Industrielle Cybersicherheit in Deutschland: weniger Angriffe, dafür aber komplexer. Großteil der Bedrohungen aus dem Internet und via E-Mail. Allerdings: Weltweit 33 Prozent mehr Angriffe auf ICS-Computer.
Aktuelle Kaspersky-Analysen für das zweite Halbjahr 2020 zeigen zwar, dass die Anzahl von Cyberangriffen seit dem Jahr 2019 auf deutsche Industrieunternehmen leicht gesunken ist, jedoch werden diese zunehmend zielgerichteter und gefährlicher. Die Gründe: weniger Angriffe mittels Spyware und Agents verschiedener Botnets, Kryptominer und aggressive Adware – ebenso sinkt die Anzahl der Computer, die mit alter, sich selbst weiterverbreitender Malware in Form von Würmern infiziert sind.
ICS-Angriffe werden lokaler, fokussierter komplexer
Gleichzeitig werden diese Angriffe jedoch lokaler, fokussierter und infolgedessen komplexer und schwerer zu erkennen, so dass die Kaspersky-Experten keine Entwarnung hinsichtlich des Cybergefahrenpotenzials für industrielle Systeme geben können – vor allem in Hinblick auf die weltweite Angriffssituation, wonach die Anzahl an blockierter Malware auf ICS-Computern auf 33 Prozent angestiegen ist.
Im Zuge der fortschreitenden Industrie 4.0 sind Produktionsstraßen, Stromtrassen, kritische Infrastrukturen und industrielle Systeme heute ebenso von Cyberbedrohungen betroffen wie traditionelle Büronetzwerke. IT-Sicherheitsvorfälle in der Industrie können jedoch hochgefährlich werden, da sie zu Produktionsausfällen, finanziellen Verlusten oder gar zur Gefährdung von Menschenleben führen können, wie der jüngste Angriff auf ein Trinkwasserwerk in Florida zeigte.
Das Ransomware-Paradox
Der Anteil der ICS-Computer in Deutschland, auf denen Spyware und Ransomware (sowie Skripte und Dokumente, die normalerweise als erste Stufe verwendet werden) blockiert wurden, stieg im zweiten Halbjahr 2020 gegenüber dem ersten leicht an:
- Spyware: 3,2 Prozent (gegenüber 3,1 Prozent im ersten Halbjahr 2020)
- Schädliche Skripte: 3,8 Prozent (gegenüber 3,0 Prozent)
- Schädliche Dokumente: 2,0 Prozent (gegenüber 1,4 Prozent)
- Ransomware: 0,60 Prozent (gegenüber 0,45 Prozent)
Ransomware (Erpresser-Software, die Daten verschlüsselt und Lösegeld erpresst) hat unmittelbare Auswirkungen auf das Geschäft, da Daten und Systeme nach einem Angriff nicht mehr für die Opferorganisationen zugänglich sind.
Erst kommt Spyware, dann Ransomware
Ransomware kommt daher üblicherweise als Malware der letzten Stufe zum Einsatz, während Spyware beispielsweise als erste oder zweite Stufe verwendet wird; viele Ransomware-Schädlinge werden entweder durch Spyware oder durch Missbrauch von über Spyware gestohlenen Anmeldeinformationen bereitgestellt. Der geringe Prozentsatz an Computern mit industriellen Kontrollsystemen (ICS) in Deutschland, auf denen Ransomware blockiert wurde, bedeutet also nicht, dass sie keine Bedrohung darstellt, sondern dass Malware früherer Phasen (wie Spyware, Trojaner-Skripte oder schädliche Dokumente) erfolgreich blockiert wurde.
Die meisten Bedrohungen, die im zweiten Halbjahr 2020 ICS-Systeme in Deutschland trafen, stammen aus dem Internet (6,6 Prozent), kamen via Mail (2,8 Prozent) und waren auf Wechseldatenträgern (1,1 Prozent) oder in Netzwerk-Ordnern (0,3 Prozent) zu finden.
Die weltweite ICS-Bedrohungslandschaft
- Weltweit betrug der Prozentsatz der angegriffenen ICS-Computer im zweiten Halbjahr 2020 33,4 Prozent, was einer Zunahme von 0,85 Prozentpunkten entspricht.
- Die Vielfalt der genutzten Malware-Familien hat um 30 Prozent zugenommen.
- Die Branchen Gebäudeautomation (46,7 Prozent), Öl und Gas (44 Prozent) und ICS-Technik und -Integration (39,3 Prozent Prozent).
- Darüber hinaus stieg in drei Viertel der untersuchten Länder (73,4 Prozent) der Prozentsatz der ICS-Computer, auf denen böswillige E-Mail-Anhänge blockiert wurden, an.
Herausforderungen der ICS-Sicherheit
Die industrielle Infrastruktur ist generell schwierig zu aktualisieren und zu ändern. Dies gilt auch für Sicherheitsupdates (Patch-Management), Updates von Schutztools (wie Antiviren-Datenbanken sowie die Bereitstellung von Schutztools. So zeigen Kaspersky-Statistiken, dass geschützte Computer weiterhin wiederholt von allen Arten von Würmern angegriffen werden, die von ungeschützten Computern innerhalb des industriellen Netzwerks stammen.
Bedingt durch unterschiedliche Standards und Produktionskulturen in verschiedenen Ländern können Industrieunternehmen nicht für alle Organisationen weltweit dasselbe Sicherheitslevel einführen und aufrechterhalten. Dies führt dazu, dass einzelne Einrichtungen zur Bedrohung für die Sicherheit des gesamten Unternehmens werden können.
ICS-Infrastrukturen oft alt und zu starr
„Neben der schwer zu aktualisierenden ICS-Infrastruktur und gegebenenfalls weiterer Produktionsstandorte, die das Sicherheitslevel senken können, sehen sich Industrieunternehmen vor allem in Deutschland mit einer Menge Bürokratie konfrontiert, wenn es um die Reaktion auf Bedrohungen und die Implementierung neuer Sicherheitstechnologien geht“, erklärt Christian Milde, Geschäftsführer DACH bei Kaspersky. „Oft hindern bürokratische Prozesse Organisationen daran, jahrhundertealte Fertigungstraditionen zu ändern und Prozesse anzupassen, um rechtzeitig auf Herausforderungen der Informationssicherheit zu reagieren. Industrielle Systeme und kritische Infrastrukturen benötigen daher besondere Schutzmaßnahmen. Industrieunternehmen sollten zügig in präventive und umfassende Cybersicherheitslösungen investieren, um heute und in Zukunft vor allen Arten von Cyberbedrohungen geschützt zu sein.“
Mehr bei Kaspersky.de
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/