Durch Angriffe auf die Datennetze von Energie- und Wasserwerken, Krankenhäusern und Transportunternehmen kann unsere digitalisierte Gesellschaft erheblich in Gefahr geraten. Moderne Cyberattacken lassen sich jedoch mit Sicherheitsupdates und herkömmlicher Virenschutzsoftware nicht mehr abwehren. Kritische Infrastrukturen brauchen wirksame IT-Sicherheitslösungen, die sie zuverlässig schützen. Die zivile, digitalisierte Gesellschaft muss aufrüsten.
Vor wenigen Wochen wurden in England die IT-Systeme von Krankenhäusern von der Schadsoftware „WannaCry“ getroffen. Die Folge: Operationen mussten abgesagt und die Patientenversorgung erheblich eingeschränkt werden. Sechs Wochen nach WannaCry rüttelte die Schadsoftware „Petya“ erneut an den Grundfesten von Sicherheit und Ordnung: Betroffen waren vor allem Unternehmen und Behörden sowie die Eisenbahn in der Ukraine und Computer des 1986 havarierten Kernkraftwerkes von Tschernobyl.
Was kurzzeitig zu einem medialen Aufsehen führte, gehört im Gesundheitswesen längst zum Alltag: Eine aktuelle Untersuchung der Unternehmensberatung Roland Berger ergab, dass zwei Drittel aller deutschen Krankenhäuser schon einmal Opfer einer Cyberattacke waren.
Lohnendes Ziel
Neu an Angriffen wie WannaCry oder Petya ist, dass sie Ransomware-Attacken als Tarnung missbrauchen, die üblicherweise zur Erpressung dienen. Erkennen lässt sich das daran, dass Petya Teile der Festplatte löscht, anstatt sie zu blocken und dass die Hacker nur sehr nachlässig beim Eintreiben des Lösegelds sind. Für solche „Sabotage-Angriffe“ sind kritische Infrastrukturen ein lohnendes Ziel, da sie die Bevölkerung und den Staat im Kern seiner Funktion und seines Sicherheitsgefühls treffen. Versuche, Infrastrukturen zu manipulieren, auf die sich Energieversorger, Transportbetreiber, Notfalldienste und der Finanzsektor verlassen, könnten gewaltige Konsequenzen nach sich ziehen. Sie stellen eine ernsthafte Bedrohung für die öffentliche Sicherheit dar.
Unabhängig davon, ob Erpressung oder feindliche Sabotage: Technisch wird es immer herausfordernder, solche Angriffe abzuwehren. Während sich Unternehmen und Behörden, die aktuelle Sicherheitsupdates installiert hatten, bei WannaCry noch einigermaßen sicher sein konnten, lautete die ernüchternde Einschätzung des BSI im Falle von Petya:
„In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patch-Stand sind.“
Petya war deshalb so gefährlich, weil es den so genannten „Zero-Day Exploit“ EternalBlue für die Verbreitung genutzt hat. „Zero-Day Exploits“ nutzen gezielt Lücken in der Sicherheit aus, bevor diese entdeckt und geschlossen werden können. Herkömmliche Antiviren-Software kann solche Angriffe nicht abwehren. Das macht diese Attacken so gefährlich.
Proaktiver Schutz
Benötigt werden deshalb Sicherheitslösungen, die nicht auf die Angreifer reagieren, sondern diese „proaktiv“ aus dem IT-System fernhalten. Sie sind vergleichbar mit einem ESP-System bei Fahrzeugen, die proaktiv Unfälle verhindern.
Proaktive Sicherheitssysteme setzen sich heute bei kritischen Infrastrukturen immer weiter durch und gelten beispielsweise im behördlichen Bereich als Standard.
Nachfolgend einige Beispiele für proaktive Cybersicherheitslösungen:
Der virtuelle Browser
Rund 70 Prozent der Malware dringen über den Browser in das Netzwerk ein. Um die Angriffsfläche zu verkleinern, setzt man auf strenge Separierung – d. h. man arbeitet mit einem voll virtualisierten Browser mit einem eigenen Betriebssystem, der von allen anderen Anwendungen und den Daten hermetisch – d. h. auf Hardware-Ebene – getrennt ist: Unternehmensdaten sind dadurch für Angreifer wie etwa Ransomware unsichtbar. Viren, Trojaner & Co. bleiben in der virtuellen Umgebung eingeschlossen und können sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten. Angriffe auf das Windows-Hostsystem laufen ins Leere – unabhängig von der Art des Angriffs.
Hat sich der Browser einmal einen Schadcode eingefangen, wird die virtuelle Browserumgebung einfach neu gestartet. Damit steht er sofort wieder virenfrei zur Verfügung. Auch das Herunterladen von Dateien und Speichern von Screenshots oder das Hochladen von Informationen ist möglich, denn die virtuelle Browser-Umgebung erlaubt die personenbezogene Freischaltung von Up- und Downloads.
Das geteilte Smartphone
Mobile Geräte werden zu einer immer größeren Gefahr für Unternehmen und Behörden. Ihre vorinstallierten Sicherheitsmechanismen reichen nicht aus, um Malware abzuwehren. Hinzu kommt: Der Trend zum „Bring your own device“ – also der Nutzung privater Geräte für geschäftliche Prozesse – macht es Hackern besonders leicht, Zugriff auf sensible Daten zu erlangen. Auch bei Smartphones und Tablets kann man Unternehmensdaten am besten durch die Trennung eines offenen und eines geschützten Bereiches vor Angreifern schützen.
Mobile Sicherheitslösungen enthalten dann bspw. einen erweiterten Android-Sicherheitskern, der in zwei gesonderte Sicherheitsbereiche unterteilt wird: einen privaten Bereich („OPEN“) und einen Arbeitsbereich („RESTRICTED“). Anwendungen und Daten in diesen jeweiligen Sicherheitsdomänen werden streng voneinander getrennt.
Durch diesen Mechanismus ist das mobile Gerät effektiv geschützt vor Zero-Day-Exploits von Apps und Middleware, Advanced Persistent Threats und Schadcode-Programmen. Vom Benutzer installierte Apps können nicht auf sensitive Daten zugreifen. Die RESTRICTED-Domäne steht unter vollständiger Kontrolle eines zentralen Managements.
Neue Firewall-Technologien
Herkömmliche Firewall-Technologien arbeiten mit sogenanntem „Black-Listing“: Datenpakete mit bekannten Angriffsmustern werden geblockt, alle anderen Daten werden durchgelassen. Gegen neue und unbekannte Angriffe bleiben solche Mechanismen wirkungslos. Hier helfen neue Technologien, wie sie Next-Generation Firewalls nutzen, bei denen Datenpakete proaktiv geprüft werden. Nur wenn diese sich als gutwillig identifizieren können, dürfen sie passieren. Alle anderen, auch die unbekannten, werden abgewiesen.
Dieses als „Whitelisting“ bezeichnete Verfahren bietet sich besonders im Intranet und für SCADA- und IoT-Netzwerke an. Solche Netzwerke, wie sie z. B. von der Energiebranche und bei Transportunternehmen genutzt werden, sind extrem gefährdet; Produktions- und Steuerungs-Netzwerke sind meist älteren Datums und nicht mit Blick auf IT-Sicherheit entworfen worden.
Im Zuge der Digitalisierung bieten sie zunehmend Schlupflöcher für Hacker und Saboteure und erhöhen auch das Risiko durch Fehlbedienung. Mit dem Whitelisting lässt sich bis auf die Ebene einzelner Anwendungen, Protokolle und Inhalte festlegen, welcher Datenverkehr erwünscht ist. Jeder vorher nicht definierte Traffic wird blockiert – die Netzwerke sind so zu jeder Zeit auch gegen noch unbekannte Gefahren geschützt.
Bislang wurden Prozess- und Steuerungsnetze zudem hauptsächlich durch klassische Firewalls geschützt, die das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line of Defense). Solche Perimeter-Firewalls reichen als Schutzkonzept in komplexen Industrienetzwerken nicht mehr aus. Benötigt werden stattdessen zusätzlich Firewalls, die im Inneren des Netzes arbeiten und dieses in mehrere Zonen segmentieren. Solche „Brandabschnitte“ sorgen dafür, dass im Falle eines Angriffs der Schaden nicht auf das gesamte Netzwerk übertreten kann.
Und schließlich sollte eine Firewall, die etwa ein Energie- oder Transportunternehmen schützt, auch die entsprechenden Protokolle unterstützen, wie SCADA, Modbus TCP oder DNP 3. Dann kann sie diese auch erkennen und dekodieren. Die Hardware muss zudem so konzipiert sein, dass sie auch für anspruchsvolle Einsatzorte wie Produktionshallen, Windparks, Werkstätten oder für das Verkehrswesen geeignet ist.
Mit einer gehärteten Hardware schützt die Firewall auch unter extremen Temperaturverhältnissen oder unter EMV-Einflüssen – also ungewollten elektrischen oder elektromagnetischen Effekten – verlässlich das Netzwerk.
Insbesondere die Energiebranche, Transportunternehmen, der Gesundheitsbereich oder Banken erfahren derzeit eine rasante digitale Transformation. Damit geht eine große Verantwortung einher: Effektive Sicherheitsvorkehrungen müssen getroffen und dabei auf tatsächlich wirksame Sicherheitslösungen zurückgegriffen werden.
Crisis Prevention 3/2017
Ammar Alkassar
CEO der Rohde & Schwarz Cybersecurity
cybersecurity@rohde-schwarz.com
https://cybersecurity.rohde-schwarz.com/de
