Bedrohung aus dem Ausland Angriff auf die Ukraine: Risiken für deutsche Industrieunternehmen

Ein Gastbeitrag von Tim Berghoff*

Noch sind keine Attacken auf deutsche Industrieanlagen bekannt, die direkt auf den Krieg in der Ukraine zurückzuführen sind. Um das Bedrohungsrisiko einschätzen und Sicherheitsmaßnahmen ergreifen zu können, ist es aber notwendig, sich der Gefahrenquellen bewusst sein.

Anbieter zum Thema

Cyberkriminelle wissen Verunsicherungen grundsätzlich geschickt für sich zu nutzen, da sie mit menschlichen Emotionen spielen.
Cyberkriminelle wissen Verunsicherungen grundsätzlich geschickt für sich zu nutzen, da sie mit menschlichen Emotionen spielen.
(Bild: G Data)

Nach Informationen von G Data versuchen Angreifer, mutmaßlich aus Russland und vermutlich mit Billigung offizieller russischer Stellen, ukrainische Behörden, Medien und Banken zu attackieren. Damit sollte das Land während des Einmarschs destabilisiert und die Einwohner verunsichert werden. In Deutschland berichten einige Medienhäuser der Mediengruppen Funke und Ippen, dass ihre Berichterstattung zum Ukrainekrieg zu Angriffen von Bots führte. Vermutlich, um die Kommentarspalten automatisiert zu kapern oder die Erreichbarkeit der Webseiten zu behindern. Diese Vorfälle zeigen jedoch, wie schnell Unternehmen im Visier von Angreifern landen können.

Damit solche Bedrohungen abgewehrt werden können, müssen Unternehmen und ihre IT-Sicherheitsverantwortlichen sich beispielsweise auch der Eigentümerstruktur ihres Unternehmens bewusst sein. Hacker – auch solche, die meinen, im Auftrag einer guten Sache unterwegs zu sein – suchen sich bewusst Unternehmen als Ziele aus, die Verbindungen zu den „Bösen“ haben. Dazu können zum Beispiel Konzerne zählen, die als Menschenrechtsverletzer oder Umweltzerstörer bekannt sind oder, die aus Ländern stammen, die Kriege verursachen.

Zu den „Bösen“ zählen natürlich auch Personen, die als Vertreter solcher Konzerne oder Staaten, in denen sie beheimatet sind, eine exponierte Rolle einnehmen, womöglich noch in einer führenden Position eines Beteiligungsunternehmens. Auch deutsche Unternehmen können damit plötzlich in das Visier von Hackern geraten, obwohl sie sich nicht als unmittelbar Betroffene fühlen. Ein Beispiel sind die Angriffe auf den russischen Energiekonzern Rosneft, der an drei deutschen Raffinerien beteiligt ist, die damit indirekt ins Visier der Hacker geraten sind.

Altbekannte Blaupause

Auch in einem anderen Fall Anfang März 2022 waren Anlagen in Deutschland betroffen: Die Firma Enercon hatte nach einem Ausfall des Satelliten-Internet-Systems plötzlich keinen Zugriff mehr auf 5.800 Windkraftanlagen. Gefahr für Menschen und die Anlagen bestand zunächst nicht, da jede Anlage sich selbst auch autonom und automatisiert steuern kann. Schnell stand der Verdacht eines gezielten Hackerangriffs im Raum, denn die von Enercon genutzte Satellitentechnik wurde einigen Quellen zufolge auch vom ukrainischen Militär benutzt. Der Fall zeigt also, dass Unternehmen auch Opfer einer Cyberattacke werden können, obwohl sie gar nicht das beabsichtige Ziel waren. So etwas nennt man Kollateralschaden.

Auch wenn der Vergleich ein wenig abgedroschen ist und ein bisschen hinkt: Beispielhaft kann man sich für potenzielle Angriffe immer noch am Computerwurm Stuxnet orientieren, der im Jahr 2010, vermutlich von professionellen Programmierern im Auftrag von Israel und den USA, zum Angriff auf iranische Atomanlagen, entwickelt wurde. Er griff damals gezielt die Kontrollsysteme für Simatic S7 Anlagensteuerungen an, allerdings wurde die Schadroutine nur auf solchen Systemen aktiv, an die ein spezieller Typ von Zentrifuge angeschlossen waren. Vor dem Hintergrund des Ukraine-Kriegs, bekommen wir erneut deutlich vor Augen geführt: Auch Industrieanlagen sind dem Risiko eines Angriffs von kriminellen Hackern ausgesetzt. Im Falle eines Angriffs kann sich niemand darauf verlassen, dass nur bestimmte Konfigurationen zum Ziel werden. Gerade aktuell verhalten sich viele selbst ernannte Cyberkrieger und Kriminelle eher wie die Axt im Walde, denn wie das Skalpell im Operationssaal.

Für einfache Attacken und Sabotageakte reichen am PC erworbene Internet- und Programmierkenntnisse aus. Tiefgehendes Spezialwissen über Steuerungssoftware oder die Funktionsweise komplexer Anlagen ist oft gar nicht erforderlich, um Maschinen mit einem gezielten Angriff zu stoppen oder gar zu zerstören. Wie in dem Roman Blackout von Marc Elsberg so eindringlich beschrieben, reicht es für gravierende Auswirkungen schon aus, eigentlich dumme Sensoren oder Aktoren zu stören. Sie zu finden ist dank des Internets ein Kinderspiel. Mit speziellen Suchmaschinen lassen sich Geräte identifizieren, die via Internet zugänglich sind. Zwar sind sie in den meisten Fällen geschützt, allerdings ist das Ziel eines Angriffs damit schon identifizierbar.

Fluch und Segen der Digitalisierung von OT

Fluch und Segen der Digitalisierung liegen beim Thema IT- und OT-Sicherheit also eng nebeneinander. Früher war die Operational Technology, also die Betriebstechnik, eine geschlossene Welt. Sie war sowohl beschränkt auf wenige Experten, die Software zur Maschinen-, Anlagen- und Prozesssteuerung programmierten und diejenigen, die sie bedienen konnten, als auch beschränkt auf den jeweiligen Produktions- oder Maschinenstandort. Im Zeitalter des Internets, von IoT und Industrie 4.0, sind sich jedoch IT und OT nähergekommen und das Internet wurde das Tor zu Welt - nicht nur aus dem Unternehmen hinaus, sondern auch in das Unternehmen hinein. Mit der Verbreitung von klassischer PC-Technologie und Internet-Standards immer weiter in die Maschinen, Anlagen und Prozesse hinein, konnten Cyberkriminelle aus dem Internet plötzlich auch auf Sensoren, Aktoren und ganze Maschinen zugreifen. Um als Unternehmen die Bedrohungslage für sich einschätzen zu können, sollte man wissen, wo die Risiken liegen und diese klar benennen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Einfallstor Verwaltung

Am weitesten fortgeschritten ist die Digitalisierung von Industrieunternehmen traditionell in der Verwaltung. Klassische PCs in der Buchhaltung, im Personalwesen oder in Vertrieb und Marketing, mit den gängigen Office-Anwendungen sind bei unzureichendem Schutz und vernachlässigten Updates das Einfallstor für Kriminelle in die Unternehmens-IT. Für die steigende Zahl der Attacken sind vor allem Sicherheitslücken in Anwendungen wie Microsoft Exchange verantwortlich. Durch die hohe Verbreitung dieser Systeme ist es wahrscheinlich, dass die Angreifer einen ungepatchten Exchange-Server finden, den sie für eine Attacke nutzen können.

Begünstigt werden Attacken außerdem dadurch, dass viele Mitarbeiter aus dem Homeoffice arbeiten. Schlecht verwaltete Endgeräte mit ungepatchten Betriebssystemen und Anwendungen stellen eine Einladung für Cyberkriminelle dar. Gleiches gilt für geöffnete und mangelhaft gesicherte Firmeninfrastrukturen, die Anwendern von zu Hause aus Zugriff auf Firmendaten geben sollen. Nach zwei Jahren Pandemie ist es höchste Zeit, Workarounds und Provisorien durch professionelle und sichere Zugangslösungen für das Homeoffice zu ersetzen.

Eine unbequeme Realität in vielen Unternehmensnetzen ist auch, dass einzelne Bereiche nicht ausreichend voneinander getrennt sind. Für Angreifer ist es vielfach ein Leichtes, von einem PC der Personalabteilung mit wenigen Umwegen bis zur Produktionssteuerung zu kommen. Dabei gibt es gar keinen Grund, warum etwas so Kritisches wie eine Produktionssteuerung überhaupt auf irgendeinem Weg von einer Abteilung aus erreichbar ist, die diese Zugangsmöglichkeit gar nicht benötigen.

Kriege und Katastrophen locken Kriminelle an

Grundsätzlich leben wir in einer Zeitenwende, wie es Bundeskanzler Olaf Scholz erst kürzlich formulierte. Das bedeutet Verunsicherung: zunächst die gefühlt nicht enden wollende Pandemie, dann der Krieg Russlands gegen die Ukraine, der praktisch vor unserer Haustüre stattfindet, und die daraus resultierenden Flüchtlingsströme. Cyberkriminelle wissen Verunsicherungen grundsätzlich geschickt für sich zu nutzen, da sie mit menschlichen Emotionen spielen.

Sie machen Angebote, die helfen sollen, die Verunsicherung zu verringern: Schutz vor Kriegsfolgen, Unterstützungsangebote für Flüchtlinge, alternative Geldanlagen oder günstige Kredite. Alles, was Menschen Sicherheit und Hilfe verspricht, nutzt der Angreifer, um einen erfolgreichen Angriff auf die IT zu ermöglichen. Um sich oder Bedürftigen Gutes zu tun, klicken arglose PC-Nutzer in der Verwaltung auf einen mit Malware verseuchten Anhang oder werden auf eine Webseite geleitet, die einen Trojaner herunterladen, und schon ist der Einbruch in die IT gelungen.

Langweilig, aber Pflicht: Updates und Patches

Um ein Überspringen von Attacken auf die PC-Infrastruktur auf die OT-Seite zu verhindern, können Unternehmen einige Sicherungsmaßnahmen ergreifen. Am besten wäre es, die gute alte Zeit wieder herzustellen, mit der technologisch bedingten, scharfen Trennung zwischen OT und IT: hier die PCs, dort die Steuerungsrechner und keine Verbindung dazwischen oder gar zum Internet.

Vor allem bei großen Industriemaschinen ist dieses scheinbar so einfache Szenario heute wesentlich schwieriger umzusetzen als gedacht. Viele Maschinen sind nicht mehr im Eigentum des Betreibers, sondern sind gemietet, geleast oder arbeiten im Pay-per-Use-Modell. Dafür behält der Eigentümer der Maschine oft via Internet im Zugriff, sei es um die Laufzeiten und den Output zu beobachten oder im Rahmen von Predictive-Maintenance-Verträgen. Diese übernehmen neben dem Hersteller oft auch externe Dienstleister, die dann ebenfalls Fernzugriff auf die Maschinen benötigen. Über potenziell kompromittierte PCs der Externen oder Angriffe auf die Verbindungen lässt sich theoretisch von außerhalb Zugriff auf Steuerungen erlangen.

Verhindert werden kann das ausschließlich, wenn die Warnungen und Hinweise des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI) und der IT-Sicherheitsanbieter bei IT und OT Beachtung finden: Sicherheitsupdates und Patches der Hersteller müssen zeitnah eingespielt werden – auch außerhalb der üblichen Wartungsintervalle bei Industriemaschinen, also nicht nur zu den Betriebsferien im Sommer und zu Weihnachten. Für wichtige Notfall-Updates sollten nach Möglichkeit auch Prozeduren vorgesehen werden, diese besonders schnell zu aktivieren.

Altgeräte aus dem Netz verbannen

Manchmal gibt es aber gar keine Updates mehr. Maschinen haben üblicherweise deutlich längere Laufzeiten als Computerhardware. Eine Neuinvestition lohnt sich erst, wenn sie komplett abgeschrieben sind. Das birgt aber auch die Gefahr, dass der Hersteller die Steuerungssoftware nicht mehr pflegt und das zugrunde liegende Betriebssystem veraltet ist. Das führt zu einem Sicherheitsrisiko. Maschinen, die noch aus der Zeit stammten, bevor das Internet allumfassend wurde, sowie solche, die keine Sicherheitsupdates mehr erhalten, sollten unbedingt vom Rest des Netzes isoliert werden. So kann ein Angriff auf die Büro-IT nicht bis in die Produktion durchschlagen.

OT-Sicherheit noch nicht selbstverständlich

Heutzutage wird OT-Sicherheit von den Anbietern und Anlagenherstellern grundsätzlich mitgedacht. Das zeigen die Bestrebungen von Entwicklern von Steuerungssoftware, etwa Verschlüsselungstechnologien einzuführen oder Zertifikate, mit denen Absender von Steuerbefehlen und Empfänger ihre Echtheit bestätigen. Höhere Komplexität und proprietäre Entwicklungen verhindern jedoch, dass sich ein OT-Security-Markt, vergleichbar mit IT-Security, entwickelt. Bis OT-Sicherheit in Unternehmen flächendeckend und homogen präsent ist, ist es aufgrund der langen Innovationszyklen noch ein weiter Weg. Umso wichtiger ist es, dass Unternehmen die hier vorgestellten Maßnahmen umsetzen und regelmäßig überprüfen.

Generell wird empfohlen, in bestimmten Abständen zu überprüfen, ob alle Geräte und Maschinen, die online sind, auch online sein müssen. Manchmal können, beispielsweise nach erfolgreich abgeschlossenen Updates oder Wartungsaufgaben, Online-Verbindungen wieder geschlossen werden. Ebenfalls sinnvoll ist es, vorhandene Wartungszugänge engmaschig zu kontrollieren. Denn dort, wo Wartungszugänge dauerhaft geöffnet und nicht ausreichend geschützt und überwacht werden, ist es nur eine Frage der Zeit, bis sich ein sicherheitsrelevanter Vorfall ereignet. Erfahrungsgemäß haben auch Benutzerkonten, die von externen Dienstleistern verwendet werden, weit reichende Berechtigungen innerhalb des Netzwerks. Auch diese Berechtigungen müssen auf den Prüfstand.

Empfehlungen umsetzen, gewappnet sein

Auch wenn BSI und Sicherheitsexperten wie wir bisher zum Glück nur von einem abstrakten Risiko und gesteigerter Bedrohungslage sprechen, sollten Unternehmen und ihre Sicherheitsverantwortlichen auf der Hut sein. Wie die Beispiele der Rosneft-Raffinerien in Deutschland und der Enercon-Windkraftanlagen zeigen, ist man schneller als gedacht, im Visier der Hacker. Deshalb gilt es, jetzt Vorkehrungen gegen Angriffe zu treffen, um für den Fall der Fälle vorbereitet zu sein. Auf den Gesetzgeber zu warten, wird an dieser Stelle zur Geduldsprobe, denn hier herrscht gerade im Bereich der kritischen Infrastrukturen seit Jahren ein Tauziehen um verbindliche Sicherheitsstandards. Es steht zu befürchten, dass am Ende der kleinste mögliche Nenner übrig bleibt. Allerdings gibt es keinen Grund dafür, eine Sicherheitsvorgabe überzuerfüllen.

* Tim Berghoff ist Security Evangelist bei G Data CyberDefense.

(ID:48193260)