Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Warum die Fertigung IIoT-Ressourcen gegen Ransomware sichern muss

Christer Swartz
Marketingdirektor für Lösungen
Illumio Editorial
November 22, 2022
23 min. lesen

Ransomware ist keine neue Sicherheitsbedrohung. Es erschien erstmals 1989 und wurde über Disketten vertrieben.

Aber es hat ein dramatisches zweites Leben als ideales modernes kriminelles Geschäftsmodell angenommen: die Entführung kritischer Ressourcen in industriellen Umgebungen gegen Lösegeld.

Tastaturen sind effektiver als Waffen, wenn es darum geht, industrielle Infrastrukturen als Geiseln zu nehmen. Das Problem wird sich nur noch verschlimmern, bevor die Sicherung digitaler Assets als Cybersicherheitspriorität in den Bereichen Fertigung und kritische Infrastrukturen speziell angegangen wird.

Eine große Anzahl der jüngsten Ransomware-Angriffe richtete sich gegen das verarbeitende Gewerbe und kritische Infrastrukturen, wobei sich diese Sektoren traditionell auf die Schaffung physischer Vermögenswerte konzentrieren.

Der größte Teil der Fertigungsindustrie migriert jedoch schnell viele ihrer Rechenplattformen und Fernzugriffslösungen in die Cloud und setzt ihre industriellen Steuerungssysteme und Fabriksensoren Angriffsvektoren aus, die aus der Cloud eingehen.

Ransomware-Angriffe kosten die Industrie jedes Jahr Millionen

Das verarbeitende Gewerbe mag sich traditionell als weitgehend immun gegen digitale Kriminalität betrachten. Aber sie liegen falsch.

21 Prozent der Ransomware-Angriffe richten sich gegen die Fertigung, und der Sektor zahlt mit durchschnittlich 2,036 Millionen US-Dollar im Jahr 2021 den höchsten Lösegeldbetrag aller Branchen.

Alles, was es braucht, ist, dass ein motivierter Hacker in die Cloud-Sicherheitstools eines Herstellers eindringt und aus der Ferne auf kritische Steuerungen oder Sensoren - IIoT-Geräte - zugreift, die tief in einer Industrie- oder Fabrikumgebung eingesetzt werden, und sie deaktiviert. Dies führt zu sehr realen physischen Risiken durch digitales Eindringen und zwingt das Opfer, sich zwischen der Zahlung von Lösegeld oder dem Umgang mit den Folgen des deaktivierten Betriebs zu entscheiden.

Die meisten Opfer entscheiden, dass die Zahlung von Lösegeld die billigere Option ist, was die Fertigungsunternehmen Millionen kostet.

Ransomware ist ein viel zu verlockendes Ziel für den modernen Cyberkriminellen, da sie eine fast sichere Garantie für finanziellen Gewinn darstellt. Ransomware-as-a-Service existiert sogar im Dark Web, komplett mit Supportverträgen und Helpdesks, um aufstrebende Cyberkriminelle bei der Auswahl ihres nächsten Opfers zu unterstützen.

Und der Einsatz von Ransomware ist oft der letzte Schritt beim Eindringen von Cyberkriminellen in eine industrielle Umgebung. Sie suchen zunächst nach kritischen Vermögenswerten, die deaktiviert werden sollen, legen geistiges Eigentum offen und erfahren, welche Cybersicherheitsversicherung das beabsichtigte Opfer hat, um einen Preis für Lösegeld festzulegen. Sobald diese Informationen extrahiert wurden, besteht der letzte Schritt darin, die Infrastruktur als Geisel zu nehmen, um Auszahlungen zu erhalten, für die sich die Mehrheit der Opfer entscheidet. Es ist der wahr gewordene Traum eines jeden Cyberkriminellen.

Ransomware-Angriffe auf die Fertigung bergen reale Risiken

Das verarbeitende Gewerbe hat sich lange Zeit als weitgehend außerhalb des Geltungsbereichs der Cyberkriminalität wahrgenommen. Wenn eine Industriekette von Fabriken beispielsweise Energie, Stahl oder Lebensmittel produziert oder Bergbau betreibt, wie groß ist dann das Risiko für Cyberkriminalität?

In der Realität ist das Risiko von Cyberkriminalität hoch.

Im Jahr 2015 wurde berichtet, dass ein Stahlwerk in Deutschland das erste Beispiel für einen physischen Schaden infolge eines Cyberangriffs erlitten hat. Cyberkriminellen gelang es, aus der Ferne auf einige kritische Steuerungssysteme in der Fabrik zuzugreifen, die mit ihrem IT-Netzwerk verbunden waren, und diese wurden deaktiviert. Dies führte dazu, dass kritische Sensoren nicht in der Lage waren, das Wärmeniveau in der Fabrik zu überwachen, was dazu führte, dass ein Hochofen schwer beschädigt wurde, da er von diesen Sensoren nicht automatisch abgeschaltet wurde.

Die physische Welt war plötzlich rein digitalen Risiken ausgesetzt, und seitdem ist diese Tatsache auch von Cyberkriminellen nicht unbemerkt geblieben.

Lösegeldzahlung: Was sind die Risiken?

Die Entscheidung, während eines Angriffs ein Lösegeld zu zahlen, birgt für das Opfer eigene Risiken.

Erhöhte Prämien für Cyberversicherungen

Cyberversicherer sehen sich nun mit ernsthaften Umsatzeinbußen konfrontiert, die durch die Auszahlung von Ransomware-Angriffen entstehen, wogegen sie vor der Wiederentdeckung von Ransomware weitgehend immun waren.

Die Netzbetreiber zwingen ihre Kunden nun, eine Form der Segmentierung in ihrem Netzwerk zu implementieren, um die Ausbreitung von Malware im gesamten Netzwerk zu erschweren. Stimmen die Kunden dem zu, können ihre monatlichen Prämien sinken – die Prämien für Cyberversicherungen sind in den vergangenen Jahren aber dennoch deutlich gestiegen .

Es liegt jetzt im besten finanziellen Interesse des potenziellen Opfers, proaktive Cybersicherheit ernst zu nehmen, anstatt sich einfach auf eine Versicherung zu verlassen, um sie abzusichern.

Negative Rechtsfolgen

Das zweite Risiko ist die Tatsache, dass viele Ransomware-Banden ihren Sitz in Ländern haben, die auf der schwarzen Liste der US-Regierung, der sogenannten OFAC Sanctions List (Office of Foreign Assets Control), stehen.

Dies ist eine Liste ausländischer diktatorischer Regime, Drogenhändler, terroristischer Organisationen und Waffenhändler, gegen die die USA im Interesse der nationalen Sicherheit Wirtschafts- und Handelssanktionen verhängt haben. Es ist ein Verbrechen für jeden in den USA, Geschäfte mit denen zu machen, die auf der Liste stehen.

Wenn eine Ransomware-Bande aus einem sanktionierten Land eine in den USA ansässige Produktionsanlage als Geisel nimmt und das Unternehmen beschließt, das Lösegeld zu zahlen, riskiert das Unternehmen, für Geschäfte mit der Bande strafrechtlich haftbar gemacht zu werden.

Die Wahl der finanziell günstigeren Option der Lösegeldzahlung kann das Opfer leicht unbeabsichtigten kriminellen und nachteiligen rechtlichen Konsequenzen aussetzen.

Schutz von Industrieanlagen vor Cyberkriminalität: Stoppen Sie die Ost-West-Querbewegung

Ransomware kommt von irgendwoher, und das ist in der Regel von der IT-Seite der gesamten Cyber-Architektur. Alle Arten von Ransomware haben eines gemeinsam: Sie alle bewegen sich gerne.

Sobald ein Workload gekapert ist, sucht Ransomware nach offenen Ports auf diesem Workload, um sie als Vektor für die seitliche Migration zum nächsten Workload und von dort aus weiter zur industriellen Seite der Fabric zu den beabsichtigten Zielen zu verwenden.

Während die meisten Sicherheitstools an der Nord-Süd-Grenze eingesetzt werden, um das Eindringen von Malware in ein Rechenzentrum oder eine Cloud zu verhindern, nutzt Ransomware die Tatsache, dass die Kontrolle der lateralen Ost-West-Ausbreitung in großem Maßstab ein Problem ist, das noch weitgehend ungelöst ist.

Die meisten der branchenführenden Sicherheitstools, die an der Nord-Süd-Grenze eingesetzt werden, bieten wenig Schutz vor unvermeidlichen Verstößen und der anschließenden seitlichen Ost-West-Ausbreitung innerhalb des vertrauenswürdigen Netzwerks.

Zero-Trust-Segmentierung stoppt die Ausbreitung von Ransomware

Zero Trust erfordert die Aktivierung der Mikrosegmentierung, auch Zero-Trust-Segmentierung genannt, für jeden Workload in einer Computing-Umgebung in jeder Größenordnung und die Implementierung eines Zugriffsmodells mit den geringsten Rechten zwischen allen Workloads.

Diese Mikrosegmentierungslösung muss jede Workload als eindeutige Vertrauensgrenze definieren, und zwar ohne sich dabei auf eine Appliance im zugrunde liegenden Netzwerk oder in der Cloud-Fabric verlassen zu müssen. Die Segmentierung der Arbeitsauslastung sollte so agnostisch wie möglich gegenüber allen anderen Formen der Segmentierung sein.

Das Zugriffsmodell mit den geringsten Rechten zwischen allen Workloads bedeutet, dass alle Ports zwischen allen Workloads standardmäßig verweigert werden. Es besteht selten eine legitime Notwendigkeit, Workloads lateral zwischen SSH oder RDP zu platzieren. Bei allen modernen Betriebssystemen sind diese Ports aktiviert, da sie von Administratoren zur Remoteverwaltung dieser Workloads verwendet werden, der Zugriff jedoch fast immer auf bestimmte zentralisierte Administratorhosts beschränkt ist. Diese Ports müssen standardmäßig überall abgeschaltet werden, und dann können Ausnahmen definiert werden, um nur den Zugriff auf die autorisierten administrativen Hosts zu ermöglichen.

Die Segmentierung jeder Workload von allen anderen Workloads und die Abschaltung aller Ports zwischen ihnen bedeutet, dass Ransomware keine Möglichkeit hat, sich lateral durch das IT-Netzwerk und von dort in den industriellen Betrieb des Netzwerks zu verbreiten.

Ransomware kann die Perimeter-Sicherheitslösungen durchbrechen - wie stark sie auch sein mögen - und sobald sie durchbrochen ist, wird die Ransomware die erste Workload kapern, die sie finden kann. Die Zero-Trust-Segmentierung kann den ersten gekaperten Workload isolieren, wobei alle Ports zwischen den Workloads deaktiviert sind und keine Vektoren zur Verfügung stehen, über die die Ransomware tiefer im Netzwerk eindringen kann.

Die Zero-Trust-Segmentierung verhindert, dass sich Sicherheitsverletzungen in der gesamten IT-Infrastruktur ausbreiten. Und schützt wiederum die industriellen Systeme, die sich tiefer in der Kernarchitektur befinden.

Zero-Trust-Segmentierung bietet Einblick in industrielle Infrastruktursysteme

Ein zweiter Aspekt der Zero-Trust-Segmentierung ist die Transparenz des Datenverkehrs zwischen allen Systemen, die sowohl auf der industriellen als auch auf der IT-Seite des Netzwerks eingesetzt werden. So müssen beispielsweise Abhängigkeiten und Verhaltensweisen des Datenverkehrs zwischen Sensoren und Leitsystemen ebenso deutlich sichtbar sein wie der Verkehr zwischen Systemen im IT-Netzwerk, sowohl vor Ort als auch in der Cloud.

Illumio ermöglicht volle Transparenz für beide:

Verwaltete Workloads – Workloads, auf denen ein virtueller Erzwingungsknoten (Virtual Enforcement Node, VEN) bereitgestellt werden kann, um Anwendungstelemetriedaten direkt zu erfassen

Nicht verwaltete Workloads – Geräte, auf denen kein VEN bereitgestellt werden kann, z. B. IoT-Geräte wie Controller, Sensoren und IoT-Kameras, die innerhalb des industriellen Kernnetzwerks bereitgestellt werden

Illumio ermöglicht die Transparenz von IoT-Geräten, indem es Telemetriedaten von Netzwerk-Switches und Load Balancern über Protokolle wie Netflow, sFlow, IPFIX und Flowlink sammelt, wobei der gesamte Datenverkehr zwischen all diesen Systemen zusammen mit allen verwalteten Workloads in der PCE (Policy Control Engine) von Illumio angezeigt wird.

Die Richtlinie wird auf dem PCE für verwaltete und nicht verwaltete Workloads auf die gleiche Weise definiert, wobei Bezeichnungen zur Identifizierung von Workloads und nicht anhand ihrer Netzwerkadresse verwendet werden. Richtlinien für nicht verwaltete Arbeitslasten werden an Switches weitergeleitet und in Zugriffskontrolllisten (Access Control Lists, ACLs) übersetzt, die der Switch verwenden kann, um Richtlinien zwischen Switch-Ports und in iRules durchzusetzen. Ein Lastenausgleich kann diese Informationen dann verwenden, um dort eine Richtlinie durchzusetzen.

Illumio beseitigt blinde Flecken zwischen digitalen Geräten von Anfang bis Ende. Dies ermöglicht die Implementierung einer vollständigen Zero-Trust-Visualisierung und eines labelbasierten Richtlinienmodells über das gesamte industrielle Steuerungssystem und die IT-Struktur hinweg.

Ransomware-Schutz für IIoT-Systeme mit Zero-Trust-Segmentierung

Illumio Zero Trust Segmentation bietet Schutz für alle industriellen Umgebungen, kontrolliert die gesamte laterale Ausbreitung zwischen Workloads und beseitigt die Angriffsvektoren, die für die Ausbreitung von Ransomware erforderlich sind.

Keine industrielle Umgebung ist immun gegen Ransomware, egal ob groß oder klein. OT-Systeme und IIoT-Systeme, die innerhalb der industriellen Architektur eingesetzt werden, müssen nicht der nächsten opportunistischen Ransomware-Bande ausgesetzt sein, die nach ihrem nächsten Ziel sucht.

Illumio kann die gesamte kritische industrielle IIoT-Umgebung vor den Auswirkungen eines Ransomware-Angriffs schützen und verhindern, dass Ihr Unternehmen als jüngstes Opfer von Ransomware in der Zeitung von morgen verschwindet.

Möchten Sie mehr über die Eindämmung von Ransomware mit Zero Trust Segmentation erfahren? Besuchen Sie unsere Seite zur Eindämmung von Ransomware .

Verwandte Themen

Manufacturing
IT/OT-Sicherheit

Verwandte Artikel

4 Grundprinzipien zum Schutz vor Ransomware
Ransomware Containment

4 Grundprinzipien zum Schutz vor Ransomware

Die Einhaltung und Umsetzung dieser 4 Grundprinzipien wird Ihnen helfen, Ihr Unternehmen zu schützen, wenn es darum geht, sich gegen Ransomware zu verteidigen. Lesen Sie mehr.

Read more
Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: EXE-vs. DLL-Assemblies

Erfahren Sie mehr über die wichtigsten Unterschiede zwischen .NET-Assemblys (EXE-vs. DLL) und wie sie in einem anfänglichen Code auf hoher Ebene ausgeführt werden.

Read more
Hive Ransomware: Wie man seinen Stachel mit Illumio Zero Trust Segmentierung begrenzt
Ransomware Containment

Hive Ransomware: Wie man seinen Stachel mit Illumio Zero Trust Segmentierung begrenzt

Erfahren Sie mehr über Hive Ransomware und wie Illumio dazu beitragen kann, das Risiko für Ihr Unternehmen zu mindern.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more