ICS-Sicherheit, medizinische Geräte und der versehentliche Bogeyman

Gehackte Herzschrittmacher, Insulinpumpen, Autos, Industrieanlagen, Satelliten und durchbrochene Stromnetze… Seit Jahren warnen Cybersicherheitsforscher vor der Möglichkeit, dass Black-Hat-Hacker Menschen durch ihre Exploits verletzen oder töten – oft mit Demonstrationen, wie sie dies tun könnten.

Doch die mit dem Thema oft einhergehende Sensationsgier kann das wahre Risikoniveau verschleiern, während es wenig dazu beiträgt, das Risikoniveau gängiger Angriffsvektoren und Schwachstellen wie veraltete Betriebssysteme, ungepatchte oder fehlerhafte Software, falsch konfigurierte Netzwerke und dergleichen zu unterstreichen.

Im Allgemeinen ist das Cyber-Risiko bei industriellen Steuerungssystemen hoch, die für eine Reihe von Anwendungen verwendet werden, von der Steuerung von Satelliten über Öl- und Gasanlagen bis hin zu Automatisierungsgeräten in Fabriken. Es gibt Berichte über Computersabotage, die ein jahrzehntelanges Chaos verursacht haben. Es ist zwar schwer zu überprüfen, ob die Vereinigten Staaten beispielsweise Trojaner-Malware auf Computergeräten zur Kontrolle des Gasflusses in einer transsibirischen Pipeline eingesetzt haben, was zu einer massiven Explosion geführt hat. Thomas C. Reed, ein ehemaliger Air Force-Sekretär in der Reagan-Administration, behauptete dies in dem Buch „At the Abyss“.

[ Welt des Internets der Dinge ist die Schnittstelle zwischen Branchen und IoT-Innovation. Buchen Sie Ihr Konferenzkarte und 350 $ sparen, Kostenloser Expo-Pass oder siehe IoT-Sicherheitslautsprecher bei der Veranstaltung.]

Doch Angriffe auf vernetzte Industriesysteme sind mittlerweile an der Tagesordnung. Eine Reihe von Cybersicherheitsanbietern, von IBM Managed Security Services bis hin zu Kaspersky Lab, haben in den letzten Jahren einen Anstieg der ICS-Sicherheitsangriffe beobachtet. Erst im März hatte Norsk Hydro, einer der größten Aluminiumhersteller weltweit, mit der Cyber-induzierten Produktion im Betrieb sowohl in Europa als auch in den USA zu kämpfen.

Um dem Problem zu begegnen, haben sich der Industrieriese Siemens und TÜV SÜD, das internationale Prüf-, Inspektions- und Zertifizierungsunternehmen, zu einem „neuen Ansatz für digitale Sicherheit“ zusammengeschlossen. „Angriffe auf industrielle Umgebungen nehmen exponentiell zu“, sagte Leo Simonovich, Vice President und Global Head for Industrial Cyber ​​and Digital Security bei Siemens. „Anders als in der IT, wo Datenverlust im Vordergrund steht, können Cyberangriffe, die auf die Betriebstechnologie abzielen, zu einer möglichen Abschaltung oder Schlimmerem führen.“ Die beiden Unternehmen werden daher gemeinsam sogenannte „Digital Safety and Security Assessments“ anbieten, um insbesondere Energiekunden bei der Bewertung und dem Management von Cyber-Risiken zu unterstützen.

Simonovich wies auf die potenziell katastrophale Triton-Malware hin, die die Cybersicherheitsfirma Dragos 2017 in Saudi-Arabien entdeckte. Den Code fanden Forscher kürzlich in einer zweiten Einrichtung.

„Bemerkenswert an [dem Triton]-Angriff war die Leichtigkeit, mit der Angreifer von der IT über die OT zu Sicherheitssystemen gelangten“, sagte Simonovich.

Dies ist in der Tat ein wiederkehrendes Thema in allen Sektoren, in denen Cybersicherheitsverletzungen ein potenzielles Sicherheitsrisiko darstellen. Trotz all der Forschung, die esoterische und oft grenzwertig unplausible Angriffsarten bei Cybersicherheitsveranstaltungen aufzeigt, übersieht man leicht das Risiko, das beispielsweise von einem Windows XP-Computer mit Luftspalt oder veralteter Malware wie Kwampirs, einem entdeckten Trojaner, ausgeht im Jahr 2015 oder Conficker, erstmals entdeckt im Jahr 2008. Während Hacker beispielsweise CT-Scans modifizieren könnten, um gefälschte Krebszellen zu erzeugen, wie die Forscher zeigten, ist es wahrscheinlicher, dass ein Krankenhaus von einem Standardangriff oder einem Herzschrittmacherpatienten getroffen wird wird am Ende von einem Cyber-Killer angegriffen. „Die Leute lachen immer, wenn ich sage:‚Obwohl ich mich selbst als Cybersicherheitsexperte betrachte, gibt es einfachere Möglichkeiten, Menschen zu verletzen“, sagte Stephanie Preston Domas, Vizepräsidentin für Forschung und Entwicklung bei MedSec. „All diese ausgefallenen benutzerdefinierten Exploits, die gegen medizinische Geräte entwickelt wurden, weisen nicht auf das eigentliche Problem hin. Das eigentliche Problem ist, dass Dinge wie Kwampirs immer noch funktionieren. Dinge wie Conficker funktionieren immer noch.“

Und dann ist da noch WannaCry, der Ransomware-Angriff von 2017, von dem Europol sagte, dass er in seinem Umfang beispiellos war. WannaCry betraf etwa 200.000 Computer und betraf industrielle und medizinische Einrichtungen. Nissan musste die Produktion in einem Werk im Vereinigten Königreich einstellen. Renault war an mehreren Standorten gezwungen, die Produktion einzustellen. Die deutsche Bahngesellschaft Deutsche Bahn war ein Opfer. Ein ähnlicher Malware-Hit, Notpetya, verursachte beim Schifffahrtsriesen Maersk Schäden in Millionenhöhe.

Aber so groß die Auswirkungen der ICS-Sicherheit auch waren, WannaCry hatte auch einen übergroßen Einfluss auf den britischen National Health Service, der zu einem Schaden von fast 100 Millionen Pfund führte und zur Absage von 19.000 Arztterminen führte.

Es ist möglich, dass WannaCry oder ein ähnlicher Angriff zu Tod oder Verletzung führen könnte, indem beispielsweise eine Herzoperation verzögert wird, obwohl es im Allgemeinen schwierig ist, eine direkte Verbindung nachzuweisen, sagte Leon Lerman, CEO von Cynerio.

Angriffe wie WannaCry veranschaulichen auch das Risiko, dass Exploits, die von Nationalstaaten entwickelt wurden, durchsickern und Gegner unwissentlich befähigen, die USA und Verbündete anzugreifen. WannaCry und NotPetya nutzten beide einen Exploit namens EternalBlue, den die US-amerikanische National Security Agency wahrscheinlich entwickelt hat. Die New York Times berichtete kürzlich, dass chinesische Geheimdienstler „Schlüsselteile des Cybersicherheitsarsenals [der Vereinigten Staaten]“ nutzten, um Angriffe durchzuführen. Übrigens berichtet der Artikel auch, dass die ausgeklügelte, von der NSA entwickelte Stuxnet-Malware, die gegen iranische Nuklearzentrifugen eingesetzt wurde, US-Unternehmen einschließlich Chevron Schaden zufügte.

Domas ist eher besorgt, dass generische Malware oder einfache Unachtsamkeit bei Cyberangriffen mit Sicherheitsfolgen eine Rolle spielen. "Ich sehe immer noch zu viel Sensationsgier, die sich auf Bösewichte konzentriert, die Patienten Schaden zufügen", sagte sie. „Ich würde es begrüßen, wenn mehr in Richtung des Verständnisses verlagert würde, dass, wenn Patienten Schaden [als Folge eines Cyberangriffs] passiert ist, es wahrscheinlich ein Unfall ist. Es ist wahrscheinlich eine Nebenwirkung von etwas anderem, das sie auf dem System versuchten.“

Forscher, die Cyberangriffe auf industrielle Steuerungssysteme untersuchen, sehen ein ähnliches Muster, sagte Simonovich. "Die meisten haben ein gewisses Maß an menschlichem Versagen im Zusammenhang mit der Verletzung."

In diesem Zusammenhang ist fehlerhafter Softwarecode auf industriellen Systemen und medizinischen Geräten ein Thema, das eng mit Safety und Cybersecurity verbunden ist. Die jüngste Saga um die Boeing 737 MAX unterstreicht diesen Punkt. Der Sicherheitsexperte Bruce Schneier schrieb über das Problem:„Technisch gesehen handelt es sich um Sicherheit und nicht um Sicherheit; es gab keinen Angreifer. Aber die Felder sind eng miteinander verbunden.“

Domas stimmt dieser Meinung zu und zitiert beispielsweise den Fall eines Krankenhausmitarbeiters, der einen abnormalen Stillstand eines Anästhesiegeräts verursachte, nachdem er ein Mobiltelefon daran angeschlossen hatte. Das Risiko solcher alltäglicher Vorkommnisse, an denen kein Cyber-Angreifer beteiligt ist, wird leicht übersehen.

In ähnlicher Weise können die Arten von Schlagzeilen über ICS-Sicherheit und medizinische Geräte, die in den Medien die meiste Berichterstattung erhalten, leicht das Risiko einer Bedrohung durch Insider übersehen. Aber „die Bedrohung durch Insider macht die überwältigende Mehrheit der [Angriffe im Industriesektor] aus“, sagte Simonovich.

Um Risiken in immer stärker vernetzten industriellen und medizinischen Umgebungen zu begegnen, müssen die Mitarbeiter, die darin arbeiten, letztendlich das Risiko verstehen, das solche vernetzten Systeme darstellen können, egal ob sie absichtlich oder versehentlich ausgenutzt werden. „Ich denke, die Leute, die technisch versiert sind, werden bewusster, aber ich sehe wirklich keinen großen Anstieg des Verständnisses oder der Wertschätzung für die Leute, die dies nicht sind.“

Und dann kann das Thema Risikomanagement teuflisch schwierig sein. Eine der Bedrohungsmodellierungen, die eine Teilmenge des Risikomanagements ist. „Aber weil es in jedem System so viele Cyber-Risiken gibt und man sie nicht alle beheben kann“, sagte Domas. „Deshalb müssen Sie es mit Dingen wie der Bedrohungsmodellierung kombinieren und herausfinden, um welche Themen Sie sich am meisten kümmern müssen“, fügte sie hinzu. „Ehrlich gesagt finden Sie oft Dinge, die durch Ihr Ranking-System sickern und Sie sagten:‚Weißt du was? Ich bin mit diesem Risiko einverstanden, und Sie tun nichts, um es zu beheben, obwohl Sie wissen, dass es dort ein Cybersicherheitsproblem gibt“, sagte Domas. „Man muss Strategien entwickeln. Du kannst nicht alles reparieren.“