Cyber Security - Es ist zum Weinen!
Schadsoftware „WannaCry“ befällt Rechner in allen Lebensbereichen
Ob Industrieproduktion, Forschung, Verwaltung, Verkehr, Handel, Banken: Die moderne Informations- und Kommunikationstechnologien ist heute das Backbone in fast allen Bereichen einer Industrienation. Angriffe auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen sind folglich eine Gefahr nicht nur für Wohlstand und Sicherheit, sondern auch für Freiheit und Demokratie. Mitte Mai 2017 hat die Computer-Malware „WannaCry“ weltweit mindestens 200.000 Rechner im privaten und öffentlichen Bereich lahm gelegt. Der Hacker-Angriff ist nur das jüngste einer langen Reihe von Beispielen für das Gefahrenpotential, das Cyberattacken in hochentwickelten Ländern entfalten können. CHEManager sprach mit Prof. Dr.-Ing. Karl-Heinz Niemann, Hochschule Hannover, über das aktuelle Bedrohungspotenzial und über Abwehrmaßnahmen insbesondere für KMU. Das Gespräch führte Dr. Volker Oestreich.
CHEManager: Mitte Mai hat die Computer-Malware „WannaCry“ weltweit tausende Rechner im privaten und öffentlichen Bereich lahmgelegt. Was genau ist und was macht WannaCry?
Prof. Karl-Heinz Niemann: Bei WannaCry handelt es sich um eine so genannte Ransomware. Diese Software befällt einen Rechner und verschlüsselt die Inhalte auf der Festplatte. Damit sind die Daten nicht mehr verfügbar. Um wieder Zugang zu den Daten zu erhalten, ist ein Lösegeld (Ransom) zu zahlen. Dies beträgt bei WannaCry ca. 300$ und ist in der Netzwährung Bitcoin zu entrichten. Um der Forderung Nachdruck zu verleihen, wird mit der Löschung der Daten nach einem bestimmten Ablaufdatum gedroht.
Eine ähnliche Software gab es doch schon vor einigen Monaten unter dem Namen „Locky“.
Prof. Karl-Heinz Niemann: Richtig, und bei beiden erfolgt die Ausbreitung über verseuchte Email Anhänge. Bei Locky wird nur der Rechner befallen, auf dem der Anhang geöffnet wird. Bei WannaCry ist über eine Schwachstelle im Microsoft Windows Betriebssystem eine automatische Ausbreitung über das Rechnernetzwerk im Unternehmen möglich. Es reicht, den verseuchten Anhang auf einem der Rechner im Netzwerk zu öffnen. Danach werden alle verwundbaren Rechner im gleichen Netzwerk zu befallen. Das erhöht die Ausbreitungsgeschwindigkeit von WannaCry im Vergleich zu Locky.
Sie sprechen von einer Schwachstelle im Windows Betriebssystem. Was heißt das?
Prof. Karl-Heinz Niemann: Konkret handelt es sich um einen Programmierfehler im Server für Dateifreigaben. Darüber lässt sich ausführbarer Code in einen Rechner einschleusen. Die Lücke wurde im März von Microsoft geschlossen und ein entsprechender Patch wurde an die Nutzer verteilt. Rechner, die über den Patch verfügten, konnten so nicht mehr über das Netzwerk infiziert werden. Auf die Fragestellung, ob die Schwachstelle im Vorfeld durch Geheimdienste genutzt wurde, möchte ich an dieser Stelle nicht eingehen.
Warum gab es trotz des Software-Patches dennoch Infektionen auf tausenden von Rechnern?
Prof. Karl-Heinz Niemann: Das ist genau das Problem. Wenn eine Schwachstelle dokumentiert und behoben wird, kennen Angreifer die potentielle Schwachstelle und können diese bei noch nicht gepatchten Systemen gezielt ausnutzen. Hieraus kann man lernen, dass Software-Patches immer zeitnah eingespielt werden sollten. Zudem gibt es noch Betriebssysteme, für die für „normale“ Nutzer keine Patches mehr geliefert werden. Windows XP zum Beispiel. Obwohl Microsoft schon seit längerem keine Patches mehr für Windows XP liefert, wurde dennoch für diesen Fall ein Patch außerplanmäßig bereitgestellt.
Welche Alternativen hat man bei einem Befall. Sollte man zahlen?
Prof. Karl-Heinz Niemann: Davon wird in der Regel abgeraten. Zum einen stützt man das Geschäftsmodell der Kriminellen, zum anderen kann man nicht sicher davon ausgehen, seine Daten wieder entschlüsseln zu können. Denken Sie daran: Sie haben es hier nicht mit ehrenwerten Geschäftsleuten zu tun, sondern mit Kriminellen, die an Ihr Geld wollen.
Was raten Sie also den Betroffenen?
Prof. Karl-Heinz Niemann: Ganz einfach: Den Rechner von der Schadsoftware befreien und danach die Daten aus dem Backup zurück spielen.
Vielleicht doch nicht einfach, wenn man kein aktuelles Backup hat?
Prof. Karl-Heinz Niemann: Genau da liegt eines der Probleme. Wenn Sie oder Ihr Unternehmen keine konsequente Backup-Strategie haben, dann ist eine Wiederherstellung nicht oder nur unter Verlust von Daten möglich.
Können auch Rechner im industriellen Bereich, z.B. also auch in der Prozessindustrie, von Malware wie WannaCry angegriffen werden?
Prof. Karl-Heinz Niemann: Im Zusammenhang mit WannaCry gibt es Berichte über den Produktionsstopp bei einem europäischen Automobilhersteller und den Befall verschiedener Krankenhäuser. Auch viele Anzeigedisplays der Deutschen Bahn waren betroffen.
Die Software befällt jeden Rechner mit Windows-Betriebssystem, auf dem der entsprechende Email-Anhang geöffnet wird und in der Folge Rechner im gleichen Netzwerk, die nicht über den erwähnten Patch verfügen. Unternehmen die gestatten, dass im Produktionsbereich Emails auf Produktionsrechnern gelesen werden, können so leicht zu Opfern werden. Rechner mit Windows-Betriebssystem gibt es dort in der Regel zur Genüge. Sofern dann noch Rechner mit einem veralteten Betriebssystem eingesetzt werden, für das keine Sicherheitsupdates geliefert werden, ist das Risiko eines Befalls deutlich erhöht. Ein besonderer Schutz für diese Rechner z. B. über White-Listing, also die Sperrung der Ausführung von unbekannten Programmen, wird aus Aufwandsgründen nur selten eingesetzt, wäre aber durchaus wirkungsvoll.
Generell nehmen auch gezielte Angriffe auf Produktionseinrichtungen zu. Während frühere IT-Security-Vorfälle in Produktionsanlagen häufig als „Kollateralschäden“ herkömmlicher Schadsoftware zu klassifizieren waren, lassen sich derzeit immer mehr gezielte Angriffsmuster auf Produktionsanlagen erkennen. So wurde ein Hochofen genauso Opfer eines Angriffs wie das Automatisierungssystem einer Bohrinsel. Spezialisierte Schadsoftware, die sich z. B. gegen OPC-Server richtet, ist mittlerweile Realität. Gezielte Angriffe auf bestimmte Industriezweige wie Energieerzeugung, Öl und Gas sowie den Finanz- und den Transportsektor sind bekannt.
Wie kann man sich im Bereich der industriellen Automatisierung in Zeiten der Digitalisierung gegen WannaCry und andere Einflüsse schützen?
Prof. Karl-Heinz Niemann: Es gibt eine Reihe von Standards, die für den Produktionsbereich sinnvoll angewendet werden können. Die Normreihe IEC 62443 liefert eine wesentliche Grundlage dafür. Sie ist zum Teil noch in der Entwicklung, jedoch sind alle Teile der Norm als Entwurf verfügbar. Die gesamte Normreihe umfasst ca. 1.200 Seiten in englischer Sprache. Die Erarbeitung und Umsetzung dieser Norm wird von kleinen und mittleren Unternehmen allerdings als zu aufwendig empfunden. Hier sind angepasste Standards gefragt, die auf die Notwendigkeiten von KMU eingehen. Mit der Richtlinie VdS 3473 (Cyber Security für kleine und mittlere Unternehmen) und dem Leitfaden VdS 3473-1 (Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme) wird KMU z. B. ein relativ kompaktes Werkzeug an die Hand gegeben, einen durchgängigen IT-Sicherheitsprozess im Unternehmen und auch in der Produktion zu etablieren. Das Dokument umfasst ca. 40 Seiten und bietet einen ersten und einfachen Einstieg in die IT-Sicherheit für das Unternehmen und die Produktion.
Ziel dieser Richtlinie und des Leitfadens ist die Etablierung einer IT-Sicherheitsstrategie für das ganze Unternehmen, einschließlich des Produktionsbereiches. Die Richtlinie beginnt mit dem Management-Commitment, der Definition von Verantwortlichkeiten, der Sensibilisierung der Mitarbeiter bis hin zur regelmäßigen Schulung der Mitarbeiter. Es werden dann Leitlinien für die Mitarbeiter und Lieferanten definiert. Als nächstes definiert die Leitlinie, wie das Unternehmen sein IT-Security-Wissen auf dem aktuellen Stand hält. Dann kommt die technische Absicherung der Systeme und Netzwerke. Hier geht es z. B. um den Schutz gegen Schadsoftware, die Aktualisierung von Software, die Trennung des Automatisierungsnetzwerkes vom Office-Netzwerk und vieles andere. Ein wichtiger Punkt der Leitlinie ist auch das Thema Datensicherung sowie die Behandlung von Störungen und Ausfällen.
Das klingt aber sehr nach Papierkrieg. Hilft das wirklich weiter?
Prof. Karl-Heinz Niemann: Die Richtlinien sind Mittel zum Zweck. Ohne sie wird es nicht gehen. Sie definieren das Vorgehen des Unternehmens, die Verantwortlichkeiten, die Maßnahmen. Schauen wir doch einmal, wo eine solche Richtlinie bei unserem konkreten Beispiel WannaCry geholfen hätte. Stellen wir uns vor, ein Unternehmen hätte einen Grundschutz gemäß der VdS 3473 für den Office- und Produktionsbereich implementiert. Nun schauen wir einmal auf den Produktionsbereich eines Unternehmens:
- Alle Mitarbeiter des Unternehmens sind geschult und wissen, dass Anhänge an Emails, deren Herkunft nicht genau zuzuordnen ist, nicht geöffnet werden dürfen. Damit ist schon einmal die Wahrscheinlichkeit für einen Befall im Office-Bereich reduziert, aber natürlich nicht vollständig ausgeschlossen. Das reduziert auch die Wahrscheinlichkeit eines Befalls im Produktionsbereich.
- Das Abrufen von Emails auf Rechnern in der Produktion ist gemäß Handlungsanweisung unzulässig und durch entsprechende technische Maßnahmen unterbunden. Damit ist ein potentieller Befall, bei einer Abschottung der Produktionsanlage, auf den Office-Bereich beschränkt. Das ist noch schlimm genug, aber eine Ausbreitung in die Produktion wird verhindert, bzw. deren Wahrscheinlichkeit reduziert.
- Auf den Windows-Rechnern ist ein Schutz gegen Schadsoftware vorhanden. Das hätte im Fall von WannaCry allerdings nichts genützt.
- Die Betriebssystemaktualisierungen werden zeitnah installiert. Damit ist eine Ausbreitung der Schadsoftware über die beschriebene Schwachstelle nicht möglich.
- Automatisierungsnetz und Office-Netz sind voneinander getrennt und es existieren nur die absolut notwendigen Verbindungen. Auch hier setzt man auf die Abschottung des Produktionsbereichs vom Office-Bereich.
- Die Daten im Office und Produktionsbereich werden nach einer definierten Backup-Strategie regelmäßig gesichert. Auf die Sicherungslaufwerke kann aus dem Office- und Produktionsnetz nicht schreibend zugegriffen werden. Das schützt davor, dass die Schadsoftware auch die Backups verschlüsselt.
- Die Backups werden vor unautorisiertem Zugriff geschützt.
- Das Neuaufsetzen kompromittierter Systeme ist beschrieben und getestet. Entsprechende Handlungsanweisungen und die erforderlichen Datenträger liegen vor.
Mit diesen Maßnahmen kann man einen Befall mit der beschriebenen Ransomware sicher nicht zu hundert Prozent verhindern, aber man kann die Wahrscheinlichkeit des Auftretens deutlich reduzieren und insbesondere einen totalen Datenverlust vermeiden.
Herr Prof. Niemann, was würden Sie KMUs konkret empfehlen?
Prof. Karl-Heinz Niemann: Beginnen Sie jetzt mit der Vorsorge. Warten Sie nicht, bis es Sie erwischt. Gehen Sie planvoll vor und orientieren Sie sich an einschlägigen Richtlinien und Standards. Lassen Sie sich nicht verunsichern. Die Probleme sind lösbar, die notwendigen Maßnahmen sind bekannt und dokumentiert.