Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 7 Min.

Ransomware bedroht immer mehr Industrieanlagen


Computerwoche - epaper ⋅ Ausgabe 14/2020 vom 20.03.2020

Die Attacken mit Ransomware werden raffinierter. Immer öfter schlägt die Malware von den IT-Netzen bis auf die Operational-Technology (OT) durch. Werden Produktionsanlagen manipuliert oder ganz stillgelegt, können die Schäden immens sein.


Artikelbild für den Artikel "Ransomware bedroht immer mehr Industrieanlagen" aus der Ausgabe 14/2020 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: Christian Lagerek/Shutterstock

Was haben ein US-amerikanischer Energieversorger, die Universität im niederländischen Maastricht und australische Schafzüchter gemeinsam? Alle waren zuletzt Opfer von Ransomware-Attacken. In Down Under hat es Talman Software erwischt, über deren Plattform rund drei Viertel der australischen Schafwolle gehandelt werden. Acht Millionen ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 14/2020 von Apple dreht bei MacBook Air und iPad Pro an der Leistungsschraube. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Apple dreht bei MacBook Air und iPad Pro an der Leistungsschraube
Titelbild der Ausgabe 14/2020 von Mit Handy-Ortung gegen die Ausbreitung des Coronavirus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mit Handy-Ortung gegen die Ausbreitung des Coronavirus
Titelbild der Ausgabe 14/2020 von Mehr Internet-Verkehr durch Streaming - nicht durch Homeoffice-Arbeit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mehr Internet-Verkehr durch Streaming - nicht durch Homeoffice-Arbeit
Titelbild der Ausgabe 14/2020 von 5G - der schnelle Mobilfunk birgt Sicherheitsrisiken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
5G - der schnelle Mobilfunk birgt Sicherheitsrisiken
Titelbild der Ausgabe 14/2020 von HP Elite Dragonfly im Test - Business-Laptop im Freizeitdress. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
HP Elite Dragonfly im Test - Business-Laptop im Freizeitdress
Titelbild der Ausgabe 14/2020 von Das Satelliten-Internet steht vor einem Comeback. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Das Satelliten-Internet steht vor einem Comeback
Vorheriger Artikel
Mehr Internet-Verkehr durch Streaming - nicht durch Homeoffice-Ar…
aus dieser Ausgabe
Nächster Artikel 5G - der schnelle Mobilfunk birgt Sicherheitsrisiken
aus dieser Ausgabe

... australische Dollar forderten die Erpresser, um die von ihrer Malware verschlüsselten Daten wieder zugänglich zu machen. Die Verantwortlichen von Talman lehnten ab und machten sich stattdessen daran, ihre Systeme selbst wiederherzustellen. Leidtragende waren auch die Schafzüchter. Da die Handelsplattform über Tage stillstand, häufte sich in den Lagern ein gewaltiger Überschuss an Wollballen an. Die Folge: Als die Systeme wieder liefen, rutschten erst einmal die Wollpreise in den Keller.

Die Universität Maastricht wählte einen anderen, aus ihrer Sicht pragmatischeren Weg. Die Verantwortlichen zahlten ein Lösegeld in Höhe von etwa 200.000 Euro, um ihre nach einem erfolgreichen Phishing-Mail-Angriff verschlüsselten Daten wiederzubekommen. Hätte man sich geweigert, wäre der wirtschaftliche Schaden noch höher gewesen, hieß es hinter vorgehaltener Hand. Einen Großteil der betroffenen Infrastruktur hätte man gar nicht oder nur mit großem Aufwand wiederherstellen können.

Dass die Cyber-Security and Infrastructure Security Agency (CISA), eine Abteilung der US-amerikanischen Homeland Security Organisation einen Cyber-Vorfall in einer kritischen Intrastruktur öffentlich macht, ist ungewöhnlich. Bei einem namentlich nicht genannten Betreiber von Gas-Pipelines in den USA hatte ein kompromittierter Link in einer E-Mail der Malware Tor und Tür geöffnet. Von den IT-Systemen fand der Schadcode seinen Weg in die Operational Technology (OT) und begann dort, Daten zu verschlüsseln und ganze Systeme, beispielsweise für das Monitoring der Gas-Pipelines, lahmzulegen.

Die Betreiber hätten nie die Kontrolle über ihre Anlagen verloren, wiegelte die US-Sicherheitsbehörde ab. Auch seien keine Programmable Logic Controller (PLCs) betroffen gewesen. Durch das Verschlüsseln von Daten war der Betreiber jedoch teilweise nicht mehr in der Lage, zu überwachen, was in den Anlagen passiert. Das Unternehmen habe sicherheitshalber für zwei Tage Teile seines Gasnetzes heruntergefahren, um die Systeme wiederherzustellen.

Aus Ransomware wird Disruptionware

Nach Angaben der CISAExperten hat der Energieversorger bei der Segmentierung seiner IT-und OTNetze geschlampt. Außerdem hätte es keinen Notfallplan für eine solche Situation gegeben. Die USSicherheitsbehörden nehmen diesen Vorfall allem Anschein nach sehr ernst, wie die überraschende Veröffentlichung zeigt. Die Angreifer hätten für ihre Attacke ganz gewöhnliche Ransomware verwendet, hieß es. Andere KRITISBetreiber sollen offensichtlich aufgefordert werden, genauer auf ihre Sicherheits-und Präventionsmaßnahmen zu achten.

Nur weil die Malware auf klassische Windows-Systeme ausgelegt war, sei kein größerer Schaden entstanden, konstatieren Security-Experten. Mit mehr OTKnowhow wäre es demnach möglich gewesen, auch die PLCs zu korrumpieren, die direkt für die Steuerung der Gasanlagen verwendet werden. Insider sprechen in diesem Zusammenhang von einem stärkeren Aufkommen eines neuen Typs von Schädlingen, der „Disruptionware“.

Sorgen bereitet den Spezialisten eine erst vor wenigen Wochen entdeckte Malware. „Snake“, beziehungsweise rückwärts buchstabiert „Ekans“, greift Industrial Control Systems (ICS) an. Der Schädling, der von Experten der Sentinel Labs und Anbietern wie Dragos und Forescout näher untersucht wurde, verschlüsselt wie eine klassische Ransomware Daten auf befallenen Systemen. Darüber hinaus kann Snake/Ekans aber auch zahlreiche Softwareprozesse auf Steuerungssystemen beenden. Waren die Forscher zunächst von 64 industriespezifischen Prozessen ausgegangen, zeichnet sich mittlerweile ab, dass noch weitaus mehr Prozesse betroffen sein könnten.

Snake/Ekans enthält alle Merkmale von Standard-Ransomware, aber es gibt einige Anzeichen dafür, dass die Malware noch aggressiver und komplexer ist, heißt es in einer Analyse von Sentinel Labs. Der Schädling sei in der Open-Source-Programmiersprache „Golang“ geschrieben, die zu einem gewissen Grad auch plattformübergreifend funktioniere. Daher würde diese Sprache auch gern für Schadcode-Dienste wie RansomwareasaService (RaaS) verwendet, warnen die Experten vor einer zügigen Verbreitung der Malware.

Angriffe auf Industrieanlagen explodieren

Wie massiv sich zuletzt die Bedrohungssituation verschärft hat, zeigte der jüngst vorgestellte „XForce Threat Intelligence Index 2020“ von IBM. Demzufolge haben 2019 die Angriffe auf die OT in Produktionsanlagen im Vergleich zum Vorjahr um 2000 Prozent zugenommen. Die Hacker konzentrieren sich dabei unter anderem auf bekannte ICS-Schwachstellen wie zum Beispiel SCADA-Steuerungssysteme. Zudem wurden vermehrt BruteForceAttacken gefahren, um in die Systeme einzudringen.

Gerade das Verschmelzen von IT und OT habe das Risiko erhöht und Angreifern zusätzliche Möglichkeiten eröffnet. Auch IBM berichtet von einer Attacke auf ein Produktionsunternehmen, die mit einer Infiltration von Ransomware in der klassischen ITLandschaft startete, sich dann aber mit zusätzlichem Schadcode auch auf die OT ausweitete. In der Folge waren die Produktionsanlagen des betroffenen Unternehmens lahmgelegt.

Steueranlagen mit längst bekannten Schwachstellen

Viele OTSysteme sind aus Sicht der IBMExperten anfällig, weil sie auf Legacy-Hardware und -Software basieren, die oft seit langem bekannte Schwachstellen und Sicherheitslücken mit sich herumschleppen und nicht mehr gepatcht werden. Sind die Hacker erst einmal in das Netz eingedrungen, sei es für sie oft ein Leichtes, sich zur OT durchzuschlagen und dort massive Schäden anzurichten, warnt der Sicherheitsbericht. IBM geht davon aus, dass die Angriffe auf Industrieanlagen im laufenden Jahr weltweit weiter zunehmen werden. Allein 2019 seien über 200 neue Common Vulnerabilities and Exposures (CVEs) in den Kontrollsystemen von Produktionsanlagen hinzugekommen.

Viele OTSysteme sind aus Sicht der IBMExperten anfällig, weil sie auf Legacy-Hardware und -Software basieren, die oft seit langem bekannte Schwachstellen und Sicherheitslücken mit sich herumschleppen und nicht mehr gepatcht werden. Sind die Hacker erst einmal in das Netz eingedrungen, sei es für sie oft ein Leichtes, sich zur OT durchzuschlagen und dort massive Schäden anzurichten, warnt der Sicherheitsbericht. IBM geht davon aus, dass die Angriffe auf Industrieanlagen im laufenden Jahr weltweit weiter zunehmen werden. Allein 2019 seien über 200 neue Common Vulnerabilities and Exposures (CVEs) in den Kontrollsystemen von Produktionsanlagen hinzugekommen. automatisiert Netze scannen und versuchen, massenhaft IoT-Geräte mit Schadcode zu infiltrieren. Ist das Device geentert, wird Malware nachgeladen, die das betroffene Gerät in aller Regel in ein Botnet integriert. Meist erwischt es IoT-Devices, die nur mit schwachen Passwörtern gesichert sind.

Insgesamt sieht IBM einen Trend, dass Angriffe mehr und mehr darauf ausgelegt sind, Zerstörungen in den betroffenen IT-Systemen anzurichten. Dabei werden oft systemkritische Daten gelöscht oder überschrieben. Derartige Attacken hätten im vergangenen Jahr an Zahl und Wucht zugenommen, heißt es in der X-Force-Untersuchung. Üblicherweise agierten vor allem staatliche Hacker mit destruktiven Absichten. Allerdings sei zuletzt zu beobachten gewesen, dass auch Cyberkriminelle, die versuchten per Datenverschlüsselung Lösegeld zu erpressen, ihre Ransomware zunehmend mit zerstörerischen Komponenten ausstatteten.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte jüngst fest, dass sich die Bedrohungslage in Sachen Ransomware deutlich verschärft habe. Die Täter seien sich der ganzen Bandbreite ihrer Möglichkeiten bewusst, und die Geschäftsmodelle würden sich gegenseitig inspirieren. Waren in bisherigen Ransomware-as-a-Service-Angeboten auch schon verschiedene Softwareanteile wie beispielsweise Exploit-Kits oder unterschiedliche kryptografische Algorithmen vereint, so hat diese Form der Modularisierung jetzt einen Großteil der Malware-Branche erreicht, schreiben die BSI-Experten.

„Emotet“ sei ein Beispiel für diese Entwicklung. Die Funktionen dieser Schadsoftware, die ursprünglich als Banking-Trojaner gestartet war, wurden sukzessive ausgebaut. Neben „klassischen“ Malware-Binaries werde nun auch Ransomware nachgeladen. In befallenen Unternehmen kundschafte das Schadprogramm die Netzwerkumgebung aus und führe automatisierte Brute-Force-Methoden durch, um Zugangsdaten der Nutzer zu erbeuten. Damit sei Emotet in der Lage, sich lateral im Netzwerk auszubreiten und zu bewegen. Was der Schädling nicht selbst erspähen könne, werde über nachgeladene Module erledigt. Das BSI warnt deshalb: „Da sich die Module stetig weiterentwickeln und einer ebenso wachsenden Sammlung an Schwachstellen angepasst werden, stellt sich die davon ausgehende Bedrohung als exponentiell wachsend dar.“

Kein Lösegeld zahlen!

Ransomware-Vorfälle fördern Versäumnisse in der Prävention deutlich zutage. Die BSI-Experten nennen unter anderem schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Software-Backups, schwache Administrator-Passworte und fehlende Netzsegmentierung. Eine zentrale Rolle spiele das Verhalten der Mitarbeiter. Einige Angriffe seien mittlerweile durch Nutzung legitimer Namen und Mails so gut getarnt, dass sie kaum noch zu erkennen seien, warnt das BSI. Problematisch sei auch, dass in vielen Fällen die Opfer das geforderte Lösegeld zahlen würden. In einem Appell fordern der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städte- und Gemeindebund, das Bundeskriminalamt und das BSI von Ransomware betroffene Kommunalverwaltungen auf, sich grundsätzlich nicht darauf einzulassen. „Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe“, heißt es in einer Erklärung. Stattdessen sollte jeder Erpressungsversuch zur Anzeige gebracht und das jeweilige Landes-CERT oder das BSI informiert werden.

Viel zu befürchten haben die Cyber-Kriminellen allerdings nicht. Wenn es den Behörden überhaupt gelingt, die Täter zu identifizieren, operieren die Hacker überwiegend von solchen Ländern aus, in denen eine Strafverfolgung von Deutschland aus kaum oder nur schwer möglich ist.

Hacker bauen immer raffiniertere Malware. Hat der Schadcode erst einmal seinen Weg in die IT-Netze der Unternehmen gefunden, lädt er je nach Bedarf weitere Schädlinge nach und kann sich Schritt für Schritt bis in die Operational Technology (OT) der Produktionsanlagen durchschlagen und dort die Industrial Control Systems (ICS) manipulieren oder gar ganz lahmlegen.

Milliarden-Schäden für deutsche Wirtschaft

Drei Viertel aller deutschen Unternehmen waren in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen, stellt der Branchenverband Bitkom in seiner Studie „Spionage, Sabotage und Datendiebstahl - Wirtschaftsschutz in der vernetzten Welt“ fest. Damit hätten Umfang und Qualität der Angriffe auf Unternehmen dramatisch zugenommen. Zum Vergleich: 2015 und 2017 war nur gut jedes zweite Unternehmen betroffen. Drei von vier der über tausend befragten Betriebe gab an, dass die Angriffe zuletzt „stark“ (31 Prozent) beziehungsweise „eher“ (43 Prozent) zugenommen haben. Über 80 Prozent gehen davon aus, dass sich die Sicherheitslage in den kommenden Jahren noch weiter verschärfen wird.

Drei Viertel aller deutschen Unternehmen waren in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen, stellt der Branchenverband Bitkom in seiner Studie „Spionage, Sabotage und Datendiebstahl - Wirtschaftsschutz in der vernetzten Welt“ fest. Damit hätten Umfang und Qualität der Angriffe auf Unternehmen dramatisch zugenommen. Zum Vergleich: 2015 und 2017 war nur gut jedes zweite Unternehmen betroffen. Drei von vier der über tausend befragten Betriebe gab an, dass die Angriffe zuletzt „stark“ (31 Prozent) beziehungsweise „eher“ (43 Prozent) zugenommen haben. Über 80 Prozent gehen davon aus, dass sich die Sicherheitslage in den kommenden Jahren noch weiter verschärfen wird.