Loading

Blog

Recent ActivityRecent Activity

Cyberangriffe: Reicht Ihre industrielle Sicherheitsstrategie aus?

Jetzt, da Server und Clients wieder einwandfrei laufen, Produktionssysteme wie Steuerungs-, Visualisierungs- und Chargensysteme ihre Aktivität wiederaufgenommen haben und in den Anlagen wieder Waren produziert werden, ist es Zeit, über die jüngsten Ereignisse nachzudenken.

Ich erinnere mich noch gut daran, wie alles begann. Die Schlagzeilen im Internet lauteten „Ransomware!, Systeme bei Fertigungsunternehmen stillgelegt, Produktion gestoppt!“. Keine guten Nachrichten, wenn man an einem Frühsommermorgen aufwacht.

Schuld daran war eine Malware mit dem Namen Nyetya oder NotPetya. Zunächst wurde NotPetya auch für Ransomware gehalten, doch dann stellte sich heraus, dass es sich um einen Wiper-Virus handelte, der sich wie ein Wurm verbreitete. Daher wird er ab jetzt WiperWurm genannt.

.

Gut vorbereitete Teams gingen mit Bedacht vor und führten ihren Plan zielführend aus. Eine effektive Reaktion bestand in der Regel darin, ein Verfahren zu verfolgen wie es im Computer Security Incident Handling Guide (Sonderpublikation 800-61 des National Institute of Standards and Technology) beschrieben ist.

Zunächst wurde das Ausmaß der Schäden beurteilt und nach deren Ursache gesucht, sodass entsprechende Schritte zur Eindämmung des Ereignisses ergriffen werden konnten. In vielen Fällen war dies jedoch nicht möglich.

Bei einigen wurde fast jeder Windows-Computer, der sich am industriellen Steuerungssystemnetzwerk anmeldete, mit dem NotPetya-WiperWurm infiziert. Da die Chancen für eine Wiederherstellung infizierter Systeme schlecht standen, war der nächste logische Schritt, bestehende Systembackups wiederherzustellen. Wenn keine Backups vorhanden waren, mussten alle Produktionssysteme von Grund auf neu erstellt werden – eine kostspielige und zeitaufwändige Zwickmühle.

Diejenigen, die glücklicherweise auf Backups zurückgreifen konnten, mussten bei der Wiederherstellung ganz diszipliniert vorgehen und sicherstellen, dass die wiederhergestellten Systeme auf einem isolierten Netzwerk installiert wurden, um eine erneute Infizierung zu verhindern. Schnelles Handeln durch hervorragende Forscher und Techniker für Cybersicherheit sorgte dafür, dass das nötige Know-how zur Verhinderung einer erneuten Infizierung zur Verfügung stand.

Schnelles Handeln durch hervorragende Forscher und Techniker für Cybersicherheit sorgte dafür, dass das nötige Know-how zur Verhinderung einer erneuten Infizierung zur Verfügung stand.

  • Die Korrektur der MS17-010-Schwachstelle verhinderte, dass die EternalBlue- und EternalRomance-Exploits das System erfolgreich gefährden konnten.
  • Deaktivierung von wmic.
  • Implementierung eines Registry-Fixes, das alle administrativen Shares wie C$ und ADMIN$ schließt, um einen der Verbreitungsvektoren zu sperren.

Bei der Wiederherstellung sahen sich einige der Herausforderung gegenüber, dass ein Teil der Verbreitungsmethoden des WiperWurms auch als Schlüsselfunktionalität für Produktionsanwendungen dienten, sodass deren Deaktivierung oder Einschränkung keine gangbare Lösung war.

Und was lernen wir daraus? Die effektivste Maßnahme gegen einen WiperWurm ist die strikte Einhaltung von Sicherheitsvorkehrungen: „die Grundlagen“, wenn Sie so wollen. Zu diesem Thema gibt es zahlreiche Artikel, doch die wichtigsten Punkte sind:

  • Schützen Sie Systeme, bevor Sie sie in der Produktion einsetzen
  • Arbeiten Sie mit beschränkten Benutzerkonten, sofern möglich
  • Führen Sie Systempatches aus und investieren Sie in eine kompetente Antivirenlösung oder eine Endpunkt-Sicherheitslösung

Wichtige Supportservices können Ihnen helfen, diese soliden Sicherheitspraktiken in einer industriellen Steuerungssystemumgebung zu implementieren.

Abonnement validierter Windows-Patches

Diese Abonnementservices bieten Ihnen die neuesten, validierten Windows-Patches für Ihre industrielle Computerumgebung. Wir validieren unsere beispielsweise in einer stabilen Testumgebung, um das Risiko einer Anwendungsbeeinträchtigung zu minimieren. Patches werden zur Verfügung gestellt, wenn Sie Ihren WSUS-Server (Windows Server Update Services) mit unserem verwalteten, cloud-basierten WSUS verbinden.

Wenn die Patches auf Ihrem WSUS zur Verfügung stehen, können Sie sie auf Ihr System anwenden, sobald es Ihr eigener Plan erlaubt. Netzwerk- und Sicherheitsservices helfen Ihnen außerdem, bei Bedarf unternehmensinterne Richtlinien und Verfahren für das Installieren von Patches auf industriellen Systemen zu entwickeln/anzupassen.

Dezentrales Patch- und Antivirenmanagement

Diese Art von Services hilft, Risiken einzudämmen, die entstehen, wenn Sie Windows-Patches und Antivirendefinitionen nicht regelmäßig aktualisieren. Sie unterstützen Sie auch, wenn das Risiko besteht, dass Sie eine falsche Vorgehensweise beim Installieren von Patches haben.

Beispielsweise stellen wir eine sichere dezentrale Verbindung zu Ihrer Industriecomputerumgebung her, um den Zustand der Infrastruktur und Images zu überwachen, während wir die Änderungen an der Umgebung verwalten.

Anschließend erstellen wir gemeinsam mit Ihnen einen Plan für das Aktualisieren von Patches und Antivirendefinitionen und legen Vorgehensweisen fest, mit denen die Funktionalität von Images und Anwendungen vor deren Integration in die Produktion getestet wird.

Dezentrales Backup-Management

Schließlich können mit dieser Art von Service Risiken eingedämmt werden, die bestehen, wenn Ihnen keine Backups zur Verfügung stehen und/oder wenn Sie keinen Zugriff auf Experten haben, die Ihnen bei der schnellen Wiederherstellung der Systeme helfen. Der Service bietet stabile Backupfunktionen zum Überwachen der Backupintegrität und Wiederherstellen der Systeme. Unser Service umfasst z. B. Folgendes:

  • Bereitstellung eines Backupgeräts in der industriellen Computerumgebung, das so konfiguriert ist, dass es die Anforderungen Ihres Systems hinsichtlich Häufigkeit und Aufbewahrung von Backups erfüllt
  • Ausführen der dezentralen Überwachung des Status von Gerät und Backups
  • Ausführen der bedarfsabhängigen dezentralen Services zum Wiederherstellen von Images mit dem zuvor bekannten „guten“ Status

Im Kampf gegen einen WiperWurm, gegen RansomWare oder gegen die meisten Angriffe mit Malware bleibt eine gute Vorbereitung die effektivste Strategie!

Führen Sie Patches aus und verstärken Sie Ihre Systeme, um eine Infizierung zu verhindern. Und falls Sie sie nicht verhindern können, vergewissern Sie sich, dass Sie kritische Produktionssysteme mithilfe eines Backups wiederherstellen können.

Eine gute Vorbereitung macht den Unterschied zwischen laufenden Systemen und dem erneuten Erstellen Ihrer Produktionssysteme von Grund auf.

Schützen Sie Ihren Betrieb mithilfe unserer industriellen Sicherheitsservices vor Sicherheitsrisiken.


Pascal Ackerman
Pascal Ackerman
Senior Consultant of Industrial Cyber Security, Rockwell Automation
Pascal Ackerman
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You