Cybersecurity

USB-Wechselmedien – Die Gefahr von innen

Die digitale Transformation bringt viele Vorteile mit sich – aber auch Gefahren. Durch die zunehmende Vernetzung steigt auch die Gefahr vor Schadsoftware und Cyberkriminellen. Eine der größten Gefahren geht aber von innen aus.

USB-Wechselmedien gelten als Sicherheitsrisiko für Unternehmen. © Shutterstock / Gorodenkoff

Mit der wachsenden Automatisierung in Industrieunternehmen wachsen auch bestimmte Herausforderungen. Die digitale Transformation kann zwar zahlreiche Wettbewerbsvorteile bieten, sie birgt aber auch neue Wege, das Unternehmen angreifbar zu machen. Die industrielle Cybersicherheit ist somit eine der größten technischen Herausforderungen in der heutigen Zeit. In der Regel erwarten viele Unternehmen und Anlagenbetreiber branchenübergreifend nicht, das Ziel einer ausgeklügelten Cyberattacke zu sein. Dies ist ein Trugschluss mit möglicherweise gravierenden Folgen. Oftmals wird jedoch ein weiterer Aspekt unterschätzt oder kaum berücksichtigt – die möglichen Gefahren können auch im Inneren lauern. Der Honeywell Industrial USB Threat Report, bei dem weltweit 50 Anlagen aus industriellen Bereichen wie Öl/Gas, Energie, Chemie und Zellstoff- und Papierherstellung untersucht wurden, belegte erst kürzlich, dass vor allem USB-Wechseldatenträger eine beträchtliche Bedrohungsquelle für Industrieunternehmen darstellen.

Das hohe Schadenspotenzial der gefundenen Malware ist einer der Haupterkenntnisse der Studie. Denn jeder vierte infizierte USB-Wechselträger besaß das Potenzial, eine erhebliche Störung in der industriellen Kontrollumgebung zu verursachen. Davon waren 16 Prozent der gefundenen Schadsoftware sogar speziell auf Störungen in Steuerungssystemen in industriellen Anlagen (ICS) oder auf IoT-Systeme ausgelegt. Des Weiteren waren 15 Prozent der identifizierten Malware namenhafte Schadsoftware wie Mirai, TRITON, WannaCry oder eine Variante von Stuxnet, die gezielt auf USB-Wechselmedien platziert wurden, welche speziell für die industriellen Anlagensysteme bestimmt waren. Anlagenbetreiber wissen, dass es nur eine Schwachstelle braucht, um kostenintensiven Schaden für den Betrieb anrichten zu können.

Anzeige

Die Abhängigkeit von Wechselmedien

Auch wenn Unternehmen intern auf die Nutzung von USB-Medien verzichten, vertrauen externe Dienstleister weitgehend auf den USB-basierten Austausch bei der Implementierung häufiger Updates in Kundensystemen. Für Industrieanlagen ist es zum derzeitigen Stand nahezu unmöglich, ihre Anlagen ohne Wechselmedien zu betreiben. Denn USB ist weiterhin eine der gängigsten Methoden für den Datentransport und -austausch in der Automation. 90 Prozent der Mitarbeiter und Dienstleister verwenden Wechselmedien zur Übertragung ihrer Daten. Ein Beispiel: Wenn in einer Öl-Raffinerie 259 offene USB-Schnittstellen existieren und neben den zahlreichen eigenen Mitarbeitern tagtäglich weitere 28 externe Mitarbeiter aktiv sind, kann das Gefahrenpotential durch vermeintlich unauffällige USB-Speichermedien schnell hochgerechnet werden.

Wer als Unternehmen nicht auf die Vorteile von USB-Medien in Automationssystemen (SCADA/PLS) verzichten kann, muss sich gezielt mit dedizierten Lösungen gegen USB-basierte Angriffe schützen.

Bei traditionellen IT-Produkten für den USB-Schutz besteht weiterhin unter anderem folgende Herausforderung:

• USB-relevante Richtlinien werden nicht durchgesetzt, da die USB-Abfrage umgangen oder Dateien nach Anfangsprüfung ergänzt und modifiziert werden können.
• USB-Sicherheitsmechanismen sind meistens schwach, da Dateien nur auf USB-Speicherebene von Antivirenprogrammen auf Bedrohungen gescannt werden, nicht aber auf USB-Firmware-Ebene. Noch dazu bleiben polymorphe Schadprogramme unerkannt und die aktuellsten Bedrohungen wie BadUSB und Rubber Ducky würden beispielsweise nicht erkannt werden.
• Es besteht hoher Personalbedarf und manueller Aufwand zur Aktualisierung der Schadsoftware-Signaturen.
• Schwachstellen werden mit Verzögerung und je nach personeller Verfügbarkeit eingepflegt. Schutzmechanismen sind somit nie wirklich aktuell. Diese verzögerten Systemaktualisierungen bedeuten ein Risiko für die Unternehmenssicherheit.

Obendrein sind die konventionellen USB-Schutz-Lösungen mit den leittechnischen Automation-Netzwerken gekoppelt. All diese Faktoren bedeuten eine vergrößerte Angriffsfläche für Cyberattacken auf Unternehmensnetzwerke und können verheerende Folgen mit sich bringen.

USB-Wechselmedien überprüfen

Traditionelle USB-Scanner lösen letztlich nicht das Security-Problem von Wechselmedien in industriellen Standorten, da sie eine kontinuierliche Aktualisierung der Antivirus-Software erfordern. Zudem sind sie nur auf die Erkennung IT-bezogener Bedrohungen ausgelegt. Honeywells Lösung für das USB-Speichermedium als potenzieller Malware-Schleuser ist „Secure Media Exchange“ (SMX), eine ganzheitliche Lösung gegen auf USB-basierte Angriffe auf das IT- und OT-Netzwerk. SMX setzt Security-Richtlinien konsequent durch, indem auf das USB-Gerät erst nach Check-in zugegriffen werden kann. Es bietet außerdem Manipulationsschutz und digital gekennzeichnete saubere Dateien.

USB-Datenträger, die im Unternehmen benutzt werden sollen, werden in eine kompakte, widerstandsfähige Hardware-Software-Box (SMX Gateway) gesteckt, überprüft und nach der Überprüfung mit einem einmaligen Zertifikat verschlüsselt. Parallel ist der SMX-Driver auf jedem zu schützenden Gerät installiert, welche nun ausschließlich überprüfte und verschlüsselte Medien erkennen und lesen können. Dadurch wird verhindert, dass ungeprüfte USB-Geräte die USB-Ports benutzen, der SMX-Driver hält die Schnittstelle nur für geprüfte USB-Geräte offen. Eingecheckte, verschlüsselte USB-Medien sind nun wiederum für andere Rechner nicht mehr erkennbar. So kann die nachträgliche Übertragung von Malware auf ein schon eingechecktes USB-Medium vermieden werden. Damit werden die Automation-Security-Richtlinien konsequent und ausnahmslos durchgesetzt.

Das SMX Gateway ist nicht mit dem Anlagenetzwerk verbunden und führt den Prüfungsvorgang unbekannter USB-Wechselmedien isoliert aus. © Honeywell

Das SMX Gateway ist zudem nicht mit dem Anlagenetzwerk verbunden und führt den Prüfungsvorgang unbekannter USB-Wechselmedien isoliert aus. SMX stellt somit keine Angriffsfläche dar. Das SMX Gateway kommuniziert – via LTE oder Ethernet – direkt und permanent mit dem Honeywell hybriden Service-Abonnement Advanced Threat Intelligence Exchange (ATIX). ATIX bietet stets aktuell verfügbare Bedrohungsinformationen mit selbstlernenden Funktionen und Automatisierung. Dabei wird das Zeitfenster für Angriffe auf den Anlagenbetrieb limitiert.

Außerdem bedeutet SMX geringere Wartungskosten, da es keine manuelle Pflege voraussetzt. Es bietet eine vollständig verwaltete Lösung und kann somit zu Kosteneinsparungen durch Personaleffizienz und integrierte Bedrohungserkennung beitragen. Selbstständige, permanente Schutzaktualisierungen des SMX informieren das System über industrielle und leittechnische Bedrohungsquellen, die weit über gängige Antivirus-Software hinausgehen. Somit werden automatisch die global erfassten Bedrohungen zu den Bedrohungsquellen hinzugefügt und stetig erweitert.

SMX überprüft nicht nur die Dateien, sondern auch die USB-Firmware und schützt vor Bedrohungen wie BadUSB oder Rubber Ducky. Darüber hinaus bietet SMX, zusätzlich zu Antivirus-Abfragen, auch eine erweiterte Reputation & File-Code Analyse und somit auch Schutz gegen polymorphe Malware.

Ergänzend werden von Honeywell eine Reihe von Services angeboten zur Erfassung und Bewertung der jeweiligen Bedrohungslage, der Cyber-Sicherheitsprofilerstellung für das entsprechende Unternehmen sowie für die Technologieintegration und das Training des zuständigen Personals. Selbst die Auslagerung bestimmter Maßnahmen, beispielsweise das automatische Patchen oder die regelmäßige Überwachung und Benachrichtigung im Falle eines Alarms sind heutzutage mit entsprechenden Managed Services-Paketen möglich.

Anzeige

Das könnte Sie auch interessieren

Anzeige

Security

Cybersicherheit für die Industrie 4.0

Das Industrial Internet of Things (IIoT) befeuert die Heterogenität von Systemen und Geräten innerhalb von Unternehmen. Damit wächst die potenzielle Angriffsfläche für Cyberattacken. Denn egal ob Produktions-straße, IoT-Gerät oder Roboter; alles ist...

mehr...
Anzeige

Gesamtanlageneffektivität auswerten und verbessern

Eine wichtige Kennzahl zur Messung der Wertschöpfung einer Produktionsanlage ist die Overall Equipment Effectiveness (OEE), die hierzulande Gesamtanlageneffektivität (GAE) genannt wird. Da erfolgreiche Verbesserungsansätze in der Produktion abhängig von einem zeitnahen Informationsaustausch über die GAE sind, bietet der Kennzeichnungsanbieter Bluhm Systeme seinen Kunden entsprechend vernetzte Soft- und Hardwarelösungen.

mehr...
Anzeige
Anzeige

Editorial

Risikofaktor Mensch

Vor einigen Wochen kam wieder einmal eine Warnung aus der IT: Hacker beziehungsweise Cyberkriminelle versenden Bewerbungs-E-Mails mit Trojanern oder anderer Schadsoftware im Anhang. Das Problem bei den E-Mails ist, dass sie auf den ersten Blick...

mehr...
Anzeige
Anzeige

Highlight der Woche

Kameragestützte Laserbeschriftung mit CPM
Der Einsatz von Vision-Systemen zur Bilderfassung und -verarbeitung ist ein wichtiges Werkzeug zur Prozesskontrolle und -optimierung. Entsprechend der Objektvielfalt bietet ACI kundenspezifisch angepasste Kameralösungen an.

 

Zum Highlight der Woche...
Anzeige
Anzeige
Anzeige

Editorial

Schulterblick

Fahre ich mit der Bahn, freue ich mich immer über fleißige Sitznachbarn. Gedankenverloren bearbeiten sie Tabellen, schreiben Protokolle oder checken Mails. Ja, ich bin neugierig, und nein, mich interessieren diese Daten überhaupt nicht. Von mir geht...

mehr...

Cybersecurity

Gütesiegel für IT-Sicherheit

Cyberattacken auf Industrieunternehmen schaden oftmals nicht nur dem angegriffenen Unternehmen. Trifft es den Zulieferer wichtiger Teile oder den Logistikpartner, sind dadurch Geschäfts- oder Fertigungsprozesse empfindlich gestört. Eine...

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite