Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

29.11.2022

12:02

Cyberkriminalität

Industrielles Hacken bedroht die Industrie

Von: Andreas Schulte

Internationale Hackerbanden entwickeln immer professionellere Strukturen. Gerade Produktionsbetriebe müssen sich wappnen – Experten erwarten mehr Angriffe.

Hacker bedrohen Industrieunternehmen und gefährden nachhaltig die Produktion. Continental

Continental

Hacker bedrohen Industrieunternehmen und gefährden nachhaltig die Produktion.

Köln Es sind mutmaßlich hochsensible Informationen, die quasi öffentlich zum Verkauf stehen. 50 Millionen Dollar verlangte die Hackergruppe „Lockbit“, als sie drohte, Daten des hannoverschen Dax-Konzerns Continental jüngst im Darknet einzustellen und feilzubieten. Wie das Handelsblatt berichtete, könnten sich darunter auch Daten befinden, die im Zusammenhang mit wichtigen Conti-Kunden wie Volkswagen, Mercedes oder BMW stehen – insgesamt sollen es 40 Terabyte sein.

Die Daten sind die Beute einer Cyberattacke. Vier Wochen lang wandelten die Angreifer unbemerkt durch das Conti-Netzwerk, bevor Conti deren Eindringen auffiel. Ein solcher APT-Angriff (Advanced Persistant Threat) ist so etwas wie die Königsklasse unter den Attacken, eine „fortgeschrittene dauerhafte Bedrohung“. Sie zeichnet sich dadurch aus, dass Hacker oft monatelang unbemerkt im fremden Netzwerk zu Gange sind und sich erst dann – meist erpresserisch – melden, wenn sie besonders wertvolle Daten erbeutet haben.

Experten sehen im kommenden Jahr vermehrt APT-Angriffe auf Unternehmen zurollen. So geht es aus der jüngsten Prognose zur Cyber-Bedrohungslage des IT-Sicherheitsdienstleisters Kaspersky hervor. Der Softwareanbieter begründet seine Annahme unter anderem mit der Verbreitung des Programms DTrack, das häufig im Zuge von APT-Angriffen verwendet wird. Die zugespitzte Bedrohungslage ist auch Thema der Handelsblatt-Jahrestagung „Cybersecurity 2022“, die heute beginnt.

„Unternehmen müssen sich heute besser schützen denn je“, sagt Mirko Ross, Geschäftsführer von Asvin aus Stuttgart. Das Unternehmen bewertet Cyberrisiken im Auftrag der Industrie. Bei der Abwehr von APT-Angriffen sind große Industriebetriebe besonders gefordert. Dort bilden vernetzte Maschinen neben den ansonsten oft als Einfallstor genutzten E-Mail-Servern eine Angriffsfläche, die sehr gefährdet ist.

Das Problem: Je umfangreicher der Maschinenpark, desto größer die Unwissenheit über mögliche Schwachstellen. „Viele Unternehmen wissen kaum, welche Systeme bei ihnen zum Einsatz kommen“, sagt Ross. Gerade die von APT-Angriffen bedrohten Großunternehmen haben es schwer. „Manchmal baut ein IT-Mitarbeiter zum Beispiel kleine vernetzte Endgeräte, etwa Prototypen-Plattformen, ins Netz ein“, erklärt Ross. „Die werden oft sprichwörtlich vergessen, weil der IT-Leiter davon nichts weiß.

Grafik

Verlässt der Mitarbeiter irgendwann das Unternehmen, ist niemand mehr für diese Gerätchen zuständig. Sie veralten und werden zum Sicherheitsrisiko“, erklärt Ross. Da derartige Schwachstellen nicht verwaltet werden, können Angreifer ihre Attacken über einen längeren Zeitraum aufrechterhalten – und bleiben dabei unbemerkt.

Ein Angriff besteht meist aus drei Schritten. Der erste: ins Netzwerk eindringen und sich dort unbemerkt bewegen. Oft gelingt dieses Vorgehen durch das sogenannte Spear-Phishing. Dabei wird gezielt ein bestimmter Mitarbeiter aufs Korn genommen.

So kann zum Beispiel ein Angreifer die Mail eines Caterers fälschen und dem Eventmanager im angegriffenen Unternehmen einen Link für die vermeintliche Menüfolge einer bevorstehenden Firmenveranstaltung schicken. Gibt der Eventmanager zum Lesen des Menüs sein Passwort preis, liest der Angreifer mit.

Hacker teilen die Jobs auf

Im zweiten Schritt machen sich APT-Angreifer über den so erschlichenen Zugang im Netzwerk breit. Sie versuchen nun aus dem Inneren des Netzwerks heraus, Administratorenrechte und weitere Passwörter zu erlangen, um es Stück für Stück auszuspähen. Außerdem verschaffen sie sich weitere Zugänge zum Netzwerk. Dabei lassen sie sich durchaus mehrere Wochen Zeit. Sie wollen unentdeckt bleiben, bis sie genau erkannt haben, wo lohnende Angriffsziele liegen. Erst dann entscheiden die Angreifer im dritten Schritt, wo sie Daten einsammeln, kopieren oder verschlüsseln.

Dabei teilen sich die Banden die Aufgaben. „Der Hacker ist nicht zugleich der Erpresser“, sagt Steffen Zimmermann, Leiter des Competence Center Industrial Security beim Verband Deutscher Maschinen- und Anlagenbau (VDMA). „Zugänge werden unter Cyberkriminellen gehandelt“, weiß auch Mirko Ross.

Grafik

Tatsächlich gleichen APT-Banden mittelständischen Unternehmen. Der Chef von Lockbit beispielsweise gibt in einem anonym geführten Interview der Webseite „vx-underground“ an, mit rund 100 Partnern zu kooperieren. Lockbit wolle wachsen und hätte gern 300 Partner, so heißt es im Interview.

Auch beim VDMA geht man von einer steigenden Anzahl von APT-Angriffen aus. Die vielen Ransomware-Attacken, bei denen Verschlüsselungstrojaner ins Netzwerk geschleust werden und der Erpressungsversuch bald nach dem Eintritt ins Netz erfolgt, sind nur noch ein Teil des Plans. „Wir sehen erstmals, dass die Verschlüsselung von Daten mit anschließender Lösegeldforderung nur als Ablenkungsmanöver dient, um an anderer Stelle im Netzwerk unbemerkt Daten zu kopieren, zum Beispiel zu Spionagezwecken“, sagt Zimmermann.

Sicherheitsbeauftragte fehlen

Längst nicht alle produzierenden Mittelständler haben derartige Professionalität auf der Gegenseite erkannt. „Es gibt weiterhin Unternehmen mit mehreren Hundert Mitarbeitern, aber ohne Beauftragten für IT-Sicherheit“, sagt Zimmermann. „Wo die IT nicht zum Geschäftsmodell gehört, wird zu wenig für sie getan.“

Mit der Untätigkeit und Arglosigkeit der Firmen wächst freilich das Risiko, Opfer eines Angriffs zu werden. Klar ist: Je stärker die Digitalisierung bei Produktionsbetrieben fortschreitet, desto mehr vernetzte Geräte gibt es – und damit wächst die Zahl potenzieller Einfallstore. Zugleich ist kein Ende beim Fachkräftemangel in der IT in Sicht. Es sind also neue Wege nötig, um das eigene Netzwerk abzusichern. IT-Sicherheitsexperte Ross empfiehlt daher eine Automatisierung von Updates und Sicherheitspatches, um die Risiken besser in den Griff zu bekommen.

Der Maschinenbauer Kracht im sauerländischen Werdohl hat erst in diesem Jahr seine IT in Teilen neu aufgestellt. Der Grund ist unter anderem eine Cyberattacke im Februar, die den Produktionsprozess beim familiengeführten Unternehmen ins Stocken brachte. Obwohl das Unternehmen auf ein Daten-Back-up zugreifen konnte und kein Lösegeld zahlte, entstand ein Millionenschaden.

Damals konnten sich die Erpresser Zugang zum Netzwerk über eine gefälschte E-Mail verschaffen. Kracht trennte Maschinen unmittelbar nach Bekanntwerden der Attacke vom Netzwerk, sodass sich die Angreifer nicht weiter im Netz ausbreiten konnten. Ein IT-Dienstleister unterstützte dabei. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt eine Liste mit 32 IT-Beratungen für die Identifikation und die Abwehr von APT-Angriffen. „Wir waren nach sieben Tagen wieder arbeitsfähig“, sagt Krachts geschäftsführender Gesellschafter Heiko Zahn.

Grafik

Heute hat das Unternehmen das Produktions- und Messmaschinennetz von den anderen Netzen getrennt. Für den Datenaustausch existieren speziell abgesicherte Wege. Hacker sollen zudem schneller erkannt werden. „Wir können ungewöhnliche Datenbewegungen nun besser identifizieren und teils automatisch verhindern. Hierfür setzen wir auch Künstliche Intelligenz ein“, sagt Zahn.

Üblicherweise bündeln APT-Angreifer Daten innerhalb des Netzwerks, bevor sie versuchen, sie hinauszuschleusen. Dabei verwenden sie Formate, die das angegriffene Unternehmen möglicherweise nicht einsetzt. Für die Pflege des Netzwerks hat Kracht nun zusätzlich einen externen Dienstleister engagiert.

Bis zu 10.000 Schwachstellen

Auch ganz neue Maschinen sind im Netzwerk nicht immer sicher. Sie können sogar im Gegenteil ein Schwachpunkt sein. „Wenn die Wartungsroutine noch nicht angelaufen ist und noch keine Patches für mögliche Schwachstellen vorliegen, haben Angreifer leichteres Spiel“, sagt Ross.

Um ihr Schutzniveau zu erhöhen, sollten sich Unternehmen zunächst einen Überblick über ihr System verschaffen, rät Ross. Bei Großunternehmen könnten dabei schnell bis zu 10.000 Schwachstellen zutage treten, so seine Erfahrung. Im zweiten Schritt gilt es daher, die Risiken zu priorisieren. Dabei helfen zwei Leitfragen: Welche Ziele kann ein Hacker über die Schwachstelle angreifen? Und wie wahrscheinlich ist es, dass ein Angreifer diese Lücke ausspäht?

Ein weiteres Problem sind lange Software-Lieferketten. Je internationaler sie sind, desto risikobehafteter. Weiß beispielsweise jeder Autobauer wirklich genau, welche Software das zugekaufte Navi enthält? Wird darin mangelhafte Software verwendet, kann dies zum Einfallstor für Hacker werden. Asvin-Chef Ross plädiert daher für zertifizierte Software entlang der Lieferkette. Das würde auch vernetzte Geräte in der Produktion umfassen und sichern.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×