Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Warnung aus dem Hornetsecurity Security Lab: Derzeit versenden Cyberkriminelle E-Mails mit schädlichen Anhängen im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die E-Mails tragen den Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“. Aufhänger ist der europäische Rechtsakt zur Cybersicherheit und ein eventueller Missbrauch der persönlichen Daten. Die Cyberkriminellen fordern den Empfänger auf, den Anhang zu öffnen und zu prüfen, welche Daten auf welchen Internetseiten betroffen sind. Es wird außerdem empfohlen, die Passwörter umgehend zu ändern. Die textliche Aufbereitung und das eingebaute BSI-Logo geben der Mail einen seriösen Charakter und wirken täuschend echt.

So sieht die E-Mail aktuell aus: 

Bei den zuletzt eingegangenen E-Mails wurde die Absenderadresse gro.d1566715396nub-i1566715396sb@gn1566715396udlem1566715396 für den Betrug verwendet. Die Mail kommt von diversen Servern, primär werden sie vom Server „bsi-bund.org“ mit der IP-Adresse 185.212.128.50 versandt. Um klassische Anti-Spam-Programme mit aktiver SPF-Überprüfung auszuhebeln, wurden auch die korrekten SPF Records für die Domain „bsi-bund.org“ gesetzt, die auf den oben genannten Server verweisen.

Der Schein trügt: Im Anhang der E-Mail befindet sich eine *pdf.lnk-Datei, die beim Öffnen automatisch ein PowerShell Kommando ausführt, das mit dem Mshta[1] Windows Tool ein .hta-Dokument von der Domain „grouph[.]xyz“ ausliest und startet. Hierbei wird der Rechner des Benutzers mit der Ransomware „Sodinokibi“ infiziert.

Auf diese Punkte sollten Sie achten:

– Absender gro.d1566715396nub-i1566715396sb@gn1566715396udlem1566715396
– Server: diverse, u.a. bsi-bund.org mit der IP-Adresse 185.212.128.50
– Betreff: „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“
– Inhalt: Möglicher Missbrauch von persönlichen Daten, Aufforderung zum Öffnen des Anhangs

 

[1] https://attack.mitre.org/techniques/T1170/

Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes

Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes

Was passiert, wenn kein Strom mehr fließt? Lebensmittel und überlebenswichtige Medikamente können nicht mehr gekühlt werden, lebenserhaltende Geräte in Krankenhäusern fallen aus, das Licht erlischt und die Straßen versinken im Chaos. Ein Szenario, das unvorstellbar scheint. Doch die Gefahr existiert. Denn Cyberkriminelle nehmen vermehrt verwundbare Einrichtungen ins Visier, die die Grundlage für das Allgemeinwohl darstellen – Kritische Infrastrukturen.

Auch BSI-Präsident Arne Schönbohm sieht Betreiber von nationalen Wasser- und Stromwerken oder beispielsweise die Pharmaindustrie verstärkt im Fokus professionalisierter Cyberangriffe. Warum? Manipulationen der Betriebsabläufe in diesen Wirtschaftssektoren könnten die Bevölkerung in Gefahr bringen. Die Schutzmaßnahmen für die interne IT sollten durchaus einen hohen Stellenwert besitzen.

Nachfolgend werfen wir einen Blick auf die Kritischen Infrastrukturen und geben einen Ausblick auf die enorme Tragweite eines Cyberangriffes auf diese empfindlichen Organisationen.

Eine kritische Angelegenheit

Zu den Kritischen Infrastrukturen, oder auch kurz KRITIS genannt, gehören Organisationen oder Einrichtungen, die eine wichtige Rolle für das staatliche Gemeinwesen spielen. Sie stellen Dienste oder Produkte bereit, von denen Verbraucher und Unternehmen gleichermaßen abhängig sind. Zu nennen sind hier Einrichtungen innerhalb der Sektoren Energie, IT und Telekommunikation, Gesundheit, Wasserversorgung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.

Im Hinblick auf ihre IT-Infrastruktur gelten Kritische Infrastrukturen als besonders sensibel, weshalb die Regierung mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz diese besonders schützen will. Betreiber müssen daher Störungen ihrer IT-Systeme melden sowie regelmäßige Prüfungen dieser zulassen. Die genannte Sensibilität der Systeme rührt daher, dass die meisten bereits in weit zurückliegender Vergangenheit entwickelt wurden. Klar wird dabei, dass IT-Sicherheitsaspekte nicht von Anfang an berücksichtigt wurden, sondern zunächst physische Sicherheitsaspekte, wie der Aufbau von hochkomplexen Zaunanlagen und das Bereitstellen von Sicherheitspersonal, verfolgt wurden.

Grund hierfür war zudem auch die Trennung der IT-Systeme vom Internetzugang. Doch die Digitalisierung ist nicht einfach vorbeigezogen, sondern hat zu erheblichen Veränderungen in den letzten Jahren geführt. So sind in modernen Industriebetrieben mittlerweile viele Maschinen, Geräte und Mitarbeiter mit dem Internet verbunden. Neben vielen Vorteilen, die diese Vernetzung mit sich bringt, gibt es jedoch auch Nachteile, die nicht unerheblich sind: Kritische Infrastrukturen sind so für Cyberangriffe noch verwundbarer.

… und es ward dunkel!

Welches Ausmaß ein Cyberangriff auf Kritische Infrastrukturen haben kann, zeigt eine beispiellose Attacke auf das Stromnetz der Ukraine im Jahr 2015. Die Hacker legten die gesamte Stromversorgung lahm. Haushalte blieben stundenlang im Dunkeln, Krankenhäuser mussten auf Notstromaggregate zugreifen. Verantwortlich für den Hackerangriff sollen staatliche Akteure gewesen sein, die mithilfe der Malware Industroyer die Stromversorgung des Landes sabotierten. 2017 wurde ein Saudi-arabisches Kraftwerk Opfer von Hackern. Ziel des Angriffs war es vermutlich, die Anlage zu zerstören.

Der Angriff wurde rein zufällig entdeckt. So konnte Schlimmeres verhindert werden. Medienberichten zufolge lief die Attacke über ein Sicherheitssystem, welches weltweit in Öl- und Gaskraftwerken sowie Atomanlagen eingesetzt wird – auch in Deutschland. Der bei dem Angriff eingesetzte Triton-Code wurde wenig später im Internet veröffentlicht. Das schuf die Grundlage für weitere Angriffe durch versierte Hacker. Eigenen Angaben zufolge konnten Sicherheitsforscher im April 2019 einen weiteren Angriff mit dem Triton-Code ausfindig machen. Unklar bleibt allerdings, wann der Angriff stattfand und welche Anlage im Fokus stand. Die Forscher seien bei ihren Untersuchungen zu der Erkenntnis gekommen, dass die Angreifer eine Grundlage für physische Schäden legen wollten. Damit läge es auch nahe, dass weitere Betreiber Kritischer Infrastrukturen anvisiert wurden. Aus diesem Grunde haben die Forscher Details zur entdeckten Malware öffentlich gemacht, um IT-Verantwortliche bei der Entdeckung und Prävention zu unterstützen.

Die vergangenen Ereignisse sind besorgniserregend. Ein gutes Zeichen ist jedoch das dadurch steigende Bewusstsein für IT-Sicherheit innerhalb Kritischer Infrastrukturen. Der Katastrophenschutz etwa lobte bereits die wachsende IT-Sicherheit.

The Worst Case: Cyberangriff auf KRITIS-Betreiber

Damit soll das Thema aber längst nicht vom Tisch sein, sondern für die weitere Einrichtung von Sicherheitsmaßnahmen sensibilisieren. Was wäre wenn? Wir gehen vom Worst Case aus: Ein Cyberangriff dreht Deutschland den Strom ab. Laut Arne Schönbohm vom BSI ist die Netz- und Energieversorgung ein attraktives Ziel, um ein ganzes Land lahmzulegen. Demnach entstünden weitreichende Versorgungsengpässe bei einem längeren und größeren Stromausfall. Dies gibt etwa auch der Katastrophenschutz zu Bedenken. Werfen wir einen genaueren Blick auf ein mögliches Angriffsszenario:

Die Cyberkillchain

Ein Angriff erstreckt sich auf insgesamt sieben Schritte, die in einer sogenannten Cyberkillchain zusammengefasst werden. Das Konzept der Angriffskette stammt ursprünglich aus dem Militär und wurde auf den IT-Bereich übertragen.

Ein Angriff einer Ransomware läuft in den folgenden Schritten ab:

  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. Command & Control
  7. Actions on objective

Reconnaissance: Identifizierung des Ziels

Es gibt grundsätzlich zweierlei Angriffsarten zu unterscheiden: gezielte und massenweise Attackierung. Bei der Killchain geht es hauptsächlich um gezielte Angriffe. Zunächst wird das Ziel ausgesucht. Hier werden dann so viele Informationen wie möglich gesammelt, um herauszufinden, wie das Unternehmen aufgestellt ist und wo eventuelle Lücken klaffen, die man für ein Eindringen nutzen könnte. Im Fokus steht meist ein bestimmter Mitarbeiter, der viele Informationen zu seiner Person teilt: Kontaktdaten, Jobtitel, Urlaubspläne und mehr. Ist die passende Schwachstelle gefunden, wird der nächste Schritt in Angriff genommen.

Weaponization: Vorbereitung des Angriffs

Je nach angestrebtem Ziel und geplanter Vorgehensweise wählt der Angreifer ein passendes Tool aus – nach Möglichkeit sollte es natürlich perfide sein. Oft bietet sich hier ein Verschlüsselungstrojaner an, der sich zunächst bedeckt hält und weitere Informationen sammelt. Viele dieser Codes stehen im Darknet frei zur Verfügung.

Delivery: erste Schritte zur Durchführung des Angriffs

In dieser Phase muss der Kriminelle einen Verbreitungsweg wählen. Er kann hierbei auf eine CD-ROM, einen USB-Stick oder auch ganz klassisch auf die E-Mail setzen. Besonders beliebt sind hier Phishing-Mails, die entweder per Link auf eine schadhafte Webseite leitet oder ein infiziertes Dokument enthält, welches der Empfänger öffnen soll. Der Vorteil der Phishing-Methode bringt uns direkt zum nächsten Schritt.

Exploitation: Aufspüren von Sicherheitslücken

Die mangelnde Sensibilisierung der Mitarbeiter stellt einen gern genutzten Einfallsvektor dar. Stichwort „Social Engineering“: Über Phishing, CEO-Fraud oder Whaling wird gezielt die Unsicherheit und Unwissenheit der Mitarbeiter ausgenutzt, um ins System zu gelangen. Doch können offene Angriffsflächen auch in der Technik liegen, wie etwa ungepatchte Sicherheitslücken in unternehmensweit genutzten Programmen.

Installation: Implementierung einer Backdoor

Logischerweise erscheint kein Pop-Up sobald die Malware installiert wurde. Die Installation läuft im Verborgenen und ohne das Wissen des Nutzers. Die Malware nistet sich ein und wartet auf ihren großen Moment.

Command & Control: Fernsteuerung des Zielsystems

Um die Kontrolle der Malware zu behalten, kann beispielsweise das Remote Desktop Protokoll für den Fernzugriff ausgenutzt werden. Die Fernsteuerung ist essentiell, um das eigentliche Ziel zu erreichen. Mittlerweile ist es sogar möglich, sich Künstlicher Intelligenz zu bedienen, sodass die Malware selbstlernend Aktionen durchführen kann, wie etwa das Nachladen weiterer Schadsoftware oder das Ausspähen von persönlichen Daten.

Actions on objective: Zielerreichung

Der große Moment ist gekommen und der Angreifer kann nach der kompletten Unterwanderung des Systems seine Handlung konkretisieren. In unserem Fall wird die Stromversorgung abgeschaltet. Es kann mehrere Jahre dauern, bis die Malware ausgeführt oder entdeckt wird.

Aus der Killchain wird deutlich, dass die Prävention und Verteidigung vor ausgefeilten Cyberangriffen nur mit speziellen Werkzeugen sowie einer starken und regelmäßigen Sensibilisierung der Mitarbeiter möglich sind. Zu nennen sind hier beispielsweise Services, die perfide und komplizierte Schädlinge wie Advanced Persistent Threats mit speziellen Analyse-Engines, Freezing und Sandbox erkennen können. Fakt ist, dass Cyberangriffe weiter zunehmen werden und frühzeitig Maßnahmen zum Schutz ergriffen werden müssen.

Zusammengefasst lässt sich also sagen, dass Cyberattacken auf Kritische Infrastrukturen eine Bedrohung der nationalen Sicherheit darstellen können. Denn ein Angriff auf das Energienetz oder die Wasserversorgung kann Folgen haben, die nicht mehr nur für finanzielle Einbußen sorgen, sondern das Leben, so wie wir es kennen, völlig verändern könnten.

Business E-Mail Compromise: Bedrohung wächst rasant

Business E-Mail Compromise: Bedrohung wächst rasant

Verschlüsselte schädliche Anhänge, Phishing und Fake-Bewerbungsmails sind bekannte Angriffsmethoden Cyberkrimineller, um Malware wie Ransomware und Co. in Unternehmenssysteme einzuschleusen. Die Ausmaße bei einer Kompromittierung werden beinahe schon täglich durch zahlreiche Meldungen überaus deutlich: Einmal im System, verursachen Schadprogramme Verluste in Millionenhöhe durch verschlüsselte Unternehmensdokumente, Diebstahl von relevanten Dateien und Informationen oder verlangsamen die Betriebsprozesse durch illegales Krypto-Mining. Ausgeklügelte Filtersysteme zur Erkennung von versteckter Malware machen den Weg in ein System eines Unternehmens für Cyberkriminelle zunehmend komplexer.

Der Fokus der Cyber-Betrüger verschiebt sich deshalb immer mehr auf die menschliche Schwachstelle: Sie adressieren Mitarbeiter ausgewählter Unternehmen mit einfachen, aber sehr individuellen und rein textlichen E-Mail-Nachrichten – bekannt ist diese Vorgehensweise als Business E-Mail Compromise (BEC). Seit nun rund 1 ½ Jahren verzeichnet das Hornetsecurity Security Lab einen deutlichen Anstieg dieser Art von Angriffen.

Was ist ein Business E-Mail Compromise?

Hohe Geldsummen werden auf betrügerische Weise auf ein externes Konto transferiert, interne und wichtige Unternehmens- und Zugangsdaten sowie andere vertrauliche Informationen verlassen unbemerkt das Unternehmen – und das ohne ein eingeschleustes Schadprogramm. Bei einem BEC stützt sich ein Hacker im Gegensatz zu einfachem Spam auf spezielles Insider-Wissen. Bekannte Namen und E-Mail-Adressen von Mitarbeitern oder Kunden sowie aktuelle Signaturen und Disclaimer lassen eine gefälschte E-Mail authentisch wirken.

Mit einer nachgemachten E-Mail-Adresse, ähnlich der des CEOs, eines Kunden oder Sachbearbeiters senden die Cyberkriminellen eine kurze rein textbasierte E-Mail-Nachricht gezielt an einen ausgewählten Mitarbeiter. Der Displayname wird dabei genau so angezeigt, wie er in einer E-Mail der echten Person abgebildet wäre. Dadurch ist der Betrug dahinter schwer zu erkennen.

Wie gehen Cyberkriminelle vor?

In seiner ersten E-Mail tastet sich der Cyberkriminelle heran. Der vermeintliche CEO oder Vorgesetzte richtet sich mit dringenden Worten an eine Zielperson in einem Unternehmen. Gebeten wird um eine schnelle schriftliche Antwort per E-Mail, da der angebliche Chef sich beispielsweise gerade in einem Meeting befindet oder telefonisch nicht erreichbar ist. Der Hacker setzt den Empfänger gezielt unter zeitlichen und psychischen Druck, um den Betrug zu verschleiern.

Erhält der Kriminelle eine Antwort, wird er in einer zweiten Nachricht konkreter: Der vermeintliche Vorgesetzte bittet um die Überweisung eines bestimmten Geldbetrags auf das Konto eines angeblichen Kunden, Geschäftspartners oder Dienstleisters. Doch nicht nur finanzielle Mittel werden auf diese Art und Weise erbeutet. Auch unternehmensinterne Daten und Informationen werden so von den Hackern in Erfahrung gebracht und für andere, gegebenenfalls spätere Zwecke missbraucht. Der CEO-Fraud ist das bislang bekannteste Verfahren Cyberkrimineller, doch der Betrug des Business E-Mail Compromise kann auf vielfältige Weise erfolgen:

  • Der Hacker gibt sich als Kunden des Unternehmens aus und kündigt eine Änderung der Zahlungsinformationen an, um dadurch zukünftige Transaktionen auf das Konto des Angreifers auszulösen.
  • Getarnt mit der vermeintlichen E-Mail-Adresse eines Mitarbeiters, versendet der Cyberkriminelle beispielsweise Rechnungen an Kunden des Unternehmens.
  • Mit Hilfe eines kompromittierten E-Mail-Kontos eines Anwalts, wird entsprechend Druck auf den Empfänger innerhalb eines Unternehmens aufgebaut, um diesen zu einer Zahlung oder zur Herausgabe von Informationen zu bewegen.

Aktuelle Gefahrensituation

Laut aktuellem Internet Crime Report des FBI ist der Business E-Mail Compromise, neben Ransomware, Banking-Trojanern und Phishing, für einen Großteil der weltweit entstanden finanziellen Verluste durch Cyberkriminalität verantwortlich. Allein im Jahr 2018 führte der Betrug durch gefälschte E-Mails zu globalen Einbußen von rund 1,2 Milliarden Dollar. Und es ist damit zu rechnen, dass die Bedrohungslage durch BEC weiterhin bestehen und steigen wird.

Ist ein Unternehmen erstmal betroffen, ist es sehr wahrscheinlich, dass diese Art von Angriff wiederholt wird. Jede weitere interne Information, die von einem Mitarbeiter unwissentlich per E-Mail weitergegeben wird, lässt weitere gefälschte E-Mails noch authentischer wirken.“, so ein Sicherheitsexperte vom Hornetsecurity Security Lab. „Wir beobachten mit jedem Monat eine zunehmende Anzahl eingehender E-Mails, in der Cyberkriminelle versuchen sich als echte Mitarbeiter oder Kunden auszugeben. Und mit jedem Mal wird die Art und Weise ausgeklügelter: Zum Teil sind Logo, Disclaimer und Signatur des Zielunternehmens eins zu eins nachgebildet. Der Empfänger einer solchen Betrugs-E-Mail, muss ganz genau wissen, worauf er achten muss.

Welche Unternehmen sind größtenteils betroffen?

Bei einem Business E-Mail Compromise stehen häufig größere und international agierende Unternehmen im Visier der Cyberkriminellen. Informationen zu Personen in bestimmten Verwaltungspositionen sind leicht herauszufinden, Logos oder aktuelle Marktaktivitäten sind oftmals im Internet zugänglich. Hinzu kommt, dass internationale finanzielle Transaktionen nicht unüblich sind und bei einer hohen Mitarbeiteranzahl die Wahrscheinlichkeit hoch ist, dass sich die Angestellten noch nie persönlich begegnet sind und der einfache E-Mail-Austausch ganz normal im Arbeitsalltag ist.

Im Jahr 2015 wurde beispielweise der deutsche Kabelspezialist Leoni AG Opfer einer solchen Täuschung, durch welche Cyberkriminelle das Unternehmen um rund 40 Millionen Euro betrogen. Auch das global bekannte soziale Netzwerk Facebook und der Google-Konzern wurden über mehr als zwei Jahre um insgesamt 100 Millionen US-Dollar bestohlen. Dies wurde im Jahr 2017 bekannt, als der Betrug entdeckt und durch das US-amerikanische Magazin Fortune öffentlich gemacht wurde. Laut Report des FBI stünden derzeit vor allem Immobilien-Unternehmen im Fokus.

Wie kann man sich davor schützen?

Das Hornetsecurity Security Lab geht auch zukünftig davon aus, dass der Business E-Mail Compromise eine der größten Cyberbedrohungen bleibt: „Klassische Anti-Phishing- oder Spam-Dienste versagen in der Erkennung von BEC E-Mails aufgrund ihres generischen Inhalts. Wir bieten unseren Kunden einen höchst individualisierbaren und komplexen Anti-Fraud Schutz an, um das höchste Maß an Sicherheit zu gewährleisten. Von Unternehmen, die unseren Targeted Fraud Forensics Engines nutzen, erhalten wir nur positives Feedback.“ Präzise ausgerichtete Engines, wie Targeted Fraud Forensics, prüfen die Authentizität und Integrität von Metadaten sowie E-Mail-Inhalten und erkennen spezielle Inhaltsmuster, die auf eine Betrugs-E-Mail schließen lassen. Das Durchkommen einer gefälschten E-Mail ins Postfach ist somit ausgeschlossen. Auch Schulungen, die die Mitarbeiter zusätzlich auf die charakteristischen Elemente eines Business E-Mail Compromise hinweisen, können der wachsenden Gefahr Einhalt gebieten.

Industrie 4.0 – Wie sicher ist die Produktion der Zukunft?

Industrie 4.0 – Wie sicher ist die Produktion der Zukunft?

Die digitale Transformation erreicht zunehmend den industriellen Sektor: Maschinen und Systeme sind miteinander vernetzt. Informationen sind durch die automatische und digitale Abwicklung von Produktionsprozessen transparent und zu jeder Zeit, an jedem Ort verfügbar. Die vierte industrielle Revolution hat begonnen.

Welche Prozesse stecken hinter dem Aufbau der digitalen Produktion? Welche Gefahren bringen nicht bedachte Sicherheitslücken mit sich? Und was kann passieren, wenn sich Cyberkriminelle die totale Vernetzung zu Nutze machen?

Ein umfangreicher Blogpost liegt vor Ihnen – Sie wollen aber gleich zum Punkt kommen?
Gehen Sie direkt zu…

Der Aufbruch in ein neues Zeitalter

Beginnen wir zunächst bei der Industrie in ihrer ursprünglichsten Form: der Industrie 1.0. Hier wurden Güter erstmals mit Maschinen produziert. In der Industrie 2.0 ermöglichte elektrische Energie die Massenproduktion. Fertigungsprozesse, die durch computergestützte Elektronik automatisiert wurden, charakterisieren die Industrie 3.0.

Heute sprechen wir von der Industrie 4.0: Die komplette Vernetzung von Produktionsanlagen und Systemen über Informations- und Kommunikationstechnik. Fertigungsmaschinen kommunizieren untereinander und organisieren sich selbst. Die Produktion ist dadurch ist flexibler, dynamischer, effizienter und vor allem transparenter. Denn die Vernetzung ermöglicht es unter anderem, den gesamten Produktionslebenszyklus zu verfolgen.

Doch die Entwicklung des vollständig digitalen Herstellungsprozesses steht noch am Anfang. Das Umrüsten auf die smarte Fabrik stellt viele Unternehmen vor Herausforderungen in Bezug auf Infrastruktur und Sicherheit. Vernetzte Sensoren, Maschinen und Anlagen schaffen neue Angriffsflächen für Cyberkriminelle. Infektionen mit Schadsoftware, Erpressung, Einbrüche über Fernwartungszugänge und menschliches Fehlverhalten sind große Gefahren für die smarten Fabriken.

Auf der Hannover Messe 2019 war die Industrie 4.0 das Trendthema Nummer Eins.

Vorteile der industriellen Revolution

Betrachten wir zunächst die Vorzüge der smarten Fabriken: Ein besonderer Vorteil ist die Prozessoptimierung. Informationen sind in Echtzeit verfügbar – der Einsatz von Ressourcen kann schneller überprüft und so effizienter angepasst werden.

Jeder Produktionsschritt kann von jeglichen Standorten überprüft, abgestimmt und geplant werden. Und durch die Vernetzung funktioniert der Informationsaustausch der Maschinen nicht nur am Produktionsstandort, sondern weltweit. So können alle Beteiligten am Produktionsprozess ortsunabhängig Informationen zum Produkt erhalten.

Die Transparenz der Fertigungsprozesse ermöglicht den Unternehmen eine flexiblere Fertigung, denn die Beteiligten haben den Überblick über die Produktion – bei Veränderungen können Abläufe schnell und effizient angepasst werden. Zusätzlich teilen die Anlagen Informationen mit den Mitarbeitern des Unternehmens – denn der Mensch spielt trotz der zunehmenden Digitalisierung weiterhin eine wichtige Rolle. Er überwacht und steuert die Abläufe in der Produktionskette der smarten Maschinen.

Durch die Industrie 4.0 entstehen enorme Wettbewerbsvorteile und Wachstumschancen für Unternehmen. Laut dem Bundesverband der deutschen Industrie prognostizieren Experten bis 2025 Produktivitätssteigerungen von bis zu 30 Prozent.

Intelligente Sensoren – die Sinnesorgane der Maschinen

Eine Voraussetzung für die smarte Fabrik sind intelligente Sensoren. Sie überwachen und regeln Prozesse und sorgen für Zuverlässigkeit in der Produktion. Sie müssen neben der Erfassung von Messgrößen auch Signale aufbereiten und verarbeiten.

Doch was macht den Sensor intelligent? Über die IO-Link-Technologie sind Sensoren einer Industrie-4.0-Fabrik mit der Hardware verbunden. Das macht sie zu aktiven Teilnehmern im Automatisierungsnetzwerk der Fabrik. Der smarte Sensor ist mit einer speziellen Software ausgestattet, die es ihm ermöglicht, Daten nicht mehr nur zu erfassen, sondern auch zu bewerten. Er gibt so nur noch die relevanten Daten weiter und fungiert als Sinnesorgan der Maschinen. Er kann beispielsweise Anomalien im Prozess durch Vibrationen erkennen, bevor an der Produktionsanlage überhaupt ein Schaden entsteht. Die gesammelten Sensordateninformationen können unter anderem in einem Datenpool wie der Cloud bereitgestellt werden.

Trotz all der Prozessoptimierungen, die dank der kleinen Bauteile möglich sind, bietet die Verbindung der Sensoren an das Netzwerk wiederum einen Schwachpunkt. Einen Schwachpunkt, den sich Cyberkriminelle zu Nutze machen können.

Die smarte Fabrik braucht externe IT-Infrastrukturen

Damit Unternehmen jeder Größenordnung die volle Bandbreite der Industrie 4.0 nutzen können, bedarf es unter anderem hoher Rechenleistung. Und hier kommt das Cloud Computing ins Spiel. Beim Cloud Computing werden IT-Infrastrukturen nicht mehr vor Ort an den lokalen Rechnern, sondern in einem ausgelagerten, meist redundanten Netzwerk genutzt.

Vor allem im Kontext der Industrie 4.0 werden Technologien wie die Cloud unverzichtbar. Denn durch die Vernetzung und die Benutzung smarter Sensoren entstehen große Datenmengen. Die Cloud ermöglicht Unternehmen einen ortsunabhängigen und permanenten Zugriff auf die gesammelten Daten aus dem Produktionsprozess. Sie dient in der Industrie 4.0 als Plattform für die Speicherung von Daten in Echtzeit und bietet Unternehmen die weltweite Vernetzung von Systemen und Anlagen auf sicherem Wege.

Die Datenwolke hat sich im IT-Umfeld etabliert. Laut Bitkom nutzen bereits drei Viertel der Unternehmen in Deutschland die ausgelagerten IT-Infrastrukturen, denn die Cloud ermöglicht nicht nur die bedarfsgerechte Nutzung von IT-Leistungen wie Software und Rechenleistung, sondern leistet insgesamt einen großen Beitrag zur Digitalisierung des Unternehmens. Gerade beim Einstieg in die Industrie 4.0 brauchen Unternehmen flexible Lösungen zur Speicherung und Verarbeitung ihrer Daten – denn auch die vierte industrielle Revolution steht in ihrer Entwicklung noch am Anfang.

Im Visier der Cyberkriminellen: Angriffe von innen und außen

Der Aspekt der Sicherheit hemmt Unternehmen bei ihrem Einstieg in die Industrie 4.0, denn die Bedrohungen durch Cyberangriffe sind längst keine unsichtbare Gefahr mehr. Cyberattacken sind neben Naturkatastrophen und Epidemien laut dem aktuellen Global Risk Report eine der größten und einflussreichsten Bedrohungen.

Durch die Vernetzung von Menschen und Maschinen im gesamten Produktionsprozess wächst die Angriffsfläche für Cyberkriminelle. Technische, organisatorische und menschliche Defizite in den Unternehmen können Hackern diverse Türen für Cyberangriffe öffnen.

Im Zuge der anfänglichen Verbindung von veralteten IT-Systemen mit dem Internet entstanden große Sicherheitslücken, die bei Cyberkriminellen nicht unentdeckt blieben. Durch Fernwartungszugänge können Schlupflöcher entstehen, über die schädliche Programme in das Unternehmen gelangen. Die Folgen sind fatal: Hacker können die Produktion lahmlegen, Daten entwenden und Unternehmen erpressen. Außerdem besteht die Gefahr, dass sich Cyberkriminelle Zugang zur Steuerung der Maschinen verschaffen oder das unternehmensinterne Energienetz lahmlegen.

Auch die innere Sicherheit darf nicht außer Acht gelassen werden. Hacker machen sich menschliche Schwachstellen durch Social Engineering zu Nutze und bringen Mitarbeiter dazu, unbeabsichtigt Mal- oder Ransomware per E-Mail in das Unternehmenssystem einzuschleusen. Diese übertragen sich auf IT-Systeme und verbreiten sich auf die Steuerung der gesamten Produktion.

Die Cyberkriminellen werden kreativer und die Ausmaße ihrer Angriffe, vor allem in vernetzten Systemen, immer verheerender. Erst im März dieses Jahres kam es zu einem Cyberangriff auf den norwegischen Aluminiumkonzern Norsk Hydro. Hacker schleusten Ransomware in die IT-Systeme des Unternehmens ein. Durch die interne Vernetzung waren die IT-Systeme fast aller Geschäftsfelder betroffen und das globale Netzwerk wurde lahmgelegt.

Schattenseiten der Industrie 4.0 Infografik von Hornetsecurity

Laut Spiegel Online ist das Unternehmen Opfer der Ransomware LockerGoga geworden. Diese verschlüsselte zahlreiche Dateien des Unternehmens. Für die Entschlüsselung forderten die dahintersteckenden Cyberkriminellen ein Lösegeld in Form von Kryptowährung. Um sich vor einer Verbreitung der Schadsoftware zu schützen, stellte der Konzern die Produktion auf den manuellen Betrieb um, was zu Einschränkungen im Betriebsablauf führte.

Aufgrund des Hackerangriffs musste Norsk Hydro Einbußen von umgerechnet über 30 Millionen Euro hinnehmen. Der internationale Aluminiumproduzent ist jedoch nur eines von vielen Industrieunternehmen: Laut dem IT-Verband Bitkom werden 8 von 10 Industrieunternehmen allein in Deutschland regelmäßig Opfer von Cyberangriffen.

Sicherheit: das A&O für den erfolgreichen Einstieg

Die Hälfte aller Maschinen in jedem zehnten deutschen Unternehmen sind bereits über das Internet miteinander vernetzt. Doch die Vision der vierten industriellen Revolution wurde auf alten Sicherheitsprotokollen aufgebaut. Um smarte, vernetzte Fabriken vor Cyberattacken umfassend zu schützen, brauchen Unternehmen ein mehrstufiges Sicherheitskonzept, das nicht nur die Industrie-Netzwerke, sondern auch die verwendete Cloud und die darin gespeicherten Datenmengen schützt. Aufgrund ihrer hohen wirtschaftlichen Kraft und ihrem Stellenwert in der Supply-Chain stellt der Industriesektor für Cyberkriminelle ein attraktives Ziel dar. Hacker bedienen sich an einem großen Pool an Angriffsvektoren, um in das unternehmensinterne System einzudringen.

Als Haupteinfallstor gilt auch in diesem Bereich die E-Mail: Sie ist das primäre Kommunikationsmittel in Unternehmen weltweit. Eine professionell gestaltete Betrugsmail ist nicht leicht zu erkennen und so verlassen unbeabsichtigt Zugangsdaten oder andere sensible Informationen das Unternehmen und landen direkt bei den Cyberkriminellen, die diese für weitere Vorgehensweisen ausnutzen. Auswirkungen wie hohe finanzielle Einbußen oder gar physische Schäden sollten durch eine stärkere Aufmerksamkeit auf die steigenden globalen Cyberkriminalitätsaktivitäten eingeschränkt und verhindert werden. Regelmäßige Meldungen über Angriffe auf Industrieunternehmen stellen klar, dass bei all dem digitalen Fortschritt, der die Industrie 4.0 zu dem macht was sie ist, auch bei den nicht bedachten Sicherheitslücken hoher Handlungsbedarf besteht.

Quellen
  • ARD. Norsk Hydro Cyberangriff. [abgerufen am 15.07.2019]
  • Bitkom. KI zieht in Fabrikhallen ein. [abgerufen am 15.07.2019]
  • Bitkom. Vision Industrie 4.0. [abgerufen am 15.07.2019]
  • Bitkom. Cloud Monitor. [abgerufen am 11.07.2019]
  • BSI. Cloud Computing Risiken. [abgerufen am 11.07.2019]
  • BMWI. Industrie 4.0. [abgerufen am 15.07.2019]
  • Inka Krischke. Sensoren. [abgerufen am 11.07.2019]
  • Drohr-John Röcher. Vernetzte Industrie anfällig für Angriffe. [abgerufen am 15.07.2019]
  • Katharina Juschkat. Smarte Sensoren für Industrie 4.0. [abgerufen am 16.07.2019]
  • Fraunhofer Institut. Industrie 4.0. [abgerufen am 16.07.2019]
  • Christof Kerkmann. Norsk Hydro als Vorbild bei der Cyberabwehr. [abgerufen am 16.07.2019]
  • Swen Heinemann. Digitalisierung in der Industrie. [abgerufen am 16.07.2019]
  • Jan-Martin Altgeld. Fraunhofer Institut simuliert Cyberangriffe. [abgerufen am 15.07.2019]
  • Katharina Juschkat. Sensortechnik als Grundlage für Industrie 4.0. [abgerufen am 11.07.2019]
  • Robert Russell und Jürgen Schreier. Industrie 4.0 – ein Sicherheitsrisiko? [abgerufen am 11.07.2019]
  • Roman Isheim. Smarte Sensoren. [abgerufen am 15.07.2019]
  • Thomas W. Frick. Industrie im Wandel der Zeit. [abgerufen am 10.07.2019]
  • Hans Dieter Wehle. Cloud Computing. [abgerufen am 10.07.2019]
  • Sebastian Korfmacher. Umsetzung von Industrie 4.0. [abgerufen am 15.07.2019]
  • Marina Vogt. Cloud Computing einfach erklärt. [abgerufen am 16.07.2019]
  • Microsoft. Cloud Computing. [abgerufen am 16.07.2019]
  • Markus Böhm. Ransomware LockerGoga. [abgerufen am 15.07.2019]
  • Nicolai Kwasniewski. Cyberangriffe gefährden deutsche Wirtschaft. [abgerufen am 11.07.2019]
  • VDE. Cyber-Security. [abgerufen am 11.07.2019]
  • Thomas Mersch. Sensoren – kleine Sinnesorgane der Industrie. [abgerufen am 11.07.2019]
    Analyse des schadhaften Skripts der „Bad Cop“-Masche

    Analyse des schadhaften Skripts der „Bad Cop“-Masche

    Die Bedrohung durch gefälschte Bußgeldbescheide im Namen der Brandenburger Polizei (Hornetsecurity berichtete) hält weiterhin an. Zwei in der Betrugs-E-Mail platzierte Links leiten den Empfänger auf eine beinahe exakte Kopie der Website der Brandenburger Polizei weiter. Nach dem Ausfüllen eines Captcha wird ein zip-Archiv (Bezeichnung: 11611.zip) auf dem Computer des Benutzers heruntergeladen, welches ein Visual Basic Skript (RTCTV_78943_CAM.vbs) enthält. Worum es sich bei dem Skript handelt und was beim Ausführen der schadhaften Datei geschieht, fanden nun die Sicherheitsexperten von Hornetsecurity in einer tiefgehenden Analyse heraus.
    Zur Analyse werden unter anderem Tools wie Procmon, ProcDOT und Regshot herangezogen.

    Nach dem Ausführen des Skripts wird das von Microsoft entwickelte „BITSAdmin Tool“ gestartet, welches unter anderem für Down- und Uploads von Daten genutzt wird. Durch das Tool wird automatisch eine Verbindung zu der IP-Adresse 85.227.68.140 aufgebaut. Mittels GeoLocation konnte diese in Finnland lokalisiert werden. Nach dem Verbindungsaufbau mit der genannten IP Adresse werden zwei Dateien heruntergeladen:

    1. Der Download der Datei „generated_ilxp.pdf“ erfolgt von 185.227.68.140/data/doc11 und wird lokal auf dem betroffenen Rechner unter C:/Users//AppData/Local/generated_ilxp.pdf gespeichert.

    Die Dateiendung lässt auf ein gängiges PDF Dokument schließen, jedoch handelt es sich lediglich um eine Datendatei. Eine genaue Spezifikation der Datei konnte bisher noch nicht ermittelt werden, welche Funktionen hinter dem Programm stecken, wurde auch während der Analyse nicht ersichtlich. Beim Check der Datei im Online-Analyse-Portal Virus Total wurde das noch undefinierte Programm von keinem Antivirenprogramm erkannt.

    Mögliches Szenario: Die Datei könnte von den Cyberkriminellen erst einmal nur im System platziert worden sein, ohne eine Funktion auszuführen. Zu einem späteren Zeitpunkt könnte das Programm dann für bestimmte Zwecke aktiviert und infizierte Rechner missbraucht werden (zum Beispiel zum Erzeugen eines Botnets oder den Versand von Spam-Mails).

    2. Darüber hinaus erfolgt der Download einer Shellcode-Datei mit der Bezeichnung „xpzhhwjl.exe“ von 185.227.68.140/data/sd8392.

    Diese wird abgelegt unter dem Pfad C:/Users//AppData/Local/xpzhhwjl.exe und infiziert so das System. Die Malware wurde laut VirusTotal bislang von rund 26 Antivirenprogrammen erkannt. Nach der lokalen Installation wird eine Konfigurationsdatei erzeugt (C:/Users//AppData/Local/xpzhhwjl.ini). Der ausführbare Schadcode enthält mehrere Funktionsaufrufe, welche verschiedene Einstellungen auslesen.

    In diesem Fall werden unter anderem die Einstellungen des Internet Explorers durch das Skript analysiert, um einen möglichen Proxy (wie einen Webfilter) zu deaktivieren. Bei Unternehmen werden oftmals im Sinne der IT-Sicherheit für Online-Aktivitäten der Mitarbeiter übergreifende Gruppenrichtlinien erstellt (Benutzer XY darf keine Makros ausführen). Auch diese könnten durch die Malware stillgelegt werden. Zusätzlich könnte das Schadprogramm einen Massenversand von Spam-E-Mails auslösen. Daraufhin deutet die Funktionsangabe „CreateMailslotW“.

    Mögliches Szenario: Neben dem Versand von Spam-E-Mails und der Deaktivierung von Proxys, könnte das Schadprogramm zum Kopieren und Ausspionieren sensibler Dateien und Dokumente sowie interner Unternehmensvorgänge im System platziert werden.

    Bislang klassifizierten die Antivirenprogramme, die die Shellcode-Datei entdeckten, die Schadsoftware als den bekannten Banking-Trojaner Emotet oder die Crpyto-Malware Razy. Um welchen Virus es sich jedoch genau handelt, lässt sich noch nicht genau bestimmen – dass es sich aber um eine ernst zu nehmende Cyberbedrohung handelt konnte das Hornetsecurity Security Lab mittels der Analyse klar herausstellen.

    Bad Cop Masche: Gefälschte Bußgeldbescheide per E-Mail

    Bad Cop Masche: Gefälschte Bußgeldbescheide per E-Mail

    Im Namen der Brandenburger Polizei und der Zentralen Bußgeldstelle werden derzeit gefälschte Bußgeldbescheide wegen zu schnellen Fahrens per E-Mail versendet.
    Das Hornetsecurity Security Lab meldet aktuell ein erhöhtes Aufkommen solcher Betrugs-E-Mails.

    Die E-Mail allein richtet noch keinen Schaden am System der Betroffenen an! Die Sicherheitsexperten von Hornetsecurity raten beim Erhalt einer solchen E-Mail in keinem Fall einen der ausgewiesenen Links zu klicken.

    Bei der Betrugsmasche handelt es sich um eine klassische Phishing-E-Mail. Es wird ein Bußgeldbescheid der Brandenburger Polizei nachgebildet. Neben einer relativ gut formulierten Strafandrohung enthält die Betrugs-E-Mail zwei Links, die auf eine beinahe exakte Kopie der Website der Brandenburger Polizei weiterleiten.

    Dort wird der Adressat dazu aufgefordert ein Captcha auszufüllen, wodurch schließlich ein zip-Archiv mit einem enthaltenen Visual Basic Skript (*.vbs) heruntergeladen wird. Laut VirusTotal wurde das VBS Skript bisher nur von einem Antivirus Scanner erkannt.

    Bis jetzt ist jedoch noch nicht bekannt, was nach dem automatischen Ausführen des Skripts geschieht. Derzeit ist das Hornetsecurity Security Lab noch dabei, das Skript zu analysieren.

    Die Phishing Seite ist mittlerweile nicht mehr erreichbar. Die Domain wurde vor ca. 10 Tagen registriert.

    Domain Name: brandenburg-polizei.com
    Creation Date: 2019-06-09T07:00:00Z

    Die Polizei selbst berichtete bereits über das Vorgehen auf ihrer offiziellen Website und gibt an, um entsprechend reagieren zu können, dass Betroffene Strafanzeige erstatten sollten.