Die Sicherheitsexperten von Palo Alto Networks rechnen mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational-Technology) verschiedener kritischer Infrastrukturen, was alleine durch die Ausfallzeiten Schäden in Millionenhöhe verursachen kann.
Die Entwicklung von Ransomware-Angriffen in kritischen Infrastrukturen ist demnach recht eindeutig und wird von Palo Alto Networks als ernsthafte Bedrohung gewertet. Erste erfolgreiche Angriffe gegen Netzwerke, die an OT-Umgebungen angrenzen, sind bereits bekannt geworden. Wenn sie Ausfallzeiten verursacht haben, hatte dies bisher „nur“ Auswirkungen auf den ICS-Betreiber (Industrial-Control-Systems = Industrielle Steuerungssysteme) selbst und wirkte sich bisher nicht auf die Dienste aus, die für die Bevölkerung entscheidend sind. Allerdings ist es laut Palo Alto Networks nur eine Frage der Zeit, bevor es zu einem erfolgreichen Angriff kommt, der den Ausfall einer wichtigen kritischen Infrastrukturumgebung – wie das Stromnetz oder ein Transportsystem – verursachen wird.
Das erforderliche Fachwissen für ICS-Umgebungen zu sammeln, Ransomware einzuschleusen und diese spezialisierten Systeme erfolgreich zu kompromittieren, erfordert eine Menge Aufwand, möglicherweise auch die Beteiligung eines Insiders. Die Sicherheitsexperten von Palo Alto Networks gehen daher davon aus, dass solche Angriffe höchstwahrscheinlich von finanziell und personell gut ausgestatteten cyberkriminellen Banden ausgehen. Diese nehmen bestimmte Einrichtungen ins Visier, um ein hohes Lösegeld einzufordern.
Der betroffene Infrastrukturbetreiber wird mit einer schweren Entscheidung konfrontiert sein: das Lösegeld in der Hoffnung auf eine rasche Wiedererlangung der Funktionalität zu bezahlen – oder – nicht zu bezahlen und stattdessen die Situation mittels eines funktionsfähigen Disaster-Recovery-Plans zu beheben. Die Gesamtkosten für letztere Maßnahmen können weit über das Lösegeld hinausgehen. Niemand in diesem Umfeld hofft, dass diese Art von Angriff im eigenen Betrieb passiert, aber ein solches Ereignis würde dazu führen, dass die gesamte Branche aufwachen und schleunigst darüber nachdenken müsste, wie ICS-Umgebungen effektiver – oder überhaupt grundlegend – zu schützen sind.
Nach Einschätzung von Palo Alto Networks sind die meisten OT-Betreiber zu schlecht ausgestattet, um mit anspruchsvollen Angriffen umzugehen. Ransomware ist nur eine von vielen modernen Angriffsmethoden, die eine andere, präventionsorientierte Denkweise und eine Reihe neuer Schutztechnologien erfordern. OT-Organisationen wachen aber langsam auf und modernisieren ihre OT-Sicherheit, aber es ist ein langer Weg, den die meisten dieser Unternehmen vor sich haben, bis sie in der Lage sein werden, immer anspruchsvollere Angriffe zu stoppen. Da IT- und OT-Umgebungen noch stärker zusammenwachsen, müssen sich die Betreibergesellschaften dazu veranlasst sehen, herauszufinden, wie die Angreifer eigentlich vorgehen und was der „Stand der Technik“ in Bezug auf Best-Practices und Technologien für Cybersicherheit ist.
Das Thema „Stand der Technik“ wird auch in den neuen EU-Gesetzesinitiativen zum Tragen kommen, die bis Mitte 2018 in das nationale Recht der Mitgliedsstaaten umgesetzt werden müssen. Die NIS-Richtlinie gilt dabei neben „digitalen Diensten“ auch für „Erbringer wesentlicher Dienstleistungen“. Dies ist laut NIS-Definition eine öffentliche oder private Einrichtung, die „eine Dienstleistung erbringt, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Tätigkeiten wesentlich ist; von Netz- und Informationssystemen abhängig ist; und bei der ein Angriff auf die Netz- und Informationssysteme erhebliche störende Auswirkungen auf den Betrieb hätte“. Unter anderem verlangt die NIS-Richtlinie, Sicherheitsmaßnahmen zu ergreifen, die dem „Stand der Technik“ entsprechen.
„Stand der Technik“ bedeutet in diesem Zusammenhang: Generell erforderlich sind Technologien, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde. Eine ältere, immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten punktuellen Lösungen besteht, ist kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen.
„Als effektiver erweist sich eine integrierte Sicherheitsplattform basierend auf Next-Generation-Firewalls und Next-Generation-Endpoint-Protection, mit sich optimal ergänzenden Komponenten, die miteinander kommunizieren können“, fasst Thorsten Henning, Senior Systems Engineering Manager, abschließend zusammen. „Eine solche Plattform liefert vollständigen Einblick in die gesamte Kommunikation im verteilten Netzwerk, um detailliert zu erkennen, an welcher Stelle das Unternehmen gerade gefährdet ist.“