Eigentlich legitime Fernwartungssoftware (Remote Administration Tool, RAT) stellt eine ernste Gefahr für industrielle Netzwerke dar. Laut einer aktuellen Untersuchung von Kaspersky Lab [1] sind RATs weltweit auf 31,6 Prozent der Rechner industrieller Kontrollsysteme (ICS) installiert – in Deutschland (35,1 Prozent), der Schweiz (33,2 Prozent) und Österreich (32,7 Prozent) sogar noch häufiger. Das Problem: Dass die Fernwartungssoftware im eigenen Netzwerk aktiv ist, wird von den Sicherheitsteams der betroffenen Organisationen oft erst bemerkt, wenn Cyber-Kriminelle diese zur Installation von Malware, Ransomware oder Crypto-Minern missbrauchen oder sich damit Zugriff auf Informationen beziehungsweise finanzielle Ressourcen des betroffenen Unternehmens verschaffen.

RATs sind legitime Software-Tools, mit denen Dritte aus der Ferne Zugriff auf einen Rechner erlangen können. Sie bieten Mitarbeitern einen ressourcensparenden Zugang ins Unternehmensnetzwerk, können allerdings auch Cyber-Kriminellen zu einem unerlaubten Zugriff auf damit ausgestattete Rechner dienen. RATs kommen beispielsweise in SCADA-Systemen oder HMIs (Human Machine Interfaces) von Arbeitsplatzrechnern zur Steuerung industrieller Prozesse zum Einsatz.

Weltweit wird jede fünfte Fernwartungssoftware (18,6 Prozent) automatisch zusammen mit der ICS-Software installiert. Dies führt zu einer mangelnden Sichtbarkeit für Systemadministratoren und macht RATs damit umso attraktiver für Angreifer.

Laut der Kaspersky-Untersuchung nutzen Angreifer RATs für

  • unautorisierten Zugang zum Netz des angegriffenen Unternehmens,
  • die Infektion des Netzwerks mit Malware zur Spionage und Sabotage,
  • die Erpressung von Lösegeld durch Infektionen mit Ransomware und
  • den direkten Zugriff auf finanzielle Ressourcen der angegriffenen Organisation über das infizierte Unternehmensnetz [3].

Die größte Gefahr durch RATs bestehe darin, dass ein Angreifer erweiterte Systemrechte erlangen kann. Dies kann in einer unbegrenzten Kontrolle über ein Industrieunternehmen resultieren und damit zu massiven finanziellen Verlusten bis hin zu physischen Schäden führen. Bei den Angriffen handelt es sich häufig um standardmäßige Brute-Force-Attacken, bei denen das Passwort durch Ausprobieren sämtlicher Zeichenkombinationen ermittelt wird. Neben dieser Methode könnten Angreifer jedoch auch Schwachstellen in der RAT-Software ausnutzen.

„Die Anzahl industrieller Kontrollsysteme mit RATs ist besorgniserregend“, konstatiert Kirill Kruglov, Senior Security Researcher im Industrial Control Systems Cyber Emergency Response Team bei Kaspersky Lab (Kaspersky Lab ICS CERT). „Viele Unternehmen ahnen nicht einmal, wie hoch das damit verbundene Risiko ist. So konnten wir vor Kurzem Angriffe bei einem Automobilhersteller feststellen, der auf einem seiner Rechner RAT-Software installiert hatte. Auf dem Rechner wurde regelmäßig über Wochen hinweg versucht, verschiedene Typen von Malware zu installieren. Unsere Sicherheitslösungen blockierten mindestens zwei solcher Versuche pro Woche.“

Letztendlich handele es sich bei RATs um nützliche Anwendungen, die Zeit und Geld sparen. Jedoch sollte deren Einsatz im Unternehmensnetz nur mit der entsprechenden Vorsicht erfolgen – speziell in industriellen Kontrollnetzwerken, die oft Teil der kritischen Infrastruktur sind.“

Empfehlungen des Kaspersky Lab ICS CERT:

  • Unternehmen sollten alle in ihrem Netz verwendeten Anwendungen und Tools zur Fernwartung überprüfen. Alle RATs, die nicht notwendigerweise im industriellen Prozess benötigt werden, sollten entfernt werden.
  • RATs, die zusammen mit ICS-Software installiert sind, müssen identifiziert und abgeschaltet werden, sofern sie im industriellen Prozess nicht notwendig sind. Detaillierte Informationen dazu findet man in der entsprechenden Software-Dokumentation.
  • Jeder notwendige Fernzugriff sollte umfassend überwacht und protokolliert erfolgen. Die Möglichkeit des Fernzugriffs sollte standardmäßig abgestellt sein und nur bei Bedarf für einen begrenzten Zeitraum erlaubt.

Der vollständige Bericht „Threats posed by using RATs in ICS” von Kaspersky Lab ICS CERT ist zu finden unter

[1] ics-cert.kaspersky.com/reports/2018/09/20/threats-posed-by-using-rats-in-ics/.

[2] ics-cert.kaspersky.com/

[3] securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/

Dr. Jörg Schröper ist Chefredakteur der LANline.