Ransomware-Angriffe sind für viele Produktionsausfälle der letzten Zeit verantwortlich. Zwar betreffen die Attacken in erster Linie IT-Systeme, wenn aber durch die steigende IT/OT-Konvergenz vermehrt Produktionsanlagen betroffen sind, lassen sich teure Ausfälle kaum noch vermeiden. Wie können Sie sich schützen und wie reagieren Sie im Notfall am besten?
Während der Vernetzungs- und Digitalisierungsgrad in der Industrie 4.0 weiter steigt, erhöht sich auch das Risiko von Cyber-Angriffen. So lautet die Frage nicht, ob man angegriffen wird, sondern vielmehr wann. Sehr präsent waren die Cyber-Security-Vorfälle in den USA bei Colonial Pipeline und dem Fleischkonzern JBS.
Jüngst musste auch das deutsche Unternehmen Fränkische Rohrwerke einen Ransomware-Angriff bekannt geben, bei dem alle Systeme blockiert, Daten verschlüsselt und 22 globale Standorte von einem einwöchigen Stillstand betroffen waren.
Was ist Ransomware eigentlich?
„Ransom“ ist der englische Begriff für Lösegeld. Somit handelt es sich um eine Art von Malware, die wichtige und kritische Daten verschlüsselt, um Lösegeld zu erpressen. Das Fatale dabei ist, dass die betroffenen Unternehmen und Organisationen keinen Zugriff mehr auf die verschlüsselten Systeme, Daten, Datenbanken oder Anwendungen haben. Die verursachten Schäden wie auch von den Hackern geforderten Lösegelder sind enorm hoch.
Dabei sind die „Erpressertrojaner“ meist so konzipiert, dass sie über Phishing-Mails, bösartige Links, Drive-by-Downloads, kompromittierte Kommunikationsprotokolle oder Exploits in das Netzwerk eindringen, sich ausbreiten und auf Datenbank- und Dateiserver abzielen.
Warum immer mehr Produktionsanlagen betroffen sind
IT (Informational Technology) umfasst das gesamte Spektrum und damit alle Technologien zur Datenverarbeitung – inklusive der dazugehörigen Hardware und Kommunikationstechnologie.
OT (Operational Technology) umfasst die Systeme, die zur Steuerung und Überwachung physischer Geräte wie Maschinen oder industrieller Anlagen nötig sind.
IT/OT-Konvergenz steht für die Integration beider Systeme, die – bei allen Vorteilen – ein wesentlicher Grund für die steigende Anzahl der durch Ransomware verursachten Produktionsausfälle ist.
So kommt vermehrt Informationstechnologie zum Einsatz, um die Datenverarbeitung und -analyse produktiver Prozesse in Echtzeit zu ermöglichen. Bei den Produktionsanlagen handelt es sich auch nicht mehr nur um isolierte Systeme, sondern um solche, die mit dem ERP-System des Unternehmens, diversen Netzwerken oder auch dem Industrial Internet of Things (IIoT) verbunden sind.
Je geringer der Airgap also wird, umso größer ist der Einfluss der IT-Systeme auf die der Produktion. Auch im negativen Sinne wie im Falle eines Ransomware-Angriffs. Sprich: Die Maschinen und Anlagen werden durch die Vernetzung und die Abkehr von geschlossenen, proprietären Systemen von außen angreifbar.
Wie man sich vor Ransomware-Angriffen schützen kann
Allein durch den Ausfall von Maschinen und Anlagen entstehen in Sekundenschnelle erhebliche Schäden. Umso wichtiger ist es, bei einem Ransomware-Angriff schnell zu handeln. Grundlegenden Schutz kann ein Security Operations Center (SOC) bieten, das als zentrale Leitstelle für alle sicherheitsrelevanten Themen rund um die IT wie auch OT eines Unternehmens dient.
Hier arbeiten qualifizierte Cyber-Security-Analysten mit speziellen Prozessen und Security-Tools, um Bedrohungen so früh wie möglich zu erkennen. Neben der IT überwachen Sie auch vernetzte Sensoren, Maschinen, Anlagen und Geräte von Unternehmen rund um die Uhr, analysieren Security-Muster und Anomalien und leiten Schutzmaßnahmen ein, um potenzielle Angriffe abzuwehren.
Auch auf gut geschulte Mitarbeiter kommt es an, denn ein oft verfolgter Angriffsvektor ist das gezielte Phishing mittels Social Engineering, um Zugriff auf das Unternehmensnetzwerk zu erhalten. Regelmäßige Awareness-Schulungen sensibilisieren die eigene Belegschaft für diese wie auch andere Bedrohungen und formen sie zu stabilen Gliedern der unternehmensinternen Abwehrkette. Arbeiten die eigenen Mitarbeitenden vermehrt mit mobilen Geräten, von Remote oder aus dem Homeoffice, helfen Lösungen wie Virtual Private Networks (VPN), Secure Internet Gateways (SIG) oder auch Endpoint Detection and Response (EDR), um den heutigen Sicherheitsanforderungen gerecht zu werden.
Was tun, wenn der Notfall eintritt?
Zuerst einmal gilt: Ruhe bewahren und überlegt, aber zügig handeln. Um besser einzuschätzen, ob tatsächlich ein Notfall vorliegt, hat der VDMA (Verband Deutscher Maschinen- und Anlagenbau) in seinem Dokument VDMA Notfallhilfe Ransomware wichtige Fragen formuliert. Wenn alle mit „Ja“ beantwortet werden können, handelt es sich um einen Ransomware-Notfall.
- Ist eine unkontrollierte Ausbreitung der Infektion (Verschlüsselung) im gesamten Netzwerk zu erwarten?
- Sind kritische IT-Systeme oder Informationen nicht mehr verfügbar oder akut bedroht?
- Sind kritische Geschäftsprozesse gestört oder akut bedroht?
- Sind die Schritte und Zeitdauer zur Behebung des Vorfalls unklar?
- Ist damit zu rechnen, dass die Dauer bis zur Wiederherstellung der Prozesse oder Systeme inakzeptabel ist?
- Hat der Vorfall über die eigenen Prozesse, Dienste und Systeme hinaus signifikante Auswirkungen, z. B. in der Lieferkette des Kunden?
Dann kommt es vor allem darauf an, die Kernsysteme zu isolieren und zu verhindern, dass sich die Malware weiter ausbreitet. Dazu gehören auch Fileserver, Domain-Controller und Datenbanken. Es folgen bestimmte Notfallschritte am infizierten Gerät und im IT-Netzwerk selbst. Dabei sollte man sich keinesfalls mit Adminrechten anmelden, bevor nicht alle Netzwerk- und Kommunikationsverbindungen getrennt sind.
Zusätzlich sollte ein Notfallstab gebildet werden, der die schnellstmögliche Wiederaufnahme des Geschäfts- oder Produktionsbetriebs gewährleistet und mögliche Folgeschäden auf ein Minimum begrenzt. Weitere und konkrete Schritte können Sie detailliert im oben verlinkten VDMA-Dokument nachlesen.
Mit IT/OT Security vor Ransomware absichern
Wenn das Kind in den Brunnen gefallen ist, ist es bereits zu spät. Um sich nachhaltig abzusichern und das Risiko langfristig zu minimieren, sollte man die eigene Gefährdungslage sorgfältig ermitteln und individuell darauf abgestimmte Maßnahmen etablieren.
So ist es deutlich wirksamer, eine umfassende und maßgeschneiderte Cyber-Security-Strategie zu implementieren, die sowohl IT- wie auch entsprechende OT-Systeme berücksichtigt, als einzelne Löcher bei Bedarf zu stopfen. Fragen Sie uns: Wir unterstützen Sie bei der Setzung der richtigen Prioritäten, Standortbestimmung, Wahl der passenden Maßnahmen, Zielsetzung und dem Weg dahin.
Sicherheitskonzept für industrielle Anlagen
Angriffe auf IT-Systeme betreffen heute nicht nur Enduser. Vielmehr sind immer öfter Industrieunternehmen betroffen. In unserem Whitepaper erfahren Sie mehr über die richtigen Lösungen gegen IT- und OT-Schwachstellen in der Ära des industriellen Internet of Things.