Aktuell berichten die Medien über die mögliche Ransomware-Attacke auf den belgischen Flugzeugbau-Zulieferer ASCO. Seit über einer Woche liegt die Produktion schon still. Es wird vermutet, dass ein erfolgreicher Cyberangriff mit einem Erpressungstrojaner der Grund für die Lahmlegung des Konzerns war – die Produktion wurde an Standorten weltweit eingestellt und ein Großteil der Angestellten vorübergehend beurlaubt.
Angriffe mit Ransomware haben auch in Deutschland in jüngster Vergangenheit immer wieder Unternehmen aus Industrie und Produktion getroffen. Je nach Größe, Umsatz und Produkt können diese dann auch zur kritischen Infrastruktur (KRITIS) gezählt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in zwei Verordnungen Definitionen vor, damit Firmen prüfen können, ob sie unter das BSI-Gesetz fallen. Deutsche Unternehmen von der Größe von ASCO können durchaus als KRITIS gelten.
Unter KRITIS fallen Einrichtungen, die eine hohe Bedeutung für das Gemeinwesen haben und deren Ausfall entsprechende Beeinträchtigungen für die Bevölkerung mit sich bringen würde. Deshalb sind sie nicht nur allein für das am Laufen halten des eigenen Unternehmens verantwortlich, sondern müssen auch einer gesellschaftlichen Verantwortung nachkommen und den Anforderungen entsprechend gerecht werden. Denn sollte es hier zu einem Outage in diesem Umfang kommen, können Versorgungsengpässe oder die Störung der öffentlichen Sicherheit die Folgen sein.
IT-Verantwortliche müssen sich fragen, ob sie diesem Anspruch gerecht werden. Wichtig ist die Implementierung von Sicherheitsmechanismen, die dem Stand der Technik entsprechen. Dazu können neben internen Mechanismen auch externe Informationsquellen genutzt werden, die Daten zu Gefahren und Risiken bereitstellen. Solche Bedrohungsinformationen, auch Indicators of Compromise (IoCs) genannt, werden beispielsweise vom BSI zur Verfügung gestellt. Aber auch kommerzielle Anbieter und Sharing-Plattformen wie MISP stellen Daten zur Verfügung, die Unternehmen in ihre Security-Struktur integrieren können. Ziel ist es, die Firmen-IT so aufzustellen, dass bei einem Vorfall sofort erkannt werden kann, in welchem Bereich man tätig werden muss und vor allem wie.
Dennoch fehlt Organisationen die nötige Agilität. In einer Vielzahl der Fälle, müssten die Informationen – aufgrund unterschiedlicher Dateiformate – durch die IT-Sicherheits-Teams manuell eingegeben werden. Und genau an diesem Punkt resignieren die meisten bereits. Das führt zu mangelnde Reaktionsfähigkeit und erlaubt die ungebremste Ausweitung einer Infektion. Damit vorhandenes Wissen optimal zur Abwehr genutzt werden kann, ist es sinnvoll eine lokale Bedrohungsdatenbank aufzubauen und aktiv zu nutzen. Über eine solche Threat-Library ist es dann möglich die IoCs zu nutzen und diese auch mit internen, bereits vorhandenen Daten abzugleichen.
Malware wird es auch künftig geben und es werden ebenfalls neue Varianten und Formen auf der Bildfläche erscheinen. Auch Cyber-Angriffe entwickeln sich stetig weiter und werden zunehmend ausgefeilter. Unternehmen wie ASCO Industries, dürfen sich nicht nur auf die Reaktion und Abwehr beschränken. Eine Organisation dieser Größe, vor allem wenn diese unter KRITIS fällt, muss also abschätzen können, wie groß die Gefahr ist, selbst zum Opfer zu werden und entsprechend vorbeugend handeln. Sollte es dennoch zu einer erfolgreichen Attacke kommen, können die Bedrohungsinformationen dazu genutzt werden, schnell und gezielt zu reagieren und eine Epidemie, wie sie in diesem Beispiel der Fall ist, zu verhindern.
#Netzpalaver #ThreatQuotient