Wenn Cyber-Angriffe physische Auswirkungen haben

Wenn Cyber-Angriffe physische Auswirkungen haben

03/2019

Die Sphären überschneiden sich mehr und mehr. Kennen Sie Ihre physischen und Cyber-Infrastrukturen?

 

Mehr als jeder zehnte Verstoss gegen den Datenschutz beinhaltet laut einem aktuellen Bericht "körperliche Aktivitäten". Dazu gehört die Nutzung physischer Geräte zur Unterstützung eines Angriffs, aber auch von Hacks, bei denen es um den Einbruch in Hardware und Remote-Angriffe auf physische Infrastrukturen geht.

Die Statistik unterstreicht die Realitäten einer schrumpfenden Kluft zwischen physischen und Cyber-Infrastrukturen. Und, so die Meinung von Sicherheitsexperten, die Einzelpersonen, Unternehmen und Regierungen zwingen sollten, sowohl Cyber- als auch physische Sicherheitsmassnahmen zu kombinieren, sagen Experten.

"Wenn Ihr Türschloss, Ihr Einbruchalarm, Ihre Feuerlöschanlage computerisiert, vernetzt und im Internet ist, haben Sie keine andere Wahl, als sie zu integrieren", sagt Bruce Schneier, Sicherheitsexperte. "Integration geschieht, weil sich Computer in einen Raum bewegen, der nur physisch war."

Aber bei allen Vorteilen der Integration gibt es die Sicherheitsprobleme. Von Hoteltürkartensystemen über Überwachungskameras bis hin zu Kühl- und Heizsystemen sind alle diese Geräte offen für Schwachstellen und Hacking.

"Es gibt eine Erkenntnis bei vielen Unternehmen, dass dies eine sehr reale Bedrohung ist", sagte Ali Neal, Director of International Security Solutions bei Verizon. Industrie- und Fertigungsunternehmen, sagte er, suchen nach Möglichkeiten, Geräte zu isolieren und ihre Netzwerke zu segmentieren. Aber jeder, der Internet of Things-Geräte benutzt, hat ein Problem.

"Entwickler müssen sicherstellen, dass die Sicherheit von Anfang an berücksichtigt wird", sagte Neal. "Softwareplattformen müssen so konzipiert sein, dass diese Geräte von Anfang an sicher sind.”

Handeln Sie jetzt, bevor die Maschinen die Kontrolle übernehmen.

Laut der britischen Regierung wird Cyber heute als eine Bedrohung der Stufe eins angesehen. Aber die Sicherung von Systemen ist schwieriger als früher, warnte Mike Gillespie, Geschäftsführer der Sicherheitsberatung Advent IM und Referent auf der jüngsten International Security Expo in London.

Bis in die 90er Jahre befanden sich die meisten kritischen Infrastrukturen - einschliesslich Energie, Wasser und Verkehr - in den Händen weniger grosser, oft staatlich kontrollierter Unternehmen.

"Was wir sehen, ist, dass einige Systeme und die Automatisierung von Systemen eine Cyber-Bedrohung einführen", sagt Lyn Webb, Partner in der Sicherheitspraxis des Professional Services Unternehmens Deloitte.

Die Situation zwingt Unternehmen, einen anderen und stärker vernetzten Ansatz für ihre Sicherheit zu wählen. Wie Webb erklärt, stellen anfällige physische Sicherheitssysteme eine Bedrohung für die IT-Systemsicherheit dar. Aber schwache Cybersicherheit kann auch eine Bedrohung für die physische Infrastruktur eines Unternehmens - oder für seine Mitarbeiter - darstellen.

"In den letzten drei Jahren wurden wir von Firmen eingeladen, ihre physische Sicherheit zu überprüfen, wie z.B. Torwächter", sagte sie. "Aber wenn wir das Gespräch führen, geht es genauso oft um das Verhalten; einen entsperrten Laptop auf dem Schreibtisch oder das Passwort auf einer Notiz zu hinterlassen.... Sie brauchen eine Kultur, in der Cyber- und physische Sicherheit zusammenwirken."

Wie Webb betont, verfügen Sektoren wie Verteidigung, Öl und Gas sowie Energie und Finanzdienstleistungen eher über eine starke Unternehmenssicherheitskultur. Diese Kultur umfasst Informationssicherheit, aber auch Personalüberprüfung und Verhaltensüberwachung sowie eine stärkere Konzentration auf Insiderbedrohungen. Sie sind auch eher bereit, Mitarbeiter zu schulen, um risikoreiches Verhalten zu vermeiden, sowohl online als auch in der physischen Welt.

Aber wenn es um das Internet der Dinge geht, fühlen sich auch sicherheitsbewusste Unternehmen und Regierungen immer noch wohl. Unternehmen müssen die Vorteile der Konnektivität - einschliesslich verbesserter Betriebszeit, geringerer Betriebskosten und eines reichhaltigeren Informationsflusses - mit den Risiken der Online-Bereitstellung intelligenter Geräte in Einklang bringen.

Auf der International Security Expo in London räumte ein Hersteller von Sicherheitsausrüstung für die Luftfahrtindustrie - der nicht identifiziert werden wollte - ein, dass er bei seinen Produkten die Option der Ferndiagnose entfernt habe. Die Käufer waren der Meinung, dass die Sicherheitsrisiken die Vorteile überwiegen.

Ist Security-Regulierung die Lösung?

Für die meisten Geräte ist das Entfernen der Konnektivität jedoch keine Option. Stattdessen, wie Schneier vorschlägt, muss die Industrie die Sicherheit für angeschlossene Geräte verbessern. Wenn die Industrie nicht handelt, dann fordert Schneier die Regierungen auf, den Sektor zu regulieren.

Die Regulierung wird jedoch Zeit in Anspruch nehmen. Fürs Erste müssen Unternehmen handeln, um ihre eigene cyberphysikalische Sicherheit zu verbessern und sich erneut mit der Art der Ausrüstung zu befassen, die sie kaufen.

"Wenn der Standard darin besteht, alles zu verbinden, müssen Sie das, was Sie tun, kommerzialisieren", sagte David Atkinson, Gründer und CEO des britischen Spezialunternehmens Senseon. "Sie verbinden Geräte, die billig hergestellt und in Serie produziert werden. Die Überprüfung des Codes ist eines der ersten Dinge, die beim IoT durchgeführt werden. Es besteht die reale Gefahr einer Pandemie von Geräten mit sehr geringem Sicherheitsschutz."

Wenn Käufer auf mehr Sicherheit und besseren Datenschutz bei Geräten drängen, könnte die Industrie reagieren. Aber zumindest müssen sich CISOs und Technologieeinkäufer - insbesondere ausserhalb der IT - der Risiken bewusst sein, die von Geräten ausgehen, die nicht gesichert, gepatcht oder verwaltet werden können.

Zumindest sollten "riskante" Geräte von kritischen Systemen isoliert werden, unabhängig davon, ob es sich um eine Kundendatenbank eines Unternehmens oder um Bremsen und Motormanagementsysteme eines Automobils handelt. "Du musst wirklich über deine Sicherheitsentscheidungen nachdenken, und wie du das machen wirst, wenn es Hunderte von Millionen oder sogar Milliarden von Geräten gibt", warnte Atkinson. "Das ist die Herausforderung."

"Cybercontrols haben physische Auswirkungen", betont Marina Kidron, Direktorin für Bedrohungsinformationen bei Skybox Security. "Wenn diese Kontrollen beeinträchtigt werden, gilt das auch für die Sicherheit der Mitarbeiter und der Gemeinden. In kritischen Infrastrukturen müssen Cybersicherheit und physische Sicherheit Hand in Hand gehen. Die Leiter beider Programme müssen die Risiken kommunizieren - und ihre Reaktionen planen.”

Verschwimmen der Grenze zwischen APTs und den gewöhnlichen Cyberkriminellen

"Bedrohungsakteure haben in den letzten Jahren erhebliche Anstrengungen unternommen, um in OT-Umgebungen einzudringen, um die Organisation zu stören, zu beschädigen oder zu erpressen, und zwar in einer Schwere, die von Cyber-Kriegsführung bis hin zum einfachen Geld verdienen reicht", sagte Kidron. "Was sich geändert hat, ist, dass sich die Grenzen zwischen der Taktik des Nationalstaates, den APTs und den üblichen Cyberkriminellen verwischen. NotPetya war ein Paradebeispiel für einen nationalstaatlichen Bedrohungsakteur in der Kleidung von Ransomware, und es ist wahrscheinlich nicht das letzte Mal, dass wir von diesen Arten von Angriffen sehen werden."

Das ist keine Science Fiction: Neben Triton und Stuxnet wurden in den Jahren 2015 und 2016 auch die Stromnetze in der Ukraine angegriffen. Forscher behaupten, dass ausländische Mächte weiterhin Energiesysteme und andere kritische Infrastrukturen in den USA und ihren westlichen Verbündeten untersuchen. Und in vielen Fällen fehlt es privaten Unternehmen an der Widerstandsfähigkeit, den Ressourcen und der Erfahrung, um sich gegen einen nachhaltigen, nationalstaatlichen Angriff zu verteidigen.

Aber es gibt noch eine weitere Wendung in der Geschichte. Geräte, die Unternehmen - und Einzelpersonen - kaufen, um ihre Sicherheit zu verbessern, erweisen sich als unsicher. Es ist schon ein paar Jahre her, dass Forscher gezeigt haben, dass sie die Kontrolle über CCTV-Kameras übernehmen können. Aber Unternehmen investieren weiterhin in vernetzte Sicherheitshardware, ohne die Cyber-Risiken zu bewerten.

Hinzu kommen die Risiken von Eskalation und Ansteckung. IoT oder angeschlossene Systeme könnten isoliert betrachtet nicht die nationale Infrastruktur gefährden, aber sie können dies tun, wenn sie in Massen angegriffen werden. Ein angegriffener Mobilfunkbetreiber oder Geldautomatenbesitzer ist teuer und unangenehm, aber es ist keine systemische Bedrohung.

Wenn alle Banken angegriffen werden oder alle Mobilfunknetze, die eine bestimmte Hardware verwenden, offline genommen werden, dann werden die Auswirkungen dieses "Klassenbruchs" viel gravierender sein. Deshalb sind die Regierungen so besorgt über die elektrische Energie. Nur wenige moderne Systeme können ohne sie arbeiten, und wenn das Stromnetz einmal ausgefallen ist, ist es nur eine Frage der Zeit, bis andere Systeme - von der Telekommunikation über das Wasser bis hin zur Gesundheitsversorgung - ausfallen.

Sicherheits- und Strafverfolgungsbehörden beginnen gerade erst zu begreifen, wie ein Angriff auf eine Klasse von Low-Level-Verbindungsgeräten der Auslöser für eine viel tiefere Krise sein könnte.

 

Threatpost.com; Stephen Pritchard; 18.02.2019
https://threatpost.com/cyberattacks-physical-punch/141922/