Die Berater für IT-Sicherheit Maurice Al-Khaliedy und Nils Milchert des Kölner Unternehmens Spike Reply GmbH eröffneten einen Blick in die Praxis. Sie berichteten am Beispiel von Wirtschaftsunternehmen darüber, wie Cyberkriminalität aussehen kann und simulierten live einen Angriff auf ein elektronisches System.
Aus seiner Tätigkeit als Berater erläuterte Maurice Al-Khaliedy am Beispiel eines Traditions-Industrieunternehmens, wie ein typischer Cyber-Angriff aussehen könne: Ausgelöst durch eine Phishing-Mail, deren Anhang von einem Mitarbeiter geöffnet wurde, sei das System infiltriert worden und das Unternehmen am Freitagnachmittag um 18 Uhr nicht mehr arbeitsfähig. Konkret bedeute dies zum Beispiel: Abschaltung der E-Mail-Infrastruktur, Sperrung von Nutzern, kein Zugriff auf ERP System. 90% der betroffenen kleinen und mittelständischen Unternehmen (KMU) hätten für solche Fälle keine Notfallpläne, sie wüssten nicht, wie sie reagieren sollten. Der Schaden sei oft groß: Mindestens ein Wochenende lang herrsche totaler Stillstand, mehrere Wochen sei keine normale Produktion möglich.
Motivationen für solche Cyber-Angriffe könnten sein: Sabotage, Spionage, Erpressung (Geld), Hacktivism (Protest), Rache, Stärke-Demonstration, Hybride Kriegsführung oder der Spaßfaktor beim "Hacker". Dabei möchte Al-Khaliedy den Begriff Hacker aus der rein negativ besetzten Sphäre holen – es seien letztlich Menschen, die Sicherheitslücken aufspürten.
Gefahrenquellen für Cyber-Angriffe
Die aktuelle Situation sei, dass mit der Digitalisierung ("Industrie 4.0") eine starke Vernetzung stattfinde, unterschiedlichste Akteure und Services kommunizierten miteinander, dies ginge mit Gefahren einher. Viele Maschinen und Geräte, die mit dem Internet verbunden seien, hätten alte und einfach zu manipulierende Steuerungssysteme, Netzwerke seien mit der Zeit gewachsen. Hersteller von Technik seien aufgrund der großen Konkurrenzsituation gezwungen, möglichst schnell und kostengünstig zu produzieren. Dies erhöhe die Anfälligkeit für Fehler. Der größte Risikofaktor sei jedoch der Mensch: Endgeräte würden nicht gesichert, E-Mail-Anhänge geöffnet, Links geklickt, die Unternehmens-E-Mailadresse würde privat genutzt, Standardpasswörter verwendet – oft aus Unwissenheit. All dies erhöhe die Gefahr von Cyberangriffen. Auch Komponenten oder Schaltschränke seien ein Problem, oftmals seien sie leicht zugänglich. Es gebe Technik, die mit Protokollen aus den 80er-Jahren laufe, Passwörter für Steuerungssysteme (z.B. bei Gebäudeleittechnik; Rolltreppen, Aufzügen, Klimaanlagen) seien leicht zu knacken.
Tipps vom Experten
Al-Khaliedy sagte, er selbst nutze für jeden Online-Service eine eigene E-Mail-Adresse und ein eigenes Passwort. Er rate Nutzern dazu, so wenige Apps wie nötig zu nutzen, sich lieber im Browser Links zu setzen. Er selbst bemühe sich, auf Google-Produkte zu verzichten und nutze kein WhatsApp.
Unternehmen rate er, dass sie sich mit ihrer eigenen Infrastruktur und ihren eigenen Prozessen gut auskennen, und dass sie Notfallpläne haben. Durch die allumfassende Vernetzung hätten sich Produktionsabläufe stark verändert, alles sei vernetzt, es würde "just in time" produziert und vieles laufe vollautomatisch. Mit erhöhter Komplexität könne auch die Anzahl der Schwachstellen steigen. Häufig wisse niemand mehr genau, wie die Systeme miteinander verbunden sind. Es sei wichtig, unterschiedliche Sicherheitszonen einzurichten und besonders sensible Bereiche speziell abzusichern. Eine Schwachstelle könne ausreichen, um die gesamte Infrastruktur offline zu nehmen.
Unternehmen sollten sich überlegen, wer potenzielle Angreifer sein könnten. Sie sollten ihre potenzielle Angriffsfläche identifizieren und eine mögliche Eintrittswahrscheinlichkeit und das Schadensrisiko bewerten.
Live Demonstration eines Cyber-Angriffs
Ein Bohrer, ein Fließband, das Klötzchen transportiert, welche eine gelbe Signalleuchte einschalten, gesteuert von einer einfachen SPS (Speicherprogrammierbare Steuerung) steht auf der Bühne und wird eingeschaltet. Nils Milchert demonstriert an zwei Beispielen, wie er das System "kapert" und mittels ein paar Klicks und veränderten Codes die Anlage lahmlegt. Er tut dies zunächst mittels einer geöffneten Phishing-Mail – eine echt wirkende Bewerbungsmail mit einem Lebenslauf im Anhang. Wird dieser geöffnet reichen zwei Klicks des Empfängers, damit der Angreifer den Rechner übernehmen kann. Er hat Zugriff auf alle Daten, kann die gesamte Festplatte kopieren und ihn als Angriffsplattform für das System nutzen. Den zweiten Angriff startet Milchert mit einem bösartigen USB-Stick, bei dem es sich eigentlich um eine "geschrumpfte Tastatur" handele, die im Vorfeld programmiert wurde und zum Beispiel den Computer anweist, einen Schadcode aus dem Internet herunterzuladen, die Kamera zu übernehmen, Passwörter zu stehlen. Schnell könne man so "Identitäten verlieren", so Milchert. Dagegen könne keine Antivirensoftware etwas ausrichten.
Angriffe auf ältere industrielle Kontrollsysteme seien relativ einfach zu bewerkstelligen. Wenn man Zugangsdaten habe, könne man Maschinen steuern oder blockieren wie das Beispiel gezeigt habe. Bei komplexeren und gut gesicherten Systemen sei es jedoch sehr viel schwieriger. Man müsse das System genau kennen, brauche also Insider-Wissen und Infrastrukturpläne, wie die Anlage funktioniert, müsse sie modellhaft nachbauen und ausprobieren, um einen modifizierten Code erstellen und einen Angriff ausführen zu können, so Al-Khaliedy.
Dokumentation: Katharina Reinhold