Die russische IT-Security-Spezialistin Kaspersky hat in ihrem neuen Bericht "Kaspersky Lab ICS Cert Report for H2 2016" einen starken Anstieg von Angriffen auf Industrie-Computer im zweiten Halbjahr 2016 ausgewiesen. Demnach stieg der Anteil attackierter Industrierechner von 17 Prozent im Juli 2016 auf 24 Prozent im Dezember 2016, so Kaspersky. Vor allem Internet-Verbindungen, Wechseldatenträger sowie E-Mails mit infizierten Anhängen und eingebetteten Skripts stellen laut dem Bericht die grösste Gefahr für Industrie-PCs dar.
Gerade durch die Integration von Technologien und Netzwerken im Rahmen von Industrie 4.0 rücken Industrieunternehmen nach Meinung des IT-Security-Anbieters vermehrt in den Fokus von Cyberkriminellen. Diese seien durch das Ausnutzen von Schwachstellen von im Industrieumfeld eingesetzter Software und Netzwerken in der Lage, Informationen über Produktionsprozesse zu stehlen und sogar die Produktion lahmzulegen. "Unsere Analyse zeigt, dass Cybersicherheitsansätze, bei denen technologische Netzwerke vom Internet isoliert werden, heutzutage nicht mehr funktionieren", sagt Evgeny Goncharov, Head of Critical Infrastructure Defense Department bei Kaspersky Lab. „Der Anstieg von Cyberbedrohungen für kritische Infrastruktursysteme erfordert entsprechende Malware-Schutzmassnahmen für industrielle Kontrollsysteme – und zwar innerhalb und ausserhalb der Netzwerkperimeter. Darüber hinaus sollten sich Unternehmen im industriellen Umfeld bewusstmachen, dass eine Attacke fast immer vom schwächsten Security-Glied ausgeht – dem Menschen."
Auch legt die vom Kaspersky Cert (Computer Emergency Response Team) durchgeführte Studie über Bedrohungen für industrielle Kontrollsysteme (ICS, Industrial Control Systems) dar, dass die Gefahren für Industrierechner steigen. Im zweiten Halbjahr 2016 habe man bei 22 Prozent der im industriellen Umfeld eingesetzten Computer den Download von Schädlingen und den Zugang zu Phishing-Seiten blockiert. Somit war laut der Untersuchung jede fünfte Maschine einer Infektion oder einer Kompromittierung von Zugangsdaten über das Internet ausgesetzt.
Zwar haben und benötigen Desktop-PCs von Ingenieuren und Maschinenarbeitern, die ICS verwenden, im Normalfall keinen direkten Zugang zum Internet, so Kasperksy, jedoch gibt es Nutzer, die gleichzeitig Zugang zum Internet und zum industriellen Kontrollsystem haben, etwa Netzwerkadministratoren, Entwickler, Integratoren industrieller Automationssysteme und Drittanbieter. Diese haben direkt oder aus der Ferne Zugang zu Netzwerken und können sich zudem mit dem Internet verbinden, weil sie nicht an die strikten Einschränkungen an ein isoliertes Industrienetzwerk gebunden sind.
Neben dem Internet stellen laut der Studie auch Wechseldatenträger ein grosses Problem dar. Nach Angaben von Kaspersky habe man im Untersuchungszeitraum auf 10,9 Prozent der Computer, auf denen ICS-Software installiert war oder die mit solchen Rechnern verbunden waren, nach einer Wechseldatenträgerverbindung Malware-Spuren gefunden.
Darüber hinaus habe man bei 8,1 Prozent der analysierten Industriecomputer gefährliche E-Mail-Anhänge und in E-Mails eingebettete Skripte blockiert. Die Angreifer verstecken die Malware meistens in Office-Dokumenten (MS Office oder PDF) und nutzen Social-Engineering-Techniken, um die Mitarbeiter zu überzeugen, die kompromittierten Dateien herunterzuladen und die Malware auf industriellen Computern auszuführen.
Dabei setzen die Angreifer laut Kaspersky Spyware, Backdoors, Keylogger, Finanz-Malware, Ransomware und Wiper-Programme ein. Die Schädlinge seien zudem in der Lage, die Kontrolle eines Unternehmens auf sein ICS-System zu beeinflussen. Auch sei es ihnen möglich, zielgerichtete Angriffe durchzuführen oder die Fernkontrolle zu erlangen.
Um ICS-Umgebungen adäquat vor Angriffen zu schützen, empfehlen die Sicherheitsexperten von Kaspersky folgende Massnahmen:
- Durchführung von Sicherheitsüberprüfungen (Security Assessements) zur Identifizierung und Beseitigung von Sicherheitsschlupflöchern
- Einbeziehung externer Informationsquellen, um künftige Gefahren zu prognostizieren und entsprechende Verteidigungsmassnahmen durchzuführen
- Mit Sicherheitstrainings für Mitarbeiter das Sicherheitsniveau in Industrieunternehmen erhöhen
- Schutz inner- und ausserhalb der Netzwerkperimeter: Eine zeitgemässe Sicherheitsstrategie muss entsprechende Ressourcen zur Angriffsentdeckung und -verteidigung bereitstellen, um Angriffe blockieren zu können, bevor ein kritisches System betroffen ist
- Einsatz fortschrittlicher Schutzmethoden, beispielsweise mittels Default-Deny-Szenarien für Scada-Systeme. Regelmässige Integrationsüberprüfungen für Kontrollsysteme und spezialisierte Netzwerküberwachung können die Unternehmenssicherheit erhöhen, obwohl verwundbare Systeme darin aus Support-Gründen nicht mehr gepatcht werden können.
Die komplette Studie: http://ics-cert.kaspersky.com/.
