Wer die Medien verfolgt, weiß: Ausgefeilte und umfangreiche Cyber-Angriffskampagnen nehmen zu. Das führt gemeinhin zu zwei unterschiedlichen Reaktionen. Einige Beobachter verfallen in Fatalismus, da gegen staatliche Angreifer aus Russland, China usw. wohl ohnehin kein Kraut gewachsen ist. Warum dann überhaupt erst anfangen mit Cyber-Schutzmaßnahmen, wenn man es mit Geheimdiensten und Super-Hackern zu tun hat? Andere wiederum glauben den Versprechungen der Cyber-Sicherheitsindustrie, die argumentiert, dass professionellen Angreifern nur mit immer komplexeren Lösungen beizukommen ist. Künstliche Intelligenz, Netzwerk-Anomalieerkennung und andere Techniken, die für den normalen Menschen nicht wirklich durchschaubar sind, lassen grüßen.
Falsch sind beide Annahmen. Tatsache ist, dass ein recht simpler Grundstock an Schutzmaßnahmen einen hochgradig wirksamen Schutz selbst gegen die potentesten Angreifer darstellt, sofern er systematisch und flächendeckend eingeführt wird. In diesem Blogartikel nennen wir die fünf besten Schutzmaßnahmen, die ALLE bisher bekannten cyber-physischen Angriffe von Stuxnet bis zum Triconex-Angriff abgeblockt hätten.
1. Application Whitelisting
Application Whitelisting ist ein Pendant zu Antivirus-Programmen, aber effektiver. Es verhindert die Ausführung aller nicht ausdrücklich als autorisiert gekennzeichneten Softwareanwendungen und -bibliotheken. Im speziellen sollten Ihre Engineering-Systeme mit Whitelisting abgesichert sein. Das gilt natürlich auch und ganz besonders für die transportablen PGs. Mit dem Asset Management System OT-BASE sehen Sie sehr schnell, auf welchen Ihrer Systeme Whitelisting bereits installiert ist und wo nicht.
2. Keine Email in Prozessnetzen
Das mit Abstand größte Einfallstor für Schadsoftware ist das sogenannte Spearphishing: Email, die legitim aussieht, aber einen infizierten Anhang (PDF-Datei, Excel-Datei, Word-Datei o.ä.) enthält. Wird der Anhang geöffnet, kann sich die im Anhang enthaltene Schadsoftware im betreffenden Netzwerk ausbreiten. Die einzig wirksame Methode gegen die Spearphishing-Pest besteht darin, dass in Prozessnetzen der Email-Empfang grundsätzlich verhindert wird. Email kann natürlich weiterhin benutzt werden, aber die Rechner, die Zugriff auf den Email-Server haben, werden einfach im Office-Netz platziert. Mit VLAN-Technik geht das in der Regel ohne zusätzliche Verkablung.
3. Blockierung von ausgehendem Netzwerkverkehr ins Internet
Moderne Angriffskampagnen beruhen darauf, dass Daten aus dem Firmennetz exfiltriert werden, indem infizierte Rechner aktiv Verbindungen zu sogenannten Command-and-Control-Servern im Internet aufbauen. Auch der Download weiterer Schadmodule ist auf diese Weise möglich. Die technische Voraussetzung hierfür ist, dass Systeme im Prozessnetz solche Verbindungen ins Internet überhaupt aufbauen können — weil jemand vergessen hat, Firewall-Regeln für ausgehenden Verkehr zu definieren. Mit einer Konfigurationsänderung der Firewalls lässt sich das schnell beheben. Übrigens, das Asset Management System OT-BASE zeigt Ihnen, von welchen Prozessnetzen Verbindungen ins Internet aufgebaut werden.
4. Sichere Fernwartungszugänge
Fernwartungszugänge sind beliebt — ganz besonders auch bei Hackern! Ein besonders grotesker Fall war der Angriff auf das Stromnetz in der Ukraine in 2015, wo die Angreifer einen legitimen Fernbedienungszugang zu einer Leitwarte eines Stromnetzbetreibers verwendeten, um dann ferngesteuert über RDP 200.000 Verbraucher vom Netz abzuschalten. Eine gute Fernwartungstechnologie stellt sicher, dass es keine unbeabsichtigten und nicht autorisierten Fernzugriffe geben kann, weil jeder Zugriff explizit freigeschaltet werden muss. Überprüfen Sie daraufhin die von Ihnen verwendeten Zugänge.
5. Notfallpläne für die Systemwiederherstellung
Glauben Sie, niemals Opfer eines Cyber-Angriffs oder einer Schadsoftware zu werden? Dann brauchen Sie sich nicht um Notfallpläne zu kümmern. Falls Sie nicht so blauäugig sind, sollten Sie rechtzeitig und in Ruhe brauchbare Pläne entwickeln, mit denen im Fall des Falles die betroffenen Systeme schnellstmöglich wiederhergestellt werden können. Idealerweise sind solche Pläne schichtfähig, d.h. sie sind so ausführlich und klar dargestellt, dass es nicht besonders qualifizierten Personals für die Systemwiederherstellung bedarf. Auch alle erforderlichen Dateien (Backups usw.) sind für das im schlechtesten Fall (Feiertag) anwesende Personal einfach und eindeutig abrufbar, ohne dass es hier an fehlenden Zugriffsberechtigungen und ähnlichem scheitert.
Falls Sie mehr zu Cyber-Schutzmaßnahmen für die digitale Industrieautomation erfahren möchten, schauen Sie sich bitte unser Cyber-Sicherheitsprogramm RIPE an.