Zum E-Paper
Prozessabläufe sicher gestalten 06.03.2020, 13:06 Uhr

Achtung vor Cyberangriffen!

Ob ein Prozess ins Stocken kommt, hängt schon lange nicht mehr an defekten Maschinen. Diese können heute im Produktionsprozess repariert werden. Nicht so eine Schadsoftware in der Steuerung.

Hacker

Einkaufspreise für Cyberwaffen. 

Foto: Future Report 2017

Anlagen- und Maschinenausfälle in Produktionsprozessen hat unsere Gesellschaft heute dank Prozessoptimierung, Ersatzteil­lagerung und überwachender Instandhaltung gut im Griff – solange die automatisierten Produktionsprozesse reibungsfrei laufen. Der Pferdefuß sind nicht mehr schlecht geölte Triebwerke sondern sogenannte „Leaks“ in der Steuerungssoftware. In der Tat sind es heute IT-Sicherheitsvorfälle, die innerhalb von wenigen Monaten Schäden in Milliardenhöhe verursachen können. Etwa wenn Firmendaten entwendet, oder die gesamten Firmendaten verschlüsselt und eine Lösegeldforderung gestellt wurde – ein sogenannter Ransomware – Angriff ( von englisch ransom für „Lösegeld“). Auslöser war vermutlich der Trojaner „Emotet“, die momentan global gefährlichste Cyberbedrohung.

Jeder 5. IT-Sicherheitsvorfall ist ein Ransomware-Angriff

Lösegeldforderungen sind nicht immer an der Tagesordnung, aber auch ein Ausfall der Produktion über Wochen kann Unternehmen in Schwierigkeiten bringen. Oft muss ein großer Teil der IT –Systeme herunter gefahren werden, um den Schädling loszuwerden. Dann müssen Mitarbeiter bereits automatisierte Abläufe durch Handgriffe ersetzen, was in den meisten Fällen länger dauert. Und solche Angriffe sind keinesfalls ein Sonderfall. Laut einer Cybersecurity-Studie des TÜV ist jeder fünfte IT-Sicherheitsvorfall ein Ransomware-Angriff. Schlagzeilen hingegen machen nur besonders prominente Vorfälle. Wie zum Beispiel die Angriffe auf Kraus-Maffei, den Aluminiumhersteller Hydro Norsk und zuletzt den Maschinenbauer Pilz. Ende 2019 wurde der Trojaner sogar über die Weihnachtspost verschickt.

Warum ist besonders ein Cyberangriff von „Emotet“ so gefährlich?

Ein Angriff des Trojaners „Emotet“ ist deshalb so besonders gefährlich, weil der Virus Hackern den Weg auf fremde Rechner öffnet. Anschließend breitet sich der Trojaner vom mit Schadsoftware beladenen Gerät weiter aus. Und zwar an die Kontakte die im Emailprogramm des Rechners zu finden sind, er sammelt Adressen des Benutzers, so genanntes Outlook- Harvesting. Dabei benutzt er als Absender bekannte Kontakte des Benutzers. So entstehen ganz neue Möglichkeiten für Cyberverbrechen: Einmal eingeschleust können Angreifer ganze Unternehmen lahmlegen. Dazu werden die angegriffenen Rechner zu sogenannten Bot-Netzen zusammengeführt und unterschiedliche Angriffsszenarien werden durchgeführt. Sogenannte DDos-Angriffe legen beispielsweise Buchungssysteme, Online-Shops und Banken lahm. Der Trojaner „Emotet“ wird sehr häufig für die Vorbereitung von Ransomware-Angriffen genutzt. Diese Angriffe unterbinden den Zugang zu Daten und führen z.B. damit zu Ausfällen in der Steuer- und Regeltechnik. „Emotet“ lässt sich aber auch als eine Art Zugang für „Spionagesoftware“ nutzen. Unternehmen bemerken dies oft zu spät – wenn sensible Daten schon veröffentlicht wurden.

Wie kommt der Trojaner ins Firmennetzwerk?

Es handelt sich hier um eine sehr raffinierte Methode von Phishing-Mails, gefälschten Mails beispielsweise von bekannten Adressen versandt, so dass diese schwer vom Empfänger als Spam erkannt werden. Professionelle Hacker versenden dann eine Vielzahl solcher Mails, die über eine angehängte Datei Malware ins System schleusen. Meist wird der Empfänger über das Dokument aufgefordert, bestimmte Einstellungen am System vorzunehmen. Gelegentlich ist es aber auch möglich, dass die Schadsoftware direkt im Dokument steckt. Wird dieses angeklickt oder heruntergeladen, ist das System infiziert. Sobald der Rechner befallen ist, gibt Emotet eine Rückmeldung an den Hacker ab. Der Trojaner ist sogar noch heimtückischer, denn er liest parallel Inhalte aus Outlook-Postfächern aus. Damit stellt er Informationen zur Verfügung, die die Täter zur weiteren Verbreitung des Trojaners nutzen können.

Wie können sich Unternehmen von Cyberangriffen schützen?

Leider reichen aufgrund der großen Anzahl professioneller Phishingmails. Fehler sind schwer zu vermeiden. Firewalls und Antivirenlösungen sind oft zu schwach. Was hilft sind präventive Maßnahmen, also Sicherheitseinrichtungen, die sich selbstständig auf die Schadsoftware stürzen und sie aus dem System fernhalten. Außerdem hilft es, das interne Netzwerk vom Internet zu trennen. Gibt es einen Angriff über das Internet, kann die Schadsoftware nicht an interne Daten kommen. Alternativ dazu gibt es die Möglichkeit, einen virtuellen Browser zu nutzen. Die virtuelle „Surfumgebung“ wird auf eine separate Maschine gespielt. Der Vorteil: Die Schädlinge werden separiert und bei jedem Browserstart gelöscht. Und selbst wenn der Angreifer über einen USB-Stick in das interne System eingeschleust wird: Über die Trennung ist kein Zugriff ins Internet möglich, so dass sich die Schadsoftware nicht verbreiten kann.

Quelle: Rhode u Schwarz Cybersecurity GmbH

Von Annika Hilse