A A A
| Sitemap | Kontakt | Impressum
ETZ Logo VDE Verlag Logo

18.05.2017

Auswirkungen von „WannaCry“ auf Automatisierungs-Software

Die Lösung Irma schützt vor Cyber-Angriffen

Seit Freitag, dem 12. Mai 2017, sind abermals viele Unternehmen weltweit durch den Cyber-Angriff „WannaCry“ (Ransomware) in ihrem Betrieb gestört worden. Insgesamt sind über 180000 Rechner in mehr als 100 Ländern bisher betroffen. Wie hätte es verhindert werden können? Das Unternehmen Videc gibt Antworten.

Mit der Erpresser-Software „WannaCry“ wurde eine der NSA seit langem „bekannte“ Sicherheitslücke im Windows-Betriebssystem von Kriminellen geschickt ausgenutzt. Neu an dem Angriff war, dass der Erpressungstrojaner selbstständig neue Computer über das Netz infizierte, ohne dass ein Nutzer etwa auf einen präparierten Link klicken musste. Dadurch konnte sich das Schadprogramm binnen weniger Stunden auch im eigenen Netzwerk zum Beispiel über WLAN ausbreiten. Dies kann zu großflächigen Systemausfällen führen.
Ein Angriff in solch beispiellosem Ausmaß in Bezug auf Verbreitung und Befall ist neu. „WannaCry“ überträgt sich über Windows-Dateifreigaben (SMB port 445), welches auch von OPC DA und im Generellen gern von Automatisierungssoftware zum Datenaustausch genutzt wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in seiner Pressemitteilung vom 15. Mai 2017 davon aus, “dass die Täter und Trittbrettfahrer immer neue Varianten in Umlauf bringen.“

Um die Verbreitung von Schad-Software im eigenen Netz zu erkennen, bedarf es einer kontinuierlichen Überwachung der IT-Systeme und deren Datenkommunikation. Diese lässt sich mit überschaubarem Aufwand realisieren, insbesondere in konservativen IT-Strukturen, welche die gängigen Softwareupdates nur sehr stark Zeit verzögert einspielen können oder dürfen. Die Videc-Lösung Irma hätte hier eine Veränderung der Nutzung der Dateifreigaben erkannt und eine entsprechende Alarmierung für das IT-Personal nach Erkennen eines Befalls gestartet. Die kontinuierliche Überwachung durch passives Scannen ist zu verstehen wie ein Leit- oder Scada-System in der Produktion. Dabei geht es nicht um die Produktionsdaten, sondern um das Netzwerk, deren Teilnehmer sowie die zugelassenen Kommunikationsprofile. Alle Unregelmäßigkeiten lösen Meldungen bzw. Alarme aus, ohne zusätzlichen Netzwerk-Traffic und ohne Softwareinstallation, die immer auch ein Angriffsvektor sein kann.

Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) bezeichnet die Anomalie Erkennung auf der Hannover Messe 2017 eine zentrale Sicherheitsstrategie – besonders für Unternehmen die in Richtung industrielles Internet der Dinge (IIoT) und die Industrie 4.0 voranschreiten. Die Industrie wird kurzfristig umdenken müssen: Hier gilt es, die Verantwortlichen und das Personal auf die aktuellen und zukünftigen Angriffsvektoren zu sensibilisieren. Klassische Sicherheitsmechanismen, wie Virenscanner und Firewalls, bleiben gesetzt. Sie gehören jedoch einer alten Generation von IT Security an. Gegen die neuen Strategien der Cyber-Kriminellen haben sie kaum Chancen. Dies betrifft auch Insellösungen. Firewalls und VPN sind wichtig, jedoch als ausschließliche Security-Komponenten grob fahrlässig.

Es geht nicht darum, „mal eben“ eine zusätzliche Security-Funktion für das IT-Netz einzukaufen. Um die Auswirkungen zukünftiger Cyberangriffe zu minimieren, ist vielmehr ein ganzheitlicher Sicherheitsmanagement-Prozess nötig. Dieser beinhaltet als wesentlichen Bestandteil die Analyse der bestehenden IT-Risiken und deren Behandlung. Hierbei hilft die automatische Visualisierung des IT-Netz auf dem aktuellen Asset-Bestand und die Nutzung einer etablierten Methodik wie den Standard ISO 27005.
CTO und die IT-Verantwortlichen in den Unternehmen müssen sich diesen Herausforderungen strategisch stellen. Zur Unterstützung bietet Videc das Spezialseminar „Kompakttraining Industrial Security“ zu diesen Themen an. Hier wird umfangreiches Know-how für die IT-Security im industriellen Umfeld vermittelt. Aktuelle Informationen auch zu den neu angekündigten Angriffen gibt es hier