Was die Industrie Cyberkriminellen entgegensetzen kann

„Unternehmen im Maschinen- und Anlagenbau sind besonders häufig Opfer von zum Teil staatlich finanzierter Industrie-Spionage. Das reicht vom Angriff online, über vermeintliche Freelancer im Ausland, Stichwort Offshoring, bis hin zu physischen Angreifern vor Ort oder Spionen, die jahrelang als Angestellte im Unternehmen arbeiten“, berichtet Prof. Andreas Dewald, CEO bei ERNW Research GmbH. Der IT-Sicherheitsdienstleister gehört zu den laut BSI qualifizierten Dienstleistern für APT Incident Response. Bei der IT-Security gehe der Blick oft nur nach Außen – es müssten jedoch die gleichen Strategien nach Innen angewendet werden. „Für viele Unternehmen ist das einfach Science-Fiction- und Spionageroman-Denken: Man geht davon aus, dass es in Wirklichkeit nicht passiert“, so der Experte.

Alexander Giehl, Prinicipal Scientist Cybersicherheit am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, sieht Ziele vor allem im Bereich kritischer Infrastrukturen: „Es kann auch produzierende Zulieferunternehmen betreffen, wenn Angreifer auf fortschrittliche Supply-Chain-Angriffe – also Angriffe auf die Versorgungskette – abzielen“. Über die Kette könne es gelingen, durch Attacken auf kleinere Lieferpartner in die Netzwerke größerer Unternehmen einzudringen. „Die Angreifer sind mittlerweile meist professionalisierte Banden, die hochgradig arbeitsteilig organisiert sind“, stellt Giehl auch fest.

Trends bei Angriffen – KI verändert das Spielfeld

„Wir sehen aktuell, dass die Angriffe mehr in die Breite gehen. Gerade im Produktionsanlagenumfeld gibt es eine Vielzahl von heterogenen Systemen, die zusammenspielen, darunter Steuerungssysteme, lokale Systeme, Cloud-Anbindungen, angebundene Dienstleister. Alles, was sich angreifen lässt, wird auch angegriffen!“, berichtet Johannes Lauinger, Senior IT Security Consultant und Leiter des Fachteams “Operational Technology” beim ebenfalls BSI-qualifizierten Pentesting-Anbieter SySS GmbH.

Durch KI konnten Phishing-Techniken stark verbessert werden – Rechtschreibfehler oder untypische Formulierungen, die auf fragwürdige Absender hinwiesen, gehören der Vergangenheit an. Übersetzungen in alle Sprachen sind dank GenAI keine Hürde mehr. Entsprechend rückt das Cybersicherheits-Training der Mitarbeitenden noch einmal mehr in den Vordergrund, meint Giehl. Zudem lässt sich Malware mittels KI so verändern, dass sie nicht mehr von klassischen Antivirusprogrammen erkannt wird und Kriminelle teils entsprechend tiefer in ihrem Angriff kommen, ohne erkannt zu werden, nennt Lauinger einen weiteren Aspekt.

Nicht selbst im Darknet nach geklauten Daten suchen

Aus Sicht von Giehl sind im Bereich Ransomware-Angriffe mittlerweile mehrere Stufen typisch. Es werde versucht, die Daten auszuleiten und etwa im Darknet weiterzuverkaufen, um ein weiteres Druckmittel und eine alternative Einnahmequelle zu haben, wenn ein Unternehmen nicht zahlen will. 

Anstatt dass sich die IT-Experten im betroffenen Unternehmen selbst auf die Suche nach den Daten im Darknet machen, empfiehlt Giehl insbesondere KMUs, einen externen professionellen Dienstleister für Forensik und gegebenenfalls Recherchen im Darknet hinzuziehen: „Je nach Kenntnisstand kann es sein, dass eigene Kräfte in vielen Fällen gar nichts finden und im schlimmsten Fall auf sich aufmerksam machen. Das gibt den Angreifern Feedback, dass sensible Daten erbeutet wurden und sie noch stärker in die Verhandlungen gehen können“. Die Dienstleistung sei zwar kostenintensiv, aber meist deutlich günstiger als Erpressungssummen.

Ein ganz normaler Angriff

Im Moment sieht man bei ERNW einen Trend hin zu Angriffen, die über die Cloud-Infrastruktur funktionieren. „Das ist ein sehr beliebtes Ziel bei Angreifern – denn zunehmend viele Industrieunternehmen nutzen unterschiedlichste Cloud-Dienste“, sagt Dewald. Dazu gehören typischerweise M365, Azure, AWS oder die Google Cloud Platform. Dewald beschreibt als Beispiel einen Angriff, bei dem zunächst ein Cloud-Account kompromittiert wird: Ein Opfer bekommt etwa eine vermeintliche Einladung zu einem Teams-Meeting. 

Wird auf den Beitritts-Link geklickt, landet die Person zwar auf einer Microsoft-Seite, allerdings nicht im Meeting, sondern auf einer Seite, auf der dem eigenen M365-Account ein zusätzliches Gerät hinzugefügt wird. Ganz schnell wird so das Smartphone eines Angreifers verknüpft – der Eintrittspunkt ins Unternehmensnetz. Dieses Gerät hat dann Zugriff auf alle Daten, die für diesen Account zugreifbar sind, wie in diesem Beispiel E-Mails oder Sharepoint-Dokumente.

Zwar ist der Weg in die Cloud gerade für Mittelständler eine gute Idee, weil das Sicherheitsniveau bei den professionellen Anbietern in der Regel deutlich höher liegt. Doch aus Sicht von Dewald wird der eigene Cloud-Zugang nicht hinreichend sicher konfiguriert. „Es gibt viele wirksame Schutzmechanismen, die zwar zum Teil nur kostenpflichtig angeboten werden, häufig jedoch rein aus Unwissenheit nicht konfiguriert werden. Das günstigste Cloud-Offering ist nicht zwangsläufig das sicherste“, stellt der Security-Experte fest. Das Hauptproblem: Oft kenne das IT-Personal vor Ort nicht alle Finessen in der Konfiguration einer Cloud-Umgebung, hier sei externe Hilfe sinnvoll.

Wie KI-Cyberangriffe Unternehmen bedrohen

KI-Cyberangriffe entwickeln sich rasant weiter. Laut NTT Data nutzen Kriminelle zunehmend dieselben Technologien wie Unternehmen – mit erheblichen Risiken für Daten, Prozesse und Systeme.

Redaktion Produktion

OT als blinder Fleck

„Wir erleben immer wieder, dass uns Unternehmen sagen, dass eine kritische Software für die Produktion, die seit Jahren im Produktiveinsatz ist und vielfach auf Lücken getestet wurde, sicher ist. Innerhalb einer Woche finden wir meist Schwachstellen, mit denen man im Grunde die ganze Produktion lahmlegen könnte“, konstatiert Andreas Dewald.

„Typischerweise liegen die größten Lücken und Schwachstellen, die wir sehen, an den Übergängen zwischen der Produktionstechnik und der ‚klassischen IT‘, das heißt also den Unternehmensprozessen in operativen und Planungs-Systemen wie ERP oder MES“, berichtet Lauinger. Häufig seien entsprechend in der Praxis Jump-Server für Fernzugriffe und Datenaustauschserver betroffen. 

Kriminelle können dann Daten manipulieren oder einsehen, die in der Produktion ausgetauscht werden. Zudem ist am Übergangspunkt ein Wechsel vom IT-Bereich in die Netzwerke des Produktionsbereichs möglich, um weitergehende Angriffe durchzuführen. Dort befinden sich beispielsweise Steuerungen, die alters- und systembedingt gar nicht richtig absicherbar sind. Security wurde in den Legacy-Systemen nicht mitgedacht, dennoch sind sie über Jahrzehnte im Praxiseinsatz. 

„Oft finden sich Einfallstore auch bei den Fernzugriffsmöglichkeiten am Edge, insbesondere bei Lösungen mit Anbindungen an die Cloud. Obwohl Unternehmen meist schon sehr viel Aufwand betrieben haben, ihre Netze in verschiedene Teile zu segmentieren, wird ein Fernzugriffsgerät in den sichersten inneren Bereich gehängt, damit ein Dienstleister direkt auf die Maschine kommt. Dann hängt die Sicherheit plötzlich von diesem Gerät ab“, erläutert Johannes Lauinger.

Ethische Hacker geben Rückendeckung – auch gegen physische Eindringlinge

„Penetrationstests durch ethische Hacker sind eine bewährte Maßnahme, um die eigenen Systeme zu testen und zu härten“, so Giehl. Er empfiehlt, dafür qualifizierte und erfahrene Partner ins Boot zu holen, denn eigenes, auch qualifiziertes IT-Personal, leide dennoch typischerweise unter Betriebsblindheit. Man habe implizit Annahmen über das System oder denke vielleicht gar nicht mehr an manche Aspekte oder in bestimmten Mustern. Während „Pentesting“ sich vor allem das Finden technischer Schwachstellen konzentriert, zielt Red Teaming darauf ab, umfassendere Angriffe und die Reaktion darauf zu simulieren.

„Wir steigen bei einem simulierten Angriff zunächst ohne detailliertes Insiderwissen ein und haben genau dadurch den Blickwinkel, den der Angreifer auch hätte“, so Lauinger. Das finde in enger Absprache mit dem Kunden und mit Rücksicht auf die Verfügbarkeit der laufenden Prozesse statt, aber kreativ und gesteuert durch die eigenen Ideen. Gerade physische Eindringlinge werden chronisch unterschätzt. „Wir sehen beim Red Teaming: Es ist im Prinzip immer möglich, wenn man sich einfach einen Blaumann anzieht und eine Leiter über die Schulter legt, nach der Raucherpause irgendwo mit hineinzuspazieren und beispielsweise über die Netzwerkdose neben dem Drucker ins Netz zu kommen. Da sind die Unternehmen häufig vollständig ungeschützt!“, berichtet Dewald aus der Praxis.

Gute Hacker versus böse Hacker

Doch können ethische Hacker überhaupt angesichts der kriminellen Energie der Angreife überhaupt mithalten? Und welche Eigenschaften und Kenntnisse müssen die Gegenspieler mitbringen? „Nicht jeder ist in der Lage, sich in diese Angreiferdenke hineinzuversetzen“, glaubt Andreas Dewald, der als Dozent den ersten deutschen Masterstudiengang in digitaler Forensik an der Hochschule Albstadt-Sigmaringen mit aufgebaut hat und heute an der Hochschule Fresenius unterrichtet. Teils kommen ethische Hacker aus dem Umfeld des Chaos Computer Clubs, mittlerweile bieten jedoch mehrere Hochschulen Studiengänge, in denen Offensive Security unterrichtet wird.

Das typische Profil eines ethischen Hackers ist Lauinger zufolge ein Hintergrund in IT, etwa Systemadministration für IT oder OT, aber auch Anwendungsentwicklung. „Das Spannende in der Pentester-Tätigkeit besteht darin, die Systeme absichtlich nicht so zu verwenden, wie sie eigentlich gedacht sind – sondern kreativ andere Wege auszutüfteln, als vom Hersteller vorgesehen“, meint der SySS-Experte. Er ist überzeugt: Ein guter ethischer Hacker kann alles abdecken, was einem kriminellen Hacker einfällt.

Aus Sicht des Fraunhofer-Experten gibt es durchaus Unterschiede bei den Dienstleistern: Teilweise würden nur Standardtests aus Frameworks nach bestimmten Abläufen angeboten, die teils offen verfügbar seien. „Es gibt auch Anbieter, die wirklich explorative Tests durchführen, bei denen ein Hacker versucht, durch eigene Kreativität und Erfahrungsschatz in das System einzudringen – oft gelingt es damit, neue Schwachstellen oder neue Eintrittspunkte ins Netzwerk zu entdecken“, resümiert Alexander Giehl.

Immer die Basics abdecken

Je höher der initale Aufwand, desto weniger lohnt sich ein Angriffsversuch. Unternehmen tun also gut daran, mindestens die einfachen Zugangstore zu verschließen, um diesen Aufwand für Angreifer so hoch wie möglich zu gestalten. Zu den Mindestanforderungen an Sicherheit gehört, Risiken an der IT-OT-Schnittstelle zu reduzieren. Aus Erfahrung des Fraunhofer-Experten gilt es, Legacy-Systeme so weit wie möglich von der Netzwerkkommunikation zu isolieren und die Kommunikation, die an solche Knoten geht, zu überwachen sowie die Knoten selbst zu monitoren.

KI kann dabei helfen zu prüfen, ob sich das Verhalten der Knoten geändert hat oder ob die Kommunikation kritische Daten oder Anweisungen enthält. Neben einer solchen Microsegmentierung sieht Giehl das Zero Trust Management als wichtigstes Werkzeug. „Zero Trust heißt, dass man praktisch keiner Komponente im Netz implizit vertraut“, erklärt der Experte. Auch im internen Netz sollte beim Perspektivwechsel zu „Null Vertrauen“ nicht davon ausgegangen werden, dass sich die selbst gewählten Komponenten vertrauen können. Stattdessen gelte es, jeden einzelnen Zugang, auch wenn er von einem vermeintlich vertrauenswürdigen Gerät kommt, noch einmal extra zu überprüfen und zu überwachen.

Cyber Resilience Act: Warum Firmen investieren müssen

Der Cyber Resilience Act verändert die Anforderungen an Produkte im Maschinen- und Anlagenbau grundlegend. Ab Dezember 2027 dürfen nur noch nachweislich sichere Lösungen in der EU in Verkehr gebracht werden.

Daniela Hoffmann

Dauerhafter Schutz und schlechte Zahlungsmoral sind wichtig

Zugleich sollte die Zahlungsbereitschaft gesenkt werden, sagt Giehl. Dafür brauchen Unternehmen eine gute Backup-Strategie, bei der Sicherungen Offsite oder in isolierten Netzen gelagert werden, um kompromittierte Systeme vom Netz nehmen, ersetzen und so den Betrieb aufrechterhalten zu können. Um zu verhindern, dass Ransomware auch die Sicherungskopien verschlüsselt, ist eine strikte Trennung zwischen den Netzwerken und die Überwachung des Datenverkehrs nötig. Johannes Lauinger empfiehlt darüber hinaus jedem Unternehmen, eine Kultur zu etablieren, in der die eigenen Mitarbeitenden immer über die aktuellen Security-Trends und Schwachstellen informiert sind.

Ein sinnvoller Schutz ist aus Dewalds Sicht, kontinuierlich in Sicherheit zu investieren. Oft wüssten die IT-Leiter, bei denen es zu einem Vorfall gekommen ist, ganz genau, welche Probleme es gab und warum ein Angriff Erfolg haben konnte. „Wir hören häufig, dass schon seit Jahren mit der Geschäftsleitung darüber diskutiert wurde, man aber das Geld dafür nicht in die Hand nehmen wollte“, so der Experte. Paradoxerweise müssen dann im Schadensfall meist Unsummen ausgegeben werden.