Aufrufe
vor 6 Monaten

O+P Fluidtechnik 6/2017

O+P Fluidtechnik 6/2017

IT SECURITY WANNACRY –

IT SECURITY WANNACRY – DAS UNENDLICHE KATZ- UND MAUSSPIEL MENSCHEN UND MÄRKTE Die Erpressersoftware WannaCry hat sich in den Tagen nach dem 12. Mai dieses Jahres wie ein Lauffeuer verbreitet. Über 200 000 Rechner in insgesamt über 150 Ländern sind infiziert worden. Die Ursache dieser rasanten Infektionswelle liegt in den Algorithmen der etablierten IT-Sicherheitslösungen: Sie schützen ausschließlich vor bereits bekannten Gefahren – und sind machtlos gegen unbekannte oder modifizierte Angriffe. Welche Konsequenzen sind daraus zu ziehen? Sandro Gaycken, Leiter des Digital Society Institute an der inter nationalen Business School ESMT Berlin, warnte angesichts WannaCrys in einem Interview mit dem TV-Nachrichtensender n-tv vor dem grundlegenden Problem der gängigen Sicherheitsstrategien. „Es kann natürlich sein, dass die Angreifer den [Angriffsmechanismus] jederzeit anpassen, oder dass es irgendwelche anderen Mechanismen gibt, die man übersehen hat“, erklärt der IT-Sicherheitsexperte die Schwebe, in der Unternehmen stets stecken. Die Gefahr sei noch nicht gebannt. Wie auch? Seit Jahrzehnten basieren IT- Sicherheitslösungen auf einer riesigen Liste bekannter Gefahren. Das Ergebnis ist ein nicht enden wollendes Katz- und Mausspiel. NEUARTIGE ANGRIFFSKONZEPTE Wanna Decryptor, wie die Schadsoftware ursprünglich heißt, ist ein Verschlüsselungsprogramm. Das Schadprogramm installiert sich auf einem Rechner, verschlüsselt die Daten und Zugänge und gibt diese nur gegen ein Lösegeld wieder frei. Diese sogenannten Erpresserprogramme oder Ransomwares arbeiten in der Regel langfristig und treten meist vereinzelt auf. Das Ausmaß und die Geschwindigkeit der Ausbreitung von WannaCry sind bis dato einzigartig – und vermutlich nur der Anfang neuer Angriffsvektoren und Cyberkriminalitätsaktivitäten. POINTIERT WANNACRY OFFENBART GRENZEN KLASSI- SCHER IT-SICHERHEITSSTRATEGIEN INDUSTRIEUNTERNEHMEN BENÖTIGEN KON- TINUIERLICHE ÜBERWACHUNGSLÖSUNG… …DIE NICHT NUR GEFAHREN, SONDERN JEGLICHE ANOMALIE ERKENNT UND MELDET „Die rasante Verbreitung des jetzt stattfindenden Erpressungsangriffs lässt sich damit erklären, dass das Programm nicht nur über den typischen Weg von Emails bzw. deren Anhängen oder kontaminierte Webseiten auf die Rechner gelangte, sondern sich dann selbst aktiv über SMB-Kommunikation (Server Message Block, ein Netzwerkprotokoll, Hinweis der Redaktion) verbreitete.“ Das konstatiert Dr. Frank Stummer, Mitbegründer von Rhebo, einem Technologieunternehmen, das sich auf die Ausfallsicherheit industrieller Steuersysteme mittels Überwachung der Datenkommunikation spezialisiert hat. „Durch diese Kombination mit einem Wurm, der sich nach der Installation aktiv an andere Rechner im Netzwerk und Kontakte des infizierten Nutzerkontos versendet, konnte WannaCry auch auf andere Netzwerkebenen überspringen, was in verschiedenen Industrieunternehmen und Kritischen Infrastrukturen zu Produktions- und Infrastrukturausfällen geführt hat.“ DAS UNBEKANNTE ERKENNEN Klassische Sicherheitslösungen wie Firewalls und Virenscanner sind gegen diese Form des Angriffsmechanismus nicht gefeit. Sie erkennen weder unbekannte Gefahren – sogenannte Anomalien – noch hätten sie in jedem Fall ausreichend Einblick in die eigentliche Code-Struktur der Schadprogramme. „Industrieunternehmen müssen sich von der Illusion verabschieden, dass sie mit Firewalls, Virenscanner und Intrusion Detection-Systemen ihre Steuernetze ausreichend absichern können. Die Angriffsvektoren der Cyberkriminellen werden immer spezifischer und ausgeklügelter. Die Detektion wird oft erst möglich, wenn das Kind schon in den Brunnen gefallen ist“, kritisiert Stummer die Defizite gängiger Sicherheitslösungen. Vielmehr hilft Industrieunternehmen eine Lösung, die das Steuernetz kontinuierlich auf Anomalien überwacht und jede Abweichung von der Standardkommunikation im Steuernetz meldet. Auch das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) bezeichnete die selbstlernende Anomalie erkennung auf der diesjährigen Hannover Messe als eine zentrale Sicherheitsstrategie für das industrielle Internet der Dinge und die Industrie 4.0. Mit diesem Ansatz hätte auch der Angriff durch WannaCry frühzeitig erkannt werden können. Er wäre sofort als abweichende Kommunikationsstruktur im Netzwerk gemeldet worden, so dass Gegenmaßnahmen frühzeitig eingeleitet hätten werden können. „Die Überwachung muss lückenlos erfolgen. Das heißt, wirklich jede verdächtige Aktion im Steuernetz muss gemeldet werden – ganz unabhängig davon, ob diese bereits als Gefahr gelistet ist oder nicht. Alles andere wird in Zukunft unzureichend sein. WannaCry hat soeben diese Zukunft eingeläutet“, ist Dr. Stummer überzeugt. www.rhebo.com 14 O+P Fluidtechnik 6/2017

JENSEITS ETHISCHER NORMEN Die selbstlernende Anomalieerkennung soll Angriffen auf die Steuernetze von Industrieunternehmen in Zeiten von Industrie 4.0 vorbeugen. Ein solches System hätte die Einleitung von Maßnahmen gegen Wanna Cry deutlich beschleunigt, so das Bundesministerium für Sicherheit in der Informationstechnologie (siehe nebenstehender Artikel). Ist dies wirklich die abschließende Lösung im Kampf gegen Cyberangriffe? Muss man nicht eher die Frage nach der Entwicklung unserer Gesellschaft stellen? Ziel von WannaCry waren unter anderem Krankenhäuser. Durch die Dateiverschlüsselung mit paralleler Lösegeldforderung hat die Ransomware die Behandlung vieler Patienten verlangsamt und behindert. Indirekt könnte dies sogar Menschenleben in Gefahr gebracht haben. Wer tut so etwas aus Habgier? Ins Bild passt hier auch der Anschlag auf den Mannschaftsbus von Borussia Dortmund vom 11. April dieses Jahres. Wenn auch nicht mit den Waffen der Cyberkriminellen aus- FLUIDTECHNIK geführt, war auch in diesem Fall Habgier das Motiv. Laut den Ermittlern soll der festgenommene Tatverdächtige mit seinem Angriff versucht haben, dem börsennotierten Fußballclub einen größtmöglichen Schaden zuzufügen. Der Aktienkurs sollte einbrechen und der Tatverdächtige wollte sich durch sogenannte Put- Optionsscheine bereichern, so die zuständigen Behörden. In diesem Fall soll der Personenschaden somit sogar integraler Teil des Plans zur persönlichen Gewinnmaximierung gewesen sein. In welch einer Welt leben wir, in der für ein paar Euro Menschenleben gefährdet werden? Sollte nicht eher eine Debatte über Moral und Anstand angestoßen werden, um solchen Angriffen vorzubeugen, anstatt über immer neue Abwehrmechanismen zu diskutieren? Ich glaube, langfristig hilft nur präventiv aufzuklären: Das heißt, den jungen Menschen unserer Gesellschaft vor Augen zu führen, wie jämmerlich und niederträchtig ein solches Vorgehen ist. Kurzfristig braucht es natürlich dennoch wirksamen Schutz. Auf IT-Ebene muss in Zeiten der vernetzten Produktion neu gedacht werden. Die genannten Beispiele der jüngeren Vergangenheit haben gezeigt, dass die Angreifer jenseits der ethischen Normen unserer Gesellschaft agieren und vor Nichts und Niemandem Halt machen. Auch im Maschinen- und Anlagenbau sind Szenarien denkbar, in denen Menschenleben gefährdet werden könnten, um einem Unternehmen Schaden zuzufügen. Ich schätze, gerade kleinere Unternehmen im Maschinen- und Anlagenbau setzen noch auf „herkömmliche“ IT- Sicherheitssysteme, wie sie nebenstehend erläutert werden. Es gilt also, sich schlau zu machen und ein geeignetes System zu finden, mit dem Ihr Unternehmen solchen Attacken Einhalt gebieten kann. Peter Becker, Redaktion O+P Fluidtechnik Hinweis des Autors: Ich will mit diesem Kommentar in keiner Weise andere Arten von Attacken als gerechtfertigter darstellen als die oben genannten.

© 2016 by Vereinigte Fachverlage GmbH. Alle Rechte vorbehalten.

Ausgabe