Das Layout der fiktiven Fabrik im Internet. Dazu gehörte auch eine realistische Homepage mit Namen von Beschäftigten sowie funktionierende Telefon- und E-Mail-Anschlüsse. (Bild: Trend Micro)
Die fiktive Fabrik im Internet wurde eigens für diesen Zweck von dem Cybersicherheitsunternehmen Trend Micro geschaffen. Ihre ausgefeilte (fiktive) Operational-Technology-Umgebung zog echte Betrüger und andere finanziell motivierte Cyberkriminelle an.
Diese Fabrik – ein sogenannter ‚Honeypot‘, das ist ein Computersystem, das gezielt echte Angreifer anlocken soll – wurde für das Mining von Kryptowährungen kompromittiert sowie durch zwei unterschiedliche Ransomware-Attacken ins Visier genommen. Zudem wurden seine Rechenkapazitäten für betrügerische Aktivitäten genutzt. Nach Einschätzung von Udo Schneider, Security Evangelist bei Trend Micro in Hallbergmoos, zeige dieses Ergebnis, dass die Diskussionen über Cyber-Bedrohungen für industrielle Steuerungssysteme zu oft auf hochentwickelte Angriffe durch staatliche Akteure beschränkt worden seien. Zwar dürfe man dies nicht aus den Augen verlieren, aber „unsere Untersuchungen belegen, dass alltägliche Bedrohungen wahrscheinlicher sind“, sagte Schneider. „Betreiber kleinerer Fabriken und Industrieanlagen sollten daher nicht davon ausgehen, dass Kriminelle sie in Ruhe lassen werden. Das Fehlen von grundlegenden Schutzmaßnahmen kann die Tür zu relativ einfachen Ransomware- oder Cryptojacking-Angriffen ermöglichen, die letztendlich schwerwiegende Folgen haben können.“
Das sogenannte „Honeypot Design“ der fiktiven Fabrik mit den Zugriffsstellen (Ethernet TAPs) für mögliche Angreifer. Trend Micro
Um die auf ICS-Umgebungen gerichteten Angriffe besser zu verstehen, hat Trend Micro Research für diese Untersuchung ein äußerst realitätsnahes, industrielles Prototyping-Unternehmen geschaffen. Der Honeypot bestand aus realer ICS-Hardware und einer Mischung aus physischen Hosts und virtuellen Maschinen zum Betrieb der Fabrik, die mehrere speicherprogrammierbare Steuerungen (SPS), Human-Machine-Interfaces (HMIs), separate Roboter- und Engineering-Workstations sowie einen Dateiserver umfasste.
Betreiber vernetzter Produktionsanlagen sollten – neben weiteren Best Practices für die Cybersicherheit – die Anzahl der offenen Ports minimieren und die Zugangskontrolle verschärfen. Darüber hinaus kann die Implementierung von Cybersicherheitslösungen für Fabriken, wie sie Trend Micro anbietet, dazu beitragen, das Risiko von Angriffen weiter zu verringern.
Der vollständige Untersuchungsbericht von Trend Micro (PDF, 63 Seiten) in Englisch einschließlich näherer Informationen zum Design und Einsatzes des Honeypots kann auf der Homepage des Unternehmens eingesehen und heruntergeladen werden. Link dazu siehe unten.
(dw)
