3. Virenscanner
Virenscanner erhöhen nach wie vor den Basisschutz, insbesondere mit einer Whitelisting-Software zusammen. Denn in der Kombination lassen sich die Nachteile beider Komponenten nivellieren. Während durch Virenscanner (bekannte) Bedrohungen erkannt werden, lässt sich mittels Whitelisting sicherstellen, dass nur bestimmte Software ausgeführt wird. Der zusätzliche Vorteil hierbei ist, dass dies ein kontinuierliches Update überflüssig macht. Im Rahmen eines Zonenkonzepts kann diese Vorgehensweise auf einzelne Zonen bezogen Anwendung finden, um durchgängig jeden – vorher nicht definierten – Traffic zu blockieren. Zusätzlich ist ein Netzwerk-Monitoring für einen permanenten Überblick über die Produktionsumgebung sinnvoll, um im Schadenfall schnell reagieren zu können.
Als Prozess zu verstehen
Die zunehmende Komplexität resultierend aus Industrie 4.0 erfordert es, ein individuelles ganzheitliches Sicherheitskonzept beziehungsweise Risikomanagement aufzusetzen. Doch kann die IT-Sicherheit niemals einen endgültigen Status erreichen – sie ist ein kontinuierlicher Prozess. In dem Kontext muss auch die Schulung der Mitarbeiter Berücksichtigung finden, insbesondere jener in der Produktion. Zwar bestand lange Zeit keine Notwendigkeit dazu, auch dort gezielt Experten im Bereich IT-Sicherheit und Cyberabwehr auszubilden. Da jedoch die Verantwortlichkeit für die Einsatzfähigkeit der OT nicht den IT-Spezialisten obliegen kann, muss diesbezüglich ein Umdenken stattfinden.
2017 gab es einige spektakuläre Angriffswellen mit Ransomware, etwa NonPetya. Aber auch in den Jahren zuvor waren bereits viele Unternehmen von Angriffen dieser Art betroffen: knapp ein Drittel (32 Prozent) der deutschen Unternehmen im vierten Quartal 2015 und ersten Quartal 2016. Teilweise führten diese zu gravierenden Folgen: 22 Prozent der infizierten Unternehmen verzeichneten einen erheblichen Ausfall von Teilen der IT-Infrastruktur, elf Prozent der Betroffenen haben wichtige Daten verloren. Das hohe Gefährdungspotential von Ransomware resultiert daraus, dass dieser Angriff relativ trivial – am erfolgreichsten sogar immer noch per Phishing-Mail – durchzuführen ist: Mit einer Schadsoftware werden Daten auf dem System des Opfers verschlüsselt und nach Zahlung einer geforderten Geldsumme, meist in Bitcoins, erhält der Angegriffene den Schlüssel zur Entschlüsselung seiner Daten. Zumindest theoretisch. Oft wird kein Schlüssel geliefert – dann ist das Geld weg und der Schaden bleibt.
Bislang war die Gefahr im Produktionsumfeld relativ gering, da es zur Ausführung dieser Art des Angriffs immer einer Interaktion durch einen Nutzer bedurfte. Mittlerweile wurde mit Samsam eine neue Herangehensweise entwickelt, die speziell in OT-Umgebungen einsetzbar ist, weil sie auf verwundbare Server abstellt. Aufgrund der Tatsache, dass hier die Mehrzahl der Systeme nicht gepatcht sind, ist die Erfolgsquote beim Einsatz der zielgerichteten Angriffsvektoren entsprechend hoch. Erlangt der Angreifer die Kontrolle über einen Einstiegspunkt, so kann er das gesamte Netzwerk scannen, ähnliche angreifbare Systeme ausfindig machen und im letzten Schritt die Schadsoftware verteilen. Diese agiert dann komplett unabhängig vom Command and Control-Server und beginnt die vorhandenen Daten zu verschlüsseln.