zurück zur Themenseite

IT-Sicherheit

Andreas Mühlbauer,

Tägliche Angriffe mit Ransomware

Paddy Francis ist CTO von Airbus CyberSecurity. Mit ihm sprach Andreas Mühlbauer über die Bedrohungen von Industrieunternehmen durch Cyber-Angriffe, die Sicherheit von Cloud-Systemen und die Möglichkeiten und Erfolgschancen von Abwehrstrategien.

Aus Sicht der Cybersicherheit - welches sind die größten Bedrohungen für die Unternehmen, ihre Daten und ihr Know-how?

Das hängt stark von der Art des Unternehmens, dem Geschäftsmodell und der Motivation der potenziellen Angreifer ab. Das Ziel des Angreifers könnte finanzieller oder politischer Natur oder sogar Rache sein. Unter diesem Gesichtspunkt sollten man auch Insider-Angriffe nicht ausschließen. Potenzielle Bedrohungen des Geschäftsmodells können massive Störungen der Geschäftsprozesse und Dienstleistungen sein, die sich direkt auf die Produktion auswirken oder dem Unternehmen den Zugriff auf eigene wichtige Daten unmöglich machen. Es gibt auch andere Probleme wie den Verlust von geistigem Eigentum oder den Verlust von Kundendaten, die direkte finanzielle Auswirkungen durch Geldbußen oder Rechtsstreitigkeiten und Reputationsschäden haben können.  

Die meisten hochentwickelten Angriffe kommen immer noch von fremden Geheimdiensten, aber Cyberkriminelle liegen nur knapp dahinter. Tatsächlich ist die Trennung zwischen staatlichen Akteuren und Kriminellen oft kaum noch aufrecht zu halten, da kriminelle Gruppen als Stellvertreter für staatliche Akteure fungieren können. Dabei ist Ransomware nach wie vor eine der größten Bedrohungen. Auch wenn es viele andere Angriffsarten wie Phishing gibt, setzen Cyberkriminelle immer noch gerne darauf, ungezielt Ransomware so weit wie möglich zu verbreiten, in der Hoffnung, finanzielle Gewinne zu erzielen. Mit diesem Risikopotenzial sollte sich jeder auseinandersetzen. Andere Angriffe zielen auch darauf ab, Schwachstellen in kleinen und mittleren Unternehmen (KMU) in der Lieferkette auszunutzen, um Zugang zu Unternehmenssystemen zu erhalten, insbesondere zu geistigem Eigentum und kommerziellen Informationen. Sobald sie ins System eingedrungen sind, können Cyberkriminelle mithilfe von Administrationswerkzeugen wie PowerShell und WMI den Angriff fortsetzen, ohne dass dabei Malware verwendet wird, die möglicherweise erkannt wird.

Anzeige

Inwieweit kann ein Unternehmen seine IT und die gesamte Produktion wirklich vor Angriffen schützen?

Um Benjamin Franklin zu zitieren: "In dieser Welt ist nichts sicher, außer Tod und Steuern." Es gibt keine einhundertprozentigen Garantien. Genauso wenig gibt es das eine Wundermittel. Es gibt jedoch verschiedene Maßnahmen, um die IT- und Produktionssysteme von Unternehmen vor Angriffen zu schützen. Um diese festlegen zu können, ist es wichtig, eine Cyber-Risikobewertung durchzuführen, um die potenziellen Auswirkungen eines Angriffs auf das Unternehmen zu erkennen und dessen Risikobewertung einschätzen zu können. Im Idealfall balanciert ein Unternehmen aus, wie viel es für die Verteidigung seiner Systeme gegen einen Angriff und wie viel es für Monitoring ausgibt, um eine Sicherheitslücke zu erkennen und dann darauf zu reagieren, wenn sie auftritt. Der Saldo hängt vom Geschäftsrisiko und dem verfügbaren Budget für Cybersicherheit ab. In vielen Fällen werden Unternehmen nicht ihre bestehenden Systeme ändern wollen, um bessere Verteidigungsmöglichkeiten zu schaffen. Dies kann dazu führen, dass eine umfassende Überwachung und in einigen Fällen eine nahezu kontinuierliche Reaktion auf Vorfälle erforderlich ist, da die Infrastruktur aufgrund fehlender Zoneneinteilung, der unkontrollierten Nutzung von Administratorrechten und des Fehlens von Abwehrmaßnahmen innerhalb des Systems nicht verteidigt werden kann.

Im Allgemeinen lassen sich jedoch etwa 80 bis 90 Prozent der Angriffe auf IT-Systeme einfach durch Standardmaßnahmen wie rechtzeitiges Patchen, Virenschutz, Verwendung von Least-Privilege-Prinzipien, Schwachstellenbewertung und Zwei-Faktor-Authentifizierung bei Fernzugriff und kritischen Systemen sowie Servern stoppen. Für Operational-Technology-(OT-)Systeme können ähnliche Maßnahmen sowie Zoneneinteilung und Monitoring Schutz bieten, die jedoch je nach System variieren. Defensive Architekturen lassen sich auch sowohl auf IT- als auf OT-Systemen verwenden, um eine feindliche Umgebung für den Angreifer zu schaffen und ihn zu verlangsamen und zu zwingen, sich zu erkennen zu geben. Dies erleichtert die Erkennung des Angriffs und die anschließende Reaktion auf Vorfälle. Mit weiteren Maßnahmen lässt sich die Sicherheit schrittweise verbessern, aber ein hundertprozentigeriger Schutz kann nie garantiert werden.

Ist die Speicherung der eigenen Daten in einer externen Cloud ein Unsicherheitsfaktor?

Es gibt immer Risiken, aber diese unterscheiden sich bei der externen Datenspeicherung von der Datenspeicherung im eigenen Haus. Insbesondere bei der Nutzung der Cloud ist nicht immer nachvollziehbar, wo Ihre Daten physisch gespeichert sind. Um die Datenschutzanforderungen zu erfüllen, sind Sie auf den Cloud-Provider und den mit ihm abgeschlossenen Vertrag angewiesen. Andererseits könnte man argumentieren, dass in der Cloud gespeicherte Daten sicherer sind, weil Cloud-Anbieter in der Lage sind, eine widerstandsfähige Multi-Site-Speicherung und die Spiegelung von Daten zu gewährleisten, um sie im Katastrophenfall verfügbar zu halten, was bei der Speicherung vor Ort nicht immer der Fall ist. Je nach Unternehmen können Cloud-Dienste auch einen besseren Schutz vor Datendiebstahl bieten, insbesondere für KMUs, die möglicherweise nicht über die Ressourcen zur Verwaltung komplexer Sicherheitssysteme vor Ort verfügen. Allerdings ist eines der größten Risiken bei Cloud Storage die Fehlkonfiguration durch den Benutzer.

Cloud-Dienste haben definitiv ihren Platz in der Diskussion, aber die Möglichkeiten, Sicherheitsaspekte zu managen basieren auf anderen Aspekten. Das beginnt bei der Auswahl des Cloud-Anbieters, der Vereinbarung der SLAs und der Inklusion von Klauseln in den Verträgen, die benötigten Sicherheits- und Datenschutzaspekte abdecken.

Welche Dienstleistungen bietet Airbus CyberSecurity seinen Kunden an?

Derzeit betreiben wir Security Operation Centers (SOC) in Deutschland, Frankreich und Großbritannien, die alle rund um die Uhr in Betrieb sind, und demnächst werden wir über ein viertes SOC in Spanien verfügen. Von diesen SOCs aus bieten wir Managed Security Services für Regierungsbehörden und Unternehmenskunden an. Diese Dienstleistungen sind auf jedes Land zugeschnitten und unterscheiden sich daher teilweise leicht von Land zu Land, beinhalten aber:

  • Protective Monitoring
  • Vulnerability Management
  • Event & Incident Management and response
  • Cyber Threat Intelligence & Threat Hunting
  • Incident Response
  • Penetrationstests

Wir installieren auch SOCs direkt bei Kunden, schulen das Personal zu deren Bedienung oder stellen unser eigenes Personal zur Verfügung, um die SOCs beim Kunden vor Ort zu betreiben.

Wir bieten auch Beratungsleistungen wie Sicherheitsrisikoanalyse und Security Maturity Assessments für IT- und OT-Netzwerke an und haben kürzlich die Aufnahme von OT-Monitoring angekündigt, um unseren Kunden kombinierte IT/OT SOC-Services anbieten zu können.

Welches waren die ungewöhnlichsten Cyber-Angriffe, die Sie persönlich erlebt haben?

Ich würde nicht sagen, dass ich persönlich besonders ungewöhnliche Angriffe gesehen habe. Wir erleben hauptsächlich ein ständiges Scannen auf Schwachstellen bei der Ausführung von Remote-Code. Es gab auch einen Anstieg bei der Verwendung von Skripting-Techniken für Persistenz und laterale Bewegung, gepaart mit "Living off the Land"-Techniken von Angreifern, die legitime Binärdateien zum Herunterladen oder Ausführen von Payloads verwenden. Dies kann eine Herausforderung sein, da es in der Regel keine erkennbare Malware gibt.

Wannacry führte auch das Konzept der "wormable" Ransomware ein (obwohl einige Viren dies bereits vorher hatten). Diese Art der Bedrohung entwickelt sich weiter, zum Beispiel mit der jüngsten "BlueKeep"-Schwachstelle.

Wie reagieren Sie auf aktive Angriffe oder Erpressung - zum Beispiel durch Ransomware? Und wie häufig passiert das?

Im Falle eines aktiven Ransomware-Angriffs würden wir unseren Prozess des Major Incident Management aufrufen und die Ausbreitung des Angriffs isolieren, indem wir Signaturen hinzufügen oder Ports auf IPSs blockieren und Firewall-Regeln aktualisieren. Dies erfordert zwar eine schnelle Reaktion, war aber erfolgreich, was wir in der Vergangenheit mit "wormable" Malware beweisen konnten.

Das Monitoring in unseren SOCs zeigt tägliche Ransomware-Versuche bei unserem Kundenstamm. Alle Versuche, bösartige Ransomware- Payloads herunterzuladen oder auszuführen, werden erkannt und blockiert. Wir betreiben auch Bedrohungsaufklärung (Threat Intelligence), um neue Ransomware-Kampagnen zu identifizieren und Signaturen, die wir aus diesen Informationen gewonnen haben, auf SOC-Toolsets zu verteilen, sodass wir über einen wirksamen Schutz verfügen, bevor unsere Kundennetzwerke infiziert werden können.

Anzeige
zurück zur Themenseite

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

SCOPE-Veranstaltungsreihe

"OT meets IT" – die Serie

Am 16. und 17. Oktober laden wir von SCOPE Sie zu den ersten beiden Veranstaltungen der Serie „OT meets IT“ nach Darmstadt ein. Starten wird die Reihe mit der Veranstaltung „Vernetzung und Kommunikation“ am 16.Oktober und wird fortgesetzt am 17....

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite