Interview mit Udo Schneider von Trend Micro
Ransomware trifft Industrie
Im Nachfeld des spektakulären Ransomware-Angriffs auf den US-amerikanischen Pipeline-Betreiber Colonial sprach LANline mit Udo Schneider, Sicherheitsexperte bei dem Security-Anbieter Trend Micro, über IoT- und OT-Sicherheit (Internet of Things; Operational Technology, also industrielle Betriebstechnik), Ransomware im industriellen Umfeld, die Frage der Lösegeldzahlung und mögliche Abwehrmaßnahmen.
LANline: Herr Schneider, kürzlich hat ein Ransomware-Angriff auf den Pipeline-Betreiber Colonial Schlagzeilen gemacht (LANline berichtete). Wie würden Sie den Status der IoT-Sicherheit vor diesem Hintergrund zusammenfassen?
Udo Schneider: Man sollte ganz allgemein, aber in diesem Fall auch speziell, unterscheiden, was angegriffen beziehungsweise verschlüsselt wurde. Natürlich sind OT-Systeme in der Regel noch nicht so gut gesichert wie Office-IT-Systeme. Das heißt jedoch nicht, dass sich Cyberkriminelle jetzt auf Industriesteuerungen stürzen und diese kompromittieren. Obwohl technisch machbar ,lohnt sich der Aufwand schlichtweg nicht. Es ist deutlich besser, im Sinne von RoI (Return on Investment, d.Red.) mit bewährten Methoden zu arbeiten. Und dazu gehören nun mal Verschlüsselungstrojaner. Ob die Produktion nun steht, weil in der Produktion selber etwas verschlüsselt wurde, oder ob die Produktion steht, weil aus der Office-IT keine Daten mehr kommen – der Effekt ist derselbe und der Druck auf das Opfer entsprechend groß. Nicht verschwiegen werden soll aber, dass es inzwischen auch spezielle Malware-Familien für den Produktionsbereich gibt. Diese sind unter Umständen darauf optimiert, auf Produktionssystemen relevante Daten zu erkennen und zu verschlüsseln. Gerade reine Office-IT-Trojaner verschlüsseln ausschließlich die üblichen Dateien auf PCs wie Office-Dokumente, Bilder, PDFs etc., aber kennen die eigentlich wichtigen Datentypen in Produktionsumgebungen nicht.
LANline: Wie stehen deutsche Industrie Unternehmen im internationalen Vergleich da? Gibt es hier Besonderheiten, die zu erwähnen sind? Gibt es bestimmte Angriffsarten, die sich hierzulande häufen? Oder steht Deutschland umgekehrt in Sachen IT-Sicherheit in manchen Punkten besser da als andere Industrieländer, etwa die USA?
Udo Schneider: Dazu liegen mir ad hoc keine quantitativen Daten vor. Qualitativ kann man aber festhalten, dass die Art und Weise, wie Unternehmen Sicherheitsprobleme angehen, sich zum Beispiel zwischen Deutschland und dem restlichen Europa unterscheiden. Entscheider in Deutschland haben einen deutlich stärkeren Fokus auf den nicht-technischen Teil – also Personen und Prozesse – der OT-Sicherheit. Angaben dazu finden sich in einem White Paper von Trend Micro.
LANline: Was sind die drei wesentlichen Maßnahmen, um eine Industrieumgebung vor Ransomware-Angriffen oder Attacken ähnlicher Art zu schützen? Was wird dabei gerne übersehen?
Udo Schneider: Erstens muss man die Systeme – sofern möglich – auf einem aktuellen Patch-Stand halten. Zweitens gilt es, den „Einschlagkrater“ zu verkleinern: Bei einem komplett flachen Netz ist in der Regel dieser Einschlagkrater gleich dem gesamten Netzwerk. Mit Maßnahmen wie Netzwerksegmentierung kann man die Größe des Schadens unter Umständen auf ein einzelnes Segment beziehungsweise eine Maschine, Zelle oder Produktionsstraße beschränken. Drittens sollte man einen Notfallplan in der Tasche haben. Denn eines der Hauptprobleme ist oftmals der Zeitdruck – insbesondere da bei vielen Ransomware-Varianten die Entschlüsselung zeitlich limitiert ist oder im Laufe der Zeit teurer wird. Hier empfiehlt es sich, im Schadensfall einen Notfallplan griffbereit zu haben. Dieser sollte nicht nur technische Maßnahmen enthalten, sondern insbesondere auch Prozesse und Personen. Also zum Beispiel Verantwortliche, Rufnummern und -bereitschaften, auch am Wochenende, und Ähnliches.
LANline: Sind deutsche Unternehmenslenker hier zu leichtsinnig?
Udo Schneider: Gerne übersehen wird immer noch die Wahrscheinlichkeit, selbst Opfer zu werden. Auf der einen Seite hört man immer Argumente à la: „Wer sollte uns schon angreifen?“ Oder auch: „Es ist ja so lange nichts passiert.“ Auf der anderen Seite wird die Diskussion um OT-Sicherheit zu eng auf der OT-Ebene geführt. Fakt ist, dass Cyberkriminelle OT-Umgebungen als „lukrative Zielkundschaft mit hoher Zahlungsbereitschaft“ entdeckt haben. Dabei ist es unerheblich, wie der Angriff stattfand. Dieser war vielleicht gar nicht speziell für OT-Umgebungen gedacht. Wenn die Kriminellen aber feststellen, dass sie in einer Produktionsumgebung gelandet sind, verschlüsseln sie unter Umständen auch die für die OT wirklich wichtigen Daten und setzen das Lösegeld umso höher an.
LANline: Security-Anbieter wiederholen geradezu gebetsmühlenartig, man solle im Fall eines Angriffs mit Ransomware keinesfalls das geforderte Lösegeld zahlen. Gerade Industrieunternehmen oder Betreiber kritischer Infrastruktur müssen allerdings stets darauf achten, ihre Anlagen schnellstmöglich wieder in Betrieb nehmen zu können. Deshalb sind Zahlungen von Lösegeld offenbar weiter verbreitet, als man denkt. Worauf sollte ein Industrieunternehmen in einem solchen Fall besonders achten?
Udo Schneider: Man muss sich vor Augen führen, dass jede Zahlung an Kriminelle erstens das Problem noch weiter anfacht, zweitens man damit dem Kriminellen beweist, dass sein Geschäftsmodell funktioniert, und drittens man ein „so guter Kunde“ ist, sodass es für die Kriminellen sinnvoll sein kann, diesen Kunden noch ein weiteres Mal zu erpressen. Vor diesem Hintergrund ist auch bei gezahltem Lösegeld immer davon auszugehen, dass die Systeme noch lange nicht sicher, geschweige denn „sauber“ sind. Es gibt Fälle, in dem der ursprüngliche Angreifer selbst nach Erhalt des Lösegelds noch einen „Schläfer“ im Opfernetzwerk hinterlassen hat, mit dem er nach einiger Zeit alles nochmal verschlüsselt hat. Das bedeutet leider auch, dass das saubere Neuaufsetzen von Systemen nach einem Angriff – ob nun mit oder ohne Lösegeldzahlung – eigentlich unabdingbar ist. Diesen Aufwand kann und sollte man sich nicht sparen. Vor diesem Hintergrund ist die Entscheidung, ob man zahlt oder nicht, also nur davon abhängig, ob man die Daten ohne Zahlung wiederherstellen kann – also ob es ein funktionierendes Backup und Restore gibt. Wenn es möglich ist, die Daten aus Backups wiederherzustellen, gibt es also kaum einen guten Grund, einfach zu zahlen und dann unverändert weiterzumachen.
LANline: Wie ist nach Erkenntnissen von Trend Micro das Verhältnis auf Angreiferseite zwischen kriminellen Organisationen und staatlich geförderten Angreifergruppen? Sprich: Wie groß ist Ihrer Einschätzung nach der Anteil an Cyberwarfare-Aktionen, wie groß ist die Schnittmenge zwischen Cyberwarfare und Online-Kriminalität?
Udo Schneider: Leider habe ich hier keine echten quantitativen Daten. Aufgrund der Art der eingesetzten Malware und der genutzten Exploits muss man aber ganz klar sagen, dass die überwiegende Mehrheit der Angriffe inzwischen von finanziell motivierten Cyberkriminellen ausgeht.
LANline: Herr Schneider, danke für das Gespräch.
Hinweis: Das von Udo Schneider erwähnte White Paper stammt vom März 2021 und steht hier ohne Registrierung zum Download bereit.
Lesen Sie mehr zum Thema
