COO-Statement zu aktuellen Cyberbedrohungen »
Auch, wenn die Kämpfe in der Ukraine erst einmal weit weg erscheinen mögen und das eigene Unternehmen nicht betroffen ist, könnte es trotzdem in unserer vernetzten Welt in den Cyber-Fokus geraten. Wir müssen uns nur an NotPetya erinnern – ein Angriff, der zunächst wie ein Erpressungstrojaner aussah. Schadsoftware-Attacken in der Ukraine haben gezeigt, dass davon auszugehen ist, dass die Schadsoftware bereits lange vor dem Zeitpunkt des Impacts im Zielnetz platziert worden sein dürfte. Eine Art “Sleeperware”. Es ist also nicht ausgeschlossen, dass auch in unseren Netzen bereits solche Schadsoftware auf Aktivierung wartet. Doch auch, wenn bei dieser Art der Schadsoftware häufig weder die Bezahlung von Lösegeld, noch der Einsatz einer Cyber-Versicherung wirklich “hilft”, ist das Thema Ransomware nicht vom Tisch: Denn vielleicht brauchen manche Länder, deren Gelder derzeit im Ausland eingefroren sind, schnell viele Devisen.
Auch die Aktivitäten mancher selbsternannter Cyber-Warrior sind nicht ohne Risiken. Die Maßnahmen der Gegenseite sind nur schwer abzuschätzen und es könnte dabei zu Kollateralschäden kommen.
Cyberbedrohungen für Energieversorger: Wie steht es um die OT- & IT-Sicherheit deutscher EVUs?
Die spektakulären Cyberangriffe auf das ukrainische Stromnetz in 2015 und 2016 schockierten viele hiesige Betreiber. Dass Hacker die speziell gesicherten Steuerungssysteme von EVUs kapern und ganzen Regionen den Saft abschalten konnten, war bis dahin schlicht undenkbar. Und täglich werden neue Angriffsmethoden und Vorfälle bekannt. Wankt das Bollwerk?
OT-Netzwerke noch gut geschützt
Angesichts der komplexen ukrainischen Angriffe mit Malware, die industrielle Steuerungssysteme angreifen kann („BlackEnergy 3“ und „Industroyer“), machten sich nicht nur Energieversorger, sondern auch staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Nationale Cyber-Abwehrzentrum Sorgen um die Sicherheit der Stromnetze. Aber seit den Vorfällen in Kiew und Umgebung wurde interessanterweise kein neuer, ähnlich gravierender Fall bekannt, in dem Hacker sich Zugriff auf Stromnetztechnik (Operational Technology, OT) verschaffen konnten. Die IT-Security-Bollwerke hielten bis heute: Angriffe drangen immer nur bis in die IT und eben nicht in die OT durch. Entwarnung für EVUs?
Diese Frage stellten wir einem OT-Experten und Cybercrime-Insider eines großen Stadtwerkes in NRW. Er glaubt, dass Netzbetreiber und Einspeiser nicht die prädestiniertesten Ziele für Hacker oder Cyberkriminelle seien: „Wir sind – sehr – gut –geschützt!“ Energieversorger haben sich nie (nur) auf öffentliche TK-Netze verlassen, sondern sind mit eigenen TK-Netzen unterwegs, die auch im Schwarzfall funktionieren.
Hauptbedrohung Ransomware
Aber auch Angriffe auf die IT schmerzen. Diese haben laut Analysen des Branchenverbands Bitkom vom August 2021 bei der gesamten deutschen Wirtschaft im vergangenen Jahr insgesamt Schäden in Höhe von satten 223 Milliarden Euro verursacht. Die Hauptbedrohung sind Erpressungsversuche durch Verschlüsselungssoftware (Ransomware): Bis 2019 waren bereits ca. 60 Prozent der deutschen Unternehmen schon einmal von Ransomware-Angriffen oder Angriffsversuchen betroffen, wie eine Studie auf Statista zeigt.
Das BSI veröffentlichte kürzlich ein Dokument mit Informationen zu „Bedrohungslage, Prävention & Reaktion 2021“ in Bezug auf Ransomware-Angriffe. Ransomware bedroht alle Branchen, auch die Energiewirtschaft. Hochentwickelte Varianten werden inzwischen als mietbare „Ransomware as a Service“ angeboten. Beispielsweise „Darkside“, mit dem im Mai 2021 die IT-Infrastruktur von Colonial Pipeline angegriffen wurde, Betreiber des größten Pipeline-Systems für raffinierte Produkte in den USA. Auch wenn nur das Verwaltungsnetz betroffen war, musste Colonial vorsorglich den Pipeline-Betrieb einstellen. Oder auch „NetWalker“, mit dem Hacker im September 2020 Pakistans größtes privates Energieunternehmen K-Electric um 3,85 Millionen US-Dollar Lösegeld erpressten. Als K-Electric nicht zahlte, wurden sensible Daten des Unternehmens im Internet veröffentlicht. Ähnliches passierte den Technischen Werken Ludwigshafen im Mai 2020 – Daten von knapp 150.000 Kunden der Stadtwerke landeten im Netz. Ein Hauptproblem in diesem Zusammenhang ist noch immer Unwissenheit bei Mitarbeitern, die unvorsichtig Mailanhänge öffnen oder auf Social-Engineering-Tricks hereinfallen.
Auch Operational Technology ist anfällig
Aber auch die OT von Energieversorgern hat durchaus Schwachpunkte. Der Stadtwerke-Fachmann aus NRW erinnert an das in der EVU-Szene bekannte „Österreich-Phänomen“: Hier hatten vor einigen Jahren die Geräte der OT-Netze so intensiv untereinander digitalen Nonsense ausgetauscht, dass keinerlei Nutzdaten mehr übertragen wurden. Es war ein neues Leitsystem aufgespielt worden, das dummerweise einen Bug enthielt.
Vernetzte OT ist daher auch anfällig für Angriffe, etwa per DDoS. Hier verweist der Experte auf die DDoS-Attacke auf den „Fahrplan-Server“ eines europäischen Übertragungsnetzbetreibers vor einigen Jahren. Rund 50 Kraftwerke melden diesem täglich ihre Fahrpläne, d. h. welche Strommengen sie am nächsten Tag einspeisen. Daraus berechnet der Übertragungsnetzbetreiber eine optimale Lastverteilung, damit das Netz stabil bleibt. Ein Angreifer versuchte das zu sabotieren, indem er per DDoS-Attacke keine 50, sondern 500.000 Fahrpläne aufschaufelte. Das machte es den Last-Managern unmöglich, die 50 wichtigen Pläne zu filtern. Gut zwei Wochen mussten sie, allein auf Erfahrungswerte setzend, blind fahren. Und schafften das.
Immer mehr Steuerungssysteme aus dem Internet erreichbar
Auch wenn es bisher noch meist glimpflich ausging: Das wird vermutlich nicht so bleiben. Neben der IT-Sicherheit von Energieversorgern ist auch in der Operational Technology zunehmend Vorsicht angesagt. Industrielle Steuerungssysteme (ICS) werden mit immer mehr Komponenten verbunden, die aus dem Internet erreichbar sind. Veraltete PCs und mittlerweile auch schlecht gesicherte IoT-Geräte gehören zu den populärsten OT-Angriffsvektoren. Erst im Februar 2021 wurde bekannt, dass es Hackern gelungen war, in eine Wasseraufbereitungsanlage in Oldsmar im US-Bundesstaat Florida einzudringen. Der betroffene Steuerungscomputer lief noch mit Windows 7 und die Computer der Anlage konnten per Teamviewer ferngewartet werden – alle mit dem gleichen Passwort (Quelle)! Der Versuch der Hacker, den Anteil der potenziell gefährlichen Chemikalie Natriumhydroxid im Wasser zu verhundertfachen, schlug glücklicherweise fehl.
Auch Ransomware ist längst ICS-fähig geworden, warnt beispielsweise die „Cybersecurity and Infrastructure Security Agency“ (CISA) der USA in einem Factsheet. Problematisch sind zudem sogenannte Supply-Chain-Attacken wie zum Beispiel die SolarWinds-Attacke: Ein Update für SolarWinds‘ IT-Management-Plattform Orion war mit dem Trojaner Sunburst infiziert, der so auf Tausenden von Systemen in Unternehmen und Behörden landete – darunter Hunderte US-Stromversorger. Dort hatten die Angreifer weitreichende Rechte und konnten vertrauliche Daten kopieren oder weitere Schädlinge installieren.
EVU fremdeln mit IoT
Laut Informationen der Unternehmensberatung Lünendonk & Hossenfelder führt die zunehmende Digitalisierung der OT und des Product Lifecycles auch im Energiesektor zu einem erhöhten Absicherungsbedarf der Unternehmensnetzwerke. Auch der steigende Anteil von Embedded-Software erhöhe die potenziellen Angriffsflächen. Insgesamt erfährt Cyber Security nach Auskunft von L&H einen enormen Bedeutungszuwachs: Während 2021 noch 47 Prozent der CIOs im deutschsprachigen Raum ihre Ausgaben für Cyber Security erhöht haben, planen für 2022 nun 86 Prozent eine Steigerung derartiger Ausgaben.
Viele EVU sehen aber noch keinen Grund für Panik: Auch angesichts IoT und Smart Metering bleibt der oben zitierte Stadtwerke-Spezialist noch gelassen. Die Absicherung der Smart Meter werde erst dann relevant, wenn diese tatsächlich in der Fläche im Einsatz und die notwendigen Steuerboxen angebunden seien. Das sei erst in 5-10 Jahren der Fall. Bis dahin hätten sich die Bedrohungslage und die Abwehrmöglichkeiten sowieso längst wieder geändert. Ähnlich verhalte es sich mit dem IoT. Hier gebe es bei den EVU und ihrer OT noch deutliche Vorbehalte – IoT-Geräte würden nur zögerlich in die Fläche ausgerollt.
Noch kein „Security by Design“ bei Komponenten
Im Gegensatz zur IT, die für gewöhnlich am öffentlichen Internet hängt, ist die OT mitsamt ihrer Sensorik ein geschlossenes Netzwerk; Datenflüsse sollten nur über definierte Gateways ins Netz der IT übergehen.
Sollte. Wie ein Mitarbeiter eines EVU aus Niedersachsen uns erzählt, würden häufig durch Gerätehersteller Wartungszugänge eingebaut, die Zugriffe auf die OT an diesen definierten Gateways vorbei ermöglichten – womöglich mit schwachem Standardpasswort und ohne Wechselzwang bei der Inbetriebnahme. Auch Fernwartungsprotokolle können bei schlechter Absicherung missbraucht werden, wie das Beispiel aus Florida zeigt. Der Ansatz „Security by Design“ ist bei vielen Herstellern von Komponenten im Bereich OT noch nicht angekommen. Zwar ist Security by Design durch das erste IT-Sicherheitsgesetz seit 2015 vorgeschrieben. Aber bei den Herstellern der klassischen Fernwirktechnik habe kaum einer das Prinzip komplett verinnerlicht, beklagt der EVU-Experte. Da kommen Basics wie das Patch-Management oder die zentrale Benutzerverwaltung viel zu kurz. Hinzu komme, dass in der OT die Produkt-Lebenszyklen mit 10 bis 20 Jahren für IT-Verhältnisse extrem lang seien.
Darüber hinaus würden entfernte Anlagen oftmals doch über öffentliche Netze angebunden, um wirtschaftlich zu bleiben. Auch diese Umstände würden die Absicherung der Übergänge komplexer gestalten.
Ein weiteres Problem stellt sich mit dem Thema der dezentralen Erzeugung, fügt der EVU-Mitarbeiter hinzu. „Die Welt war in Ordnung, als nur das EVU den Strom erzeugt hat.“ Heute aber gibt es immer mehr kleine Erzeugeranlagen, die alle mit Systemen im OT-Netzwerk kommunizieren müssen. Da sei es in der Praxis oftmals der Fall, dass neue Technologien und Konzepte „erstmal funktionieren sollen“; Sicherheit habe dann keine Priorität. Und wenn es dann funktioniert, fehle die Zeit. „Man kennt es ja: nichts hält länger als ein Provisorium.“
Kein falsches Sicherheitsgefühl
So unangreifbar wie lange angenommen ist auch die sicher geglaubte OT nicht. Und: Dass bei einem Unternehmen noch kein Angriff verzeichnet wurde, heißt nicht, dass keiner stattgefunden hat. Professionelle Hacker tun alles dafür, damit ihr Angriff lange unbemerkt bleibt, damit sie sich in Ruhe umsehen und im Stillen Daten abziehen, Hintertüren einbauen und weitere Systeme infizieren können.
IT-Sicherheit ist auch bei Energieversorgern ein flüchtiges Gut. Sie dauerhaft zu garantieren, ist in der schnelllebigen IT-Szene schlicht unmöglich, und spektakuläre Hacks wie die SolarWinds-Attacke beflügeln noch die cyberkriminelle Energie. EVUs sollten deshalb das Thema keinesfalls auf die leichte Schulter nehmen: Überprüfen Sie bitte regelmäßig Ihre IT-Sicherheitstrategie, passen Sie Ihre Maßnahmen an aktuelle Bedrohungen an und lassen Sie Ihre IT- & OT-Sicherheit regelmäßig von Externen prüfen und verbessern. Wir beraten Sie gern.
Gefahren für Banken und Finance-Anbieter: Trend Micro meldet Rekordzahl an Cyberbedrohungen
Trend Micro warnt vor der zunehmenden Gefährdung digitaler Infrastrukturen und der Mitarbeiter im Homeoffice, da Bedrohungsakteure ihre Angriffsrate auf Unternehmen und Individuen erhöhen. Gerade die Corona-Pandemie und der Ukraine-Krieg haben einmal mehr gezeigt, welche umfassenden Gefahren auf IT-Infrastrukturen zukommen können.
Ransomware-Angreifer verlagern ihren Fokus auf kritische Infrastrukturen und Branchen, die sich einem hohen Druck zur Zahlung ausgesetzt sehen. Hierunter zählen bekanntermaßen auch Payment-Anbieter und Banken und Sparkassen sowie diverse weitere Anbieter im Bereich Finanzen und Versicherungen. Dabei gewährleisten Double-Extortion-Taktiken, dass Angreifer davon profitieren können, dass jene Player im Zugzwang sind. Zu den meistgetroffenen Industriezweigen in Deutschland zählen die Immobilienbranche, staatliche Behörden, das Gesundheitswesen, die Medien- und Kommunikationsbranche sowie das produzierende Gewerbe.
Ransomware-as-a-Service-Angebote haben zudem den Markt für Angreifer mit wenig technischen Vorkenntnissen geöffnet – und zugleich zu einer stärkeren Spezialisierung geführt. So sind Access Broker nun ein wesentlicher Bestandteil der Cybercrime-Lieferkette. Es ist somit für Angreifer deutlich leichter geworden, Angriffe zu „bestellen“ und zu orchestrieren.
Bedrohungsakteure werden immer besser darin, menschliche Schwachstellen auszunutzen, um Cloud-Infrastrukturen und die Arbeit im Homeoffice zu kompromittieren. Im Jahr 2021 erkannte und verhinderte Trend Micro Cloud App Security (CAS) 25,7 Millionen-E-Mail-Bedrohungen – im Vergleich zu 16,7 Millionen im Vorjahr. Dabei hat sich das Ausmaß der blockierten Phishing-Versuche in diesem Zeitraum beinahe verdoppelt. Studien zeigen außerdem, dass Mitarbeiter im Homeoffice häufiger Risiken eingehen als vor Ort im Unternehmen, was Phishing-Angriffe gefährlicher macht.
Angreifer nutzen fehlerhafte Konfigurationen aus
In der Cloud geht nach wie vor eine große Bedrohung für Unternehmen von fehlkonfigurierten Systemen aus. Dabei weisen unter anderem Dienste wie Amazon Elastic Block Store und Microsoft Azures Virtual Machine relativ hohe Fehlkonfigurationsraten auf. Trend Micro stellt zudem fest, dass Docker-REST-APIs häufig fehlkonfiguriert sind. Dadurch sind sie Angriffen von Gruppen wie TeamTNT ausgesetzt, die Krypto-Mining-Malware auf den betroffenen Systemen einsetzen.
Bei den Business-Email-Compromise (BEC)-Angriffen ging dagegen die Zahl der Entdeckungen um 11 Prozent in überschaubarem Maße zurück. Allerdings blockierte CAS einen hohen Prozentsatz an fortgeschrittenen BEC-Emails, welche lediglich durch einen Vergleich des Schreibstils des Angreifers mit dem des vorgesehenen Absenders erkannt werden konnten. Diese Angriffe machten im Jahr 2021 47 Prozent aller BEC-Versuche aus, im Vergleich zu 23 Prozent im Jahr 2020.
Während 2021 ein Rekordjahr für neue Schwachstellen war, zeigen Untersuchungen von Trend Micro, dass 22 Prozent der 2021 im Untergrund von Cyberkriminellen verkauften Exploits über drei Jahre alt waren. Das Patchen alter Schwachstellen bleibt daher neben der Überwachung neuer Bedrohungen eine wichtige Aufgabe, um Cyberangriffe zu verhindern und eine umfassende Sicherheit zu gewährleisten. Die Schlussfolgerung, dass Unternehmen damit sicher sind, ist zwar ebenso gewagt, aber es trägt sicherlich dazu bei, einzelne Angriffsszenarien zu unterbinden.
Die Angreifer arbeiten kontinuierlich daran, die Menge ihrer Opfer sowie ihren Profit zu steigern, sei es durch die Anzahl oder die Effektivität ihrer Attacken. Der Umfang und die Tiefe unserer globalen Threat Intelligence ermöglicht es uns, Veränderungen in der Vorgehensweise, wie Cyberkriminelle ihre Opfer weltweit angreifen, zu identifizieren.“
Richard Werner, Business Consultant bei Trend Micro
Die aktuellen Forschungen von Trend Micro zeigen einerseits, dass die Gesamtzahl der von Trend Micro erkannten Bedrohungen im Jahr 2021 im Vergleich zum Vorjahr um 42 Prozent auf über 94 Milliarden gestiegen ist. Zugleich ging die Angriffssumme in einigen Bereichen zurück, da Attacken immer zielgerichteter werden.
Den vollständigen Bericht Navigating New Frontiers: Trend Micro 2021 Annual Cybersecurity Report können interessierte Leser in englischer Sprache
