Wie alle jährlichen Sicherheitsberichte zeigen, nimmt die Anzahl der Cyber-Angriffe auf Unternehmen und andere Organisationen jedes Jahr zu. Ein zunehmender Anteil dieser Angriffe umfasst Cyber-Angriffe auf Umgebungen mit kritischen Infrastrukturen wie Wasserversorgungssysteme, petrochemische Anlagen, Verkehrsinfrastrukturkontrollsysteme und alle anderen Arten von SCADA-Systemen (Supervisory Control and Data Acquisition).
Viele dieser OT-Umgebungen sind Teil unserer kritischen nationalen Infrastruktur und wären bei Kampfhandlungen das Hauptziel jeder böswilligen Nation. In der konventionellen Kriegsführung würde ein Angreifer Raketen und Luftstreitkräfte einsetzen, um die Befehls- und Kontrollinfrastruktur zu unterbrechen und die Reaktionsfähigkeit des Feindes zu stören. Parallel dazu würde er die Verkehrsinfrastruktur wie Eisenbahnen, Brücken, Flugplätze usw. auswählen und vorrangig angreifen. Als nächstes würde die Zielliste POL-Anlagen (Petrochemie, Öl und Schmierstoffe) umfassen, um die Nachschubfähigkeit des Feindes für seine Flugzeuge, Züge, Schiffe und Fahrzeuge zu untergraben. Wasserversorgung, Stromerzeugung und -verteilung, TV, Radio und andere Ziele würden ebenfalls in Abhängigkeit von den allgemeinen strategischen Zielen des Angreifers einbezogen.
Sehen Sie sich den KOSTENLOSEN Webcast an: Sichtbarkeit und Cybersecurity im Bereich ICS/SCADA
Nationale Akteure bereiten Cyber-Angriffe auf kritische Infrastrukturen vor
Eine schnelle Analyse dieser Zieltypen zeigt eine klare Korrelation zwischen physischen Zielen und Cyber-Zielen, da alle diese verschiedenen Infrastrukturelemente in der Regel hoch automatisiert und elektronisch über Sensorsysteme, Relais, Regelventile, Durchflusssteuerungen, Pumpen, Schalter und alle Arten von Industriesteuerungen gesteuert werden. Zwangsläufig haben zahlreiche Nationen Kapazitäten im Bereich der Cyber-Kriegsführung entwickelt, damit sie solche Ziele mit Fernangriffen attackieren können, die für sie wesentlich geringere Risiken mit sich bringen. Infolgedessen gibt es routinemäßige Aufklärungsoperationen gegen potenziell feindliche Nationen, die von den Einsatzkräften für Cyber-Kriegsführung von vielen Nationalstaaten durchgeführt werden. In den letzten Jahren haben wir Angriffe auf Stromnetze durch nationalstaatliche Akteure gegen andere Nationen erlebt, und es wird spekuliert, dass es sich hierbei um operative Tests der Fähigkeiten handelt, die in Zukunft gegen andere potenzielle Feinde eingesetzt werden könnten.
Angriffe dieser Art zielen in der Regel darauf ab, die Versorgung zu unterbrechen, aber es gab auch Angriffe, die zu dauerhaften Schäden an OT-Systemen führen sollten. Dies stützt die Vermutung, dass sich diese Angriffe immer aggressiver entwickeln.
Kriminelles Potenzial von Cyberangriffen auf kritische Infrastrukturen
Als ob dies noch nicht genug wäre, hat der Erfolg solcher Angriffe zwangsläufig das Interesse krimineller Organisationen geweckt. Sie haben erkannt, dass durch diese Angriffe erhebliche Schäden für große Teile der Bevölkerung eines Landes verursacht werden können. Das öffnet Tür und Tor für kriminelle Machenschaften, die als Mittel dienen, eine Zielperson dazu zu zwingen, einen Geldbetrag zu zahlen, um nicht ins Visier genommen zu werden. Beispielsweise könnte ein Stromversorger erhebliche Verluste in Form von Aktienkursen, Ausgleichszahlungen für Versorgungsausfälle und Geldbußen zu tragen haben, wenn er eine signifikante Unterbrechung der Stromversorgung erleiden würde. Wenn ein Angreifer demonstrieren kann, dass er in der Lage ist, schwere Störungen zu verursachen, kann er das Unternehmen unter Umständen dazu nötigen, “Schutzgeld” zu zahlen, um von einem Angriff verschont zu bleiben. Alternativ können sie einen Angriff nutzen, um eine Fernkontrolle einzurichten und den eigentlichen Kontrollraum mit Hilfe von Ransomware zu stören, wie wir es bei früheren Angriffen gesehen haben. Indem sie das Kontrollsystem als Geisel nehmen und selbst die Kontrolle erlangen, wären sie in der Lage, erhebliche Lösegeldzahlungen von den Opfern zu fordern.
Häufig tauschen Cyber-Angreifer Code und Techniken entweder über Austauschforen oder über Auktions- und Verkaufsseiten im Dark Web aus, und dieser Trend wird sich vermutlich fortsetzen. Die nationalstaatlichen Akteure, die solche Angriffe nutzen, können durch die Kriminalisierung dieser Angriffsformen viel gewinnen. Erstens hilft sie ihnen dabei, eine glaubhaftere Abstreitbarkeit zu erreichen, da die Ermittlungen durch Spuren, die auf kriminelle Machenschaften hinweisen, leicht getäuscht werden können. Zweitens eröffnet sie die Möglichkeit, kriminelle Akteure, die ihr Know-how bei Cyber-Angriffen kontinuierlich erweitern, für die Durchführung von Angriffen im Auftrag von Nationalstaaten zu gewinnen. Drittens stellt die Einbeziehung der kriminellen Akteure sicher, dass ein großer Kreis von Angriffsentwicklern im Einsatz ist und ein nationalstaatlicher Akteur somit in der Lage ist, sich Angriffswerkzeuge und -codes aus dem Dark Web zu beschaffen, die er für seine Aufklärung und Angriffe nutzen kann.
OT-Security gegen Cyberangriffe auf kritische Infrastrukturen nicht ausreichend
Natürlich gibt es in der OT-Umgebung erhebliche Vorteile für Angreifer aller Art, und angesichts des aktuellen Stands der OT-Systemsicherheit, bei der alte serielle Protokolle ohne integrierte Security in Netzwerken verwendet werden, für die sie nie entwickelt wurden, sollten wir nicht überrascht sein, dass Hacker viele Schwachstellen finden.
Dies alles bedeutet, dass Nationalstaaten viel gewinnen können, wenn sie externe kriminelle Aktivitäten rund um OT-Cyberangriffe streuen. Und da kriminelle Banden ihre Angriffe erfolgreich durchführen und Einnahmen erzielen, wird ihr Anreiz gesteigert und sie wachsen weiter, was zu weiteren Angriffen führt.
All dies geschieht in einer Welt, in der wir unsere Abhängigkeit von OT-Umgebungen mit einer Vielzahl neuer OT-Steuersysteme erhöhen. Intelligente Geäude, intelligente integrierte Eisenbahnsysteme und potenziell selbstfahrende Autos innerhalb intelligenter Straßensysteme sind nur einige Beispiele dafür, wie OT-Steuerungssysteme in jeden Aspekt unseres Lebens vordringen. In einer perfekten Welt wären diese Systeme zu 100 % von allen erreichbaren Netzwerken isoliert und es handelte sich um geschlossene Systeme, aber die Realität sieht so aus, dass es oft externe Verknüpfungen in irgendeiner Form gibt. Beispielsweise könnte es externe Links für Wartungstechniker von Dritten geben und außerdem werden Informationen aus den OT-Umgebungen häufig benötigt, um die kommerziellen Abrechnungssysteme zu nutzen. In Stromerzeugungsanlagen muss es eine Echtzeit-Rückkopplungsschleife zwischen Verbrauch und Nachfrage geben sowie die Möglichkeit, die verschiedenen Stromverteilungsanbieter abzurechnen. Diese Verbindungen zwischen den Steuerungsumgebungen und den kommerziellen Netzwerken bieten den Cyber-Angreifern unweigerlich die Möglichkeit, sich durch die Netzwerke zu bewegen und diese dabei zu infiltrieren.
Zusammengefasst bedeutet dies, dass die Angriffsfläche größer ist und für eine wachsende Zahl von Akteuren wie Nationalstaaten und kriminelle Banden sichtbar wird. Cyber-Angriffe auf kritische Infrastrukturen und OT-Systeme werden dabei unaufhaltsam zunehmen.
Sehen Sie sich den KOSTENLOSEN Webcast an, um mehr über Sichtbarkeit und Cybersicherheit im ICS / SCADA-Bereich zu erfahren
Tony Rowan ist leitender Sicherheitsarchitekt bei Cyberbit