Das Industrielle Internet of Things (IIoT) bietet große Chancen für das produzierende Gewerbe, gerät aber auch immer mehr ins Visier von Cyberkriminellen, die darüber erpresserische Ransomware einschleusen.

Der AV- und IT-Security-Anbieter Trend Micro hatte Ende 2019 schon gewarnt, dass bei der IoT-Anbindung von Maschinen aus alter Gewohnheit zu sehr an Programmcode gespart werde und diese somit allzu leicht zu Einfallstoren für Ransomware und andere Malware werden. Früher war Speicherplatz so teuer, dass man um jedes Bit und Byte geizen musste. Das ist aber nicht mehr zeitgemäß, so die Experten des japanischen Unternehmens damals.

Das scheint sich jetzt einmal mehr zu bewahrheiten, wie ein Gastbeitrag in IT-Business zeigt. Demnach kann in vernetzen Produktionsumgebungen und kritischen Infrastrukturen schon ein einziger Angriff auf ein Industrial Control System (ICS) mittels IoT-Ransomware bald zum Stillstand ganzer Anlagen und gewaltigen finanziellen Schäden führen. Die stetige Vernetzung von Maschinen über die Edge in die Cloud bietet eine noch größere Angriffsfläche für Cyberkriminelle.

IoT-Ransomware noch gefährlicher

Ransomware ist darauf angelegt, geschäftskritische Ressourcen zu verschlüsseln und erst nach Zahlung von Lösegeld (ransom) wieder freizugeben. Für die betroffenen Unternehmen stellt sich immer die Frage, „zahlen oder nicht“, denn Ersteres könnten Kriminelle als Einladung sehen, noch einmal nachzulegen. Im anderen Fall droht auf unbestimmte Zeit die Stilllegung der Systeme. Das macht Ransomware so perfide und zur großen Bedrohung für Unternehmen.

Während sich die klassischen Ransomware-Varianten vor allem auf die Stilllegung oder Störung von Desktop-Rechnern, Notebooks und Servern sowie den Diebstahl darauf befindlicher Daten konzentrieren, ist in hochempfindlichen IoT-Umgebungen auch der physische Betrieb ganzer Produktionsanlagen gefährdet.

Dabei haben es die Cyberkriminellen oft darauf abgesehen, den Betrieb der Anlagen dauerhaft zu schädigen. Dafür zerstören sie die Steuerungsdaten gezielt, womit eine mögliche Entschlüsselung nach Zahlung von Lösegeld praktisch gar nicht in Frage kommt.

Ausnahmen sind Angriffe auf Datenbank-Server wie etwa auf Product Information Management Systems oder SCADA-Komponenten mit dem Ziel der Erpressung.

Potenzielle Gefahr fürs ganze Unternehmensnetzwerk

Außerdem sind die IoT-Systeme oft nur unzureichend vom übrigen Unternehmensnetzwerk segmentiert, was wiederum Tür und Tor für noch schlimmere Angriffe bietet. Denn die Ransomware-Angreifer setzten verstärkt auf modular aufgebaute Kampagnen, um über automatisierte Skripte zentrale Steuerungssysteme zu identifizieren und zu kompromittieren.

Führt ein solcher Ransomware-Angriff zum Erfolg, wäre der reine Datenverlust vielleicht noch zu verkraften. Schwerer wiegt oft der Ausfall ganzer Produktionsstraßen, Logistik- und Versorgungsketten. Anders als bei klassischen IT-Systemen lassen sich die Prozesse in der vernetzten Industrie auch nicht relativ schnell durch Backups wiederherstellen. Die Wiederinbetriebnahme von IoT- und OT-Komponenten ist hier weit schwieriger, weil dafür auch die physikalischen Systeme neu kalibriert werden müssen. Mitunter drohen hier Ausfallzeiten von Tagen, wenn nicht gar Wochen, was nicht nur erhebliche finanzielle Schäden mit sich bringt, sondern auch das Vertrauen von Kunden und Partnern kosten kann.

Die größten Schwachstellen und Lösungsansätze

Die meistgenutzten Schwachstellen für solche Angriffe auf IoT-Komponenten ist laut dem Zscaler Report zu 74 Prozent die auch Shell Injection genannte Command Injection. Gemeint sind Angriffe mit dem Ziel, über eine anfällige Anwendung beliebige Befehle auf dem Host-Betriebssystem auszuführen. Möglich ist das, wenn eine Anwendung vom User bereitgestellte unsichere Daten (wie Cookies oder HTTP-Header) an eine System-Shell übergibt.

An zweiter Stelle der Schwachstellen folgt laut Zscaler mit 13 Prozent eine unzureichende Eingabevalidierung. Alle anderen Faktoren einschließlich der einer fehlerhaften oder unzureichenden Authentifizierung sind dagegen eher zu vernachlässigen, was aber nicht heißt, dass starke Authentifizierungs- und Verschlüsselungsmechanismen nicht wichtig wären. Im Gegenteil können sie IOT-Ransomware-Angriffen genauso begrenzen wie regelmäßige Firmware-Updates und ein leistungsstarkes Patch-Management. Langfristiges Ziel sollte aber eine Zero-Trust-Architektur sein, um auch KI-gestützten Angriffen wirksam begegnen zu können.

Quelle Titelbild: Adobe Stock / RareStock