00e4uschen.<\/p>\n<h2>Worin besteht das Problem?<\/h2>\n<p>Nicht alle Spezialisten scheinen die Gefahren von RATs in industriellen Netzwerken zu verstehen. Folgende Erkenntnisse haben unsere Kollegen \u00fcber die RATs in den von ihnen untersuchten Systemen gemacht:<\/p>\n<ul>\n<li>Oftmals wurden Systemprivilegien verwendet;<\/li>\n<li>Administratoren hatten nicht die M\u00f6glichkeit, den Zugriff auf das System einzuschr\u00e4nken;<\/li>\n<li>Es wurde keine Multifaktor-Authentifizierung verwendet;<\/li>\n<li>Es fand keine Protokollierung der Aktionen der Kunden statt;<\/li>\n<li>Sie wiesen Schwachstellen auf \u2013 darunter befanden sich auch bereits bekannte Sicherheitsl\u00fccken (d. h., Unternehmen aktualisieren ihre RATs nicht);<\/li>\n<li>Sie haben Relay-Server verwendet, die die Umgehung von NAT- und lokalen Firewall-Einschr\u00e4nkungen erm\u00f6glicht haben;<\/li>\n<li>In den meisten F\u00e4llen wurden Standard-Passw\u00f6rter oder fest kodierte Anmeldedaten verwendet.<\/li>\n<\/ul>\n<p>In einigen F\u00e4llen wussten die Sicherheitsteams schlichtweg nichts von der Existenz der RATs; aus diesem Grund wurde dieser Angriffsvektor oftmals nicht ber\u00fccksichtigt.<\/p>\n<p>Das Hauptproblem besteht jedoch darin, dass RAT-Angriffe sehr schwer von normalen Aktivit\u00e4ten zu unterscheiden sind. Bei der Analyse von ICS-Vorf\u00e4llen sind unsere CERT-Experten auf viele F\u00e4lle gesto\u00dfen, bei denen Cyberkriminelle Fernwartungssoftware f\u00fcr Angriffe verwendet haben.<\/p>\n<h2>So k\u00f6nnen Risiken minimiert werden<\/h2>\n<p>Um das Risiko eines Cybervorfalls zu minimieren, empfehlen unsere Experten des Kaspersky Lab ICS CERT Folgendes:<\/p>\n<ul>\n<li>Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und\u00a0Tools zur Fernwartung \u00fcberpr\u00fcfen. Alle RATs, die nicht notwendigerweise\u00a0im industriellen Prozess ben\u00f6tigt werden, sollten entfernt werden.<\/li>\n<li>RATs, die zusammen mit ICS-Software installiert wurden, m\u00fcssen\u00a0identifiziert und abgeschaltet werden, sofern sie im industriellen\u00a0Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man\u00a0in der entsprechenden Software-Dokumentation.<\/li>\n<li>Jeder notwendige Fernzugriff sollte umfassend \u00fcberwacht und\u00a0protokolliert werden. Die M\u00f6glichkeit des Fernzugriffs sollte\u00a0standardm\u00e4\u00dfig abgestellt sein und nur bei Bedarf f\u00fcr einen begrenzten\u00a0Zeitraum gew\u00e4hrt werden.<\/li>\n<\/ul>\n<p>Den vollst\u00e4ndigen Bericht \u201eThreats posed by using RATs in ICS\u201c von\u00a0Kaspersky Lab ICS CERT finden Sie <a href=\"https:\/\/securelist.com\/threats-posed-by-using-rats-in-ics\/88011\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Weitere Analysen, Warnungen und Ratschl\u00e4ge finden Sie auf der Website von <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2018\/09\/20\/threats-posed-by-using-rats-in-ics\/?_ga=2.29840255.1132467157.1537254968-1171819731.1512652850\" target=\"_blank\" rel=\"noopener\">Kaspersky Lab ICS CERT<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>RATs in der ICS-Umgebung sind ein zus\u00e4tzlicher, nicht unbedingt gerechtfertigter Risikofaktor.<\/p>\n","protected":false},"author":700,"featured_media":17755,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2188,3110,1871,1606],"class_list":{"0":"post-17754","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ics","9":"tag-industrielle-netzwerke","10":"tag-rat","11":"tag-scada"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/rats-in-ics\/17754\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/rats-in-ics\/14305\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/rats-in-ics\/11994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/rats-in-ics\/16286\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/rats-in-ics\/14464\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/rats-in-ics\/13420\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/rats-in-ics\/17008\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/rats-in-ics\/16305\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/rats-in-ics\/21725\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/rats-in-ics\/23949\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/rats-in-ics\/11349\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/rats-in-ics\/9749\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/rats-in-ics\/9938\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/rats-in-ics\/21643\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/rats-in-ics\/17677\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/rats-in-ics\/21234\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/rats-in-ics\/21241\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=17754"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17754\/revisions"}],"predecessor-version":[{"id":17762,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/17754\/revisions\/17762"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/17755"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=17754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=17754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=17754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}