Der IT-Sicherheitsanbieter Kaspersky hat in seinem Bericht „Kaspersky Lab ICS Cert Report for H2 2016“ einen starken Anstieg von Angriffen auf Computer festgestellt, die im industriellen Umfeld zum Einsatz kommen: Zwei von fünf waren im zweiten Halbjahr 2016 einem Angriff ausgesetzt. Damit stieg der Anteil attackierter Industrierechner von 17 Prozent im Juli 2016 auf 24 Prozent im Dezember 2016, so Kaspersky. Vor allem die Anbindung zum Internet, Wechseldatenträger sowie E-Mails mit infizierten Anhängen und eingebetteten Skripts stellen laut dem Bericht die größte Gefahr für Industrie-PCs dar.

Gerade durch die Integration von Technologien und Netzwerken im Rahmen von Industrie 4.0 rücken Industrieunternehmen nach Meinung des IT-Security-Anbieters vermehrt in den Fokus von Cyberkriminellen. Diese seien durch das Ausnutzen von Schwachstellen von im Industrieumfeld eingesetzter Software und Netzwerken in der Lage, Informationen über Produktionsprozesse zu stehlen und sogar die Produktion lahmzulegen.

„Unsere Analyse zeigt, dass Cybersicherheitsansätze, bei denen technologische Netzwerke vom Internet isoliert werden, heutzutage nicht mehr funktionieren“, sagt Evgeny Goncharov, Head of Critical Infrastructure Defense Department bei Kaspersky Lab. „Der Anstieg von Cyberbedrohungen für kritische Infrastruktursysteme erfordert entsprechende Malware-Schutzmaßnahmen für industrielle Kontrollsysteme – und zwar innerhalb und außerhalb der Netzwerkperimeter. Darüber hinaus sollten sich Unternehmen im industriellen Umfeld bewusstmachen, dass eine Attacke fast immer vom schwächsten Security-Glied ausgeht – dem Menschen.“

Des Weiteren zeige die vom Kaspersky Cert (Computer Emergency Response Team) durchgeführte Studie über Bedrohungen für industrielle Kontrollsysteme (ICS, Industrial Control Systems), dass die Gefahren für Industrierechner steigen. Im zweiten Halbjahr 2016 habe man bei 22 Prozent der im industriellen Umfeld eingesetzten Computer den Download von Schädlingen und den Zugang zu Phishing-Seiten blockiert. Somit war laut der Analyse jede fünfte Maschine einer Infektion oder einer Kompromittierung von Zugangsdaten über das Internet ausgesetzt.

Zwar haben und benötigen Desktop-PCs von Ingenieuren und Maschinenarbeitern, die ICS verwenden, im Normalfall keinen direkten Zugang zum Internet, so Kasperksy, jedoch gibt es Nutzer, die gleichzeitig Zugang zum Internet und zum industriellen Kontrollsystem haben, etwa Netzwerkadministratoren, Entwickler, Integratoren industrieller Automationssysteme und Drittanbieter. Diese haben direkt oder aus der Ferne Zugang zu Netzwerken und können sich zudem mit dem Internet verbinden, weil sie nicht an die strikten Einschränkungen an ein isoliertes Industrienetzwerk gebunden sind.

Neben dem Internet stellen laut der Studie auch Wechseldatenträger ein großes Problem dar. Nach Angaben von Kaspersky habe man im Untersuchungszeitraum auf 10,9 Prozent der Computer, auf denen ICS-Software installiert war oder die mit solchen Rechnern verbunden waren, nach einer Wechseldatenträgerverbindung Malware-Spuren gefunden.

Das Internet stellt für Industrie-PCs die größte Gefahr eines Cyberangriffs dar. Bild: Kaspersky

Des Weiteren habe man bei 8,1 Prozent der analysierten Industriecomputer gefährliche E-Mail-Anhänge und in E-Mails eingebettete Skripte blockiert. Die Angreifer verstecken die Malware meistens in Office-Dokumenten (MS Office oder PDF) und nutzen Social-Engineering-Techniken, um die Mitarbeiter zu überzeugen, die kompromittierten Dateien herunterzuladen und die Malware auf industriellen Computern auszuführen.

Dabei setzen die Angreifer laut Kaspersky Spyware, Backdoors, Keylogger, Finanz-Malware, Ransomware und Wiper-Programme ein. Die Schädlinge seien zudem in der Lage, die Kontrolle eines Unternehmens auf sein ICS-System zu beeinflussen. Auch sei es ihnen möglich, zielgerichtete Angriffe durchzuführen oder die Fernkontrolle zu erlangen.

Weitere Erkenntnisse der Kaspersky-Studie sind:

  • Jeder vierte zielgerichtete Angriff, der von Kaspersky im Jahr 2016 entdeckt wurde, hatte es auf industrielle Systeme abgesehen.
  • Knapp 20.000 verschiedene Malware-Samples, die 2.000 Malware-Familien zugeordnet werden können, tauchten im Untersuchungszeitraum auf industriellen Automationssystemen auf.
  • Im Jahr 2016 entdeckte Kaspersky 75 industrierelevante Schwachstellen. Davon wurden 58 als sehr kritisch eingestuft.

Um ICS-Umgebungen adäquat vor Angriffen zu schützen, empfehlen die Sicherheitsexperten von Kaspersky folgende Maßnahmen:

  • Durchführung von Sicherheitsüberprüfungen (Security Assessements) zur Identifizierung und Beseitigung von Sicherheitsschlupflöchern;
  • Einbeziehung externer Informationsquellen, um künftige Gefahren zu prognostizieren und entsprechende Verteidigungsmaßnahmen durchzuführen;
  • mit Sicherheitstrainings für Mitarbeiter das Sicherheitsniveau in Industrieunternehmen erhöhen;
  • Schutz inner- und außerhalb der Netzwerkperimeter: Eine zeitgemäße Sicherheitsstrategie muss entsprechende Ressourcen zur Angriffsentdeckung und -verteidigung bereitstellen, um Angriffe blockieren zu können, bevor ein kritisches System betroffen ist;
  • Einsatz fortschrittlicher Schutzmethoden, beispielsweise mittels Default-Deny-Szenarien für Scada-Systeme. Regelmäßige Integrationsüberprüfungen für Kontrollsysteme und spezialisierte Netzwerküberwachung können die Unternehmenssicherheit erhöhen, obwohl verwundbare Systeme darin aus Support-Gründen nicht mehr gepatcht werden können.

Die komplette Studie „Kaspersky Lab ICS Cert Report for H2 2016“ findet sich unter ics-cert.kaspersky.com/.

Timo Scheibe ist Redakteur bei der LANline.