ICS-Sicherheit im Rampenlicht aufgrund der Spannungen mit dem Iran 

Angesichts der erhöhten Spannungen zwischen den USA und dem Iran haben Organisationen mit angeschlossener industrieller Infrastruktur sollten auf der Hut sein.

„Die möglichen Cyber-Auswirkungen der Ermordung des [iranischen Generals Qasem] Soleimani sind tiefgreifend“, warnte Eyal Elyashiv, CEO und Mitbegründer der Netzwerksicherheitsfirma Cynamics.

Branchenbeobachter sagen, dass die jüngsten Probleme zwischen den beiden Ländern das Cyber-Risiko insgesamt erhöhen. „Obwohl Trend Micro keine Insider-Informationen über spezifische Angriffspläne hat, liegt es nahe, dass zunehmende politische Spannungen Cyberangriffe vorantreiben würden“, sagte Bill Malik, Vice President of Infrastructure Strategys bei Trend Micro.

Nach dem Attentat warnen mehrere Cybersicherheitsexperten sowie US-Regierungsbeamte vor dem ICS-Sicherheitsrisiko, das mit dem Iran verbundene Gegner darstellen.

Andere weisen auf die Wahrscheinlichkeit kleinerer Cyberangriffe hin, die eher ablenken als Vergeltungsmaßnahmen auslösen sollen. Die Aussicht auf einen umfassenden Cyberkrieg zwischen den USA und dem Iran „sollte nicht die Standardannahme sein“, sagte Andrea Little Limbago, Ph.D., Chefsozialwissenschaftlerin bei Virtru. Irans „Cyber-Aktivitäten – von zerstörerischen Angriffen bis hin zu Desinformation – sind seit geraumer Zeit weit verbreitet. Das ist nicht neu und hat nichts mit den Ereignissen dieser Woche zu tun“, sagte sie.

In den letzten zehn Jahren haben sich die Cyberfähigkeiten des Iran erheblich erweitert. Cybersicherheitsexperten führten eine Reihe von Angriffen auf US-amerikanische und andere Ziele – von Denial-of-Service-Angriffen auf US-Banken bis hin zu benutzerdefinierter Malware, die auf Systeme von Saudi Aramco abzielte – auf iranische Akteure zurück. Auch im Zusammenhang mit der ICS-Sicherheit wurde laut Berichten aus dem Jahr 2015 behauptet, iranische Hacker hätten das US-Stromnetz infiltriert.

„Beamte in den USA sollten sich große Sorgen um die Cyberfähigkeiten und Reichweite des Iran machen“, sagte Elyashiv.

Während einige Berichte darauf hindeuten, dass die Spannungen zwischen den Nationen nachgelassen haben, warnte eine Warnung des Heimatschutzministeriums (DHS) vom 4. Januar davor, dass der Iran zumindest „Angriffe mit vorübergehenden störenden Auswirkungen auf kritische Infrastrukturen in den Vereinigten Staaten“ starten könnte.

In ähnlicher Weise warnte die US-amerikanische Cybersecurity and Infrastructure Security Agency vor dem potenziell erhöhten Risiko von Angriffen und Cyberspionage gegen strategische Ziele in „Finanz-, Energie- und Telekommunikationsunternehmen und einem erhöhten Interesse an industriellen Steuerungssystemen und Betriebstechnik“.

Iranische Akteure haben in der Vergangenheit US-Sites ins Visier genommen. Im Jahr 2016 entsiegelte das US-Justizministerium eine Anklageschrift, in der sieben iranische Auftragnehmer des iranischen Korps der Islamischen Revolutionsgarden beschuldigt wurden, Cyberangriffe auf mehrere Banken und einen New Yorker Damm durchgeführt zu haben. Laut einer DHS-Warnung beschuldigten die USA auch mit dem Iran verbundene Akteure, "Infrastrukturziele und Cyber-gestützte Angriffe auf eine Reihe von in den USA ansässigen Zielen auszukundschaften und zu planen".

Ein solches Targeting erstreckt sich auf den industriellen Bereich. Ein Hacker-Kollektiv namens Advanced Persistent Threat 33, das mit dem Iran in Verbindung steht, hat sich laut Cyberscoop in der Vergangenheit auf den Verteidigungs-, Transport- und Energiesektor konzentriert.

Limbago hält es für zu früh, davon auszugehen, dass der Iran kurzfristig die Ausnutzung von ICS-Sicherheitslücken priorisieren wird. „Wenn die Spannungen weiter eskalieren, kann sich das ändern, aber angesichts des aktuellen Niveaus wird die fortgesetzte Cyber-Aktivität des Iran in einer Grauzone [vor einer Eskalation zum Krieg]] weitergehen“, sagte sie. „Obwohl ICS sicherlich Anlass zur Sorge gibt, ist sich der Iran bewusst, dass destruktive Angriffe auf kritische Infrastrukturen wahrscheinlich zu Eskalationen und Vergeltungsmaßnahmen führen werden.“

Auch Carol Rollie Flynn, ehemalige Exekutivdirektorin des CIA Counterterrorism Center, erwartet, dass der Iran kleinere Cyberangriffe durchführt. „Sie wollen nicht, dass wir uns an ihnen rächen. Sie haben das schon früher gespürt“, sagte sie

Eine andere Möglichkeit, so Limbago, sei, dass iranische Akteure auf Organisationen des Privatsektors abzielen könnten, denen eine klare ICS-Verbindung fehlt. Es gibt Präzedenzfälle für solche Taktiken. Im Jahr 2015 erklärte James Clapper, der damalige Direktor des nationalen Geheimdienstes, der Iran wahrscheinlich hinter einem Angriff auf das Sands Casino steckte, der eine Vergeltung für anti-iranische Kommentare seines CEO Sheldon Adelson war. „Was wahrscheinlich eher ihren früheren Mustern entspricht, wäre die Ausrichtung auf Organisationen des Privatsektors, die mit der Exekutive in Verbindung stehen, die finanzielle Schmerzen verursachen könnten, aber nicht die US-Öffentlichkeit und die gespaltene Regierung dazu bringen würden, zu reagieren“, sagte Limbago.

Ein weiteres zentrales Element der iranischen Cyberstrategie sind Desinformationsoperationen, die Limbago als „extrem produktiv und global“ einstufte. „Es wird sicherlich eine Fortsetzung dieser Aktivitäten geben – sowohl im Inland, um regierungsfreundliche Unterstützung aufzubauen, als auch weltweit, um eine antiamerikanische Stimmung aufzubauen“, fügte Limbago hinzu.

Verwaltung von Cyber-Risiken

Unabhängig von den jüngsten Spannungen bietet die Situation Unternehmen mit industrieller Infrastruktur die Möglichkeit, eine Bestandsaufnahme ihrer vernetzten Geräte vorzunehmen. „Wir empfehlen den Besitzern und Betreibern von industriellen Steuerungssystemen erneut, ihren Technologiebestand zu überprüfen, ihre Schwachstellen zu bewerten und solche Kontrollen wie möglich anzuwenden, um ihr Angriffsprofil zu reduzieren“, sagte Malik.

Angesichts des Fokus von Industrieunternehmen auf Betriebszeit ist es typisch für industrielle Umgebungen – einschließlich solcher in kritischen Infrastrukturumgebungen – veraltete, ungepatchte Hard- und Software zu verwenden. „Unternehmen müssen über die veralteten Systeme hinausblicken, die derzeit zum Schutz kritischer Infrastrukturen verwendet werden, da die jüngste Geschichte eindeutig zeigt, dass sie leicht kompromittiert werden können“, sagte Elyashiv.

Obwohl Cyberhygiene von entscheidender Bedeutung ist, betonte David Goldstein, Präsident und CEO von AssetLink Global LLC, dass sich Unternehmen auch auf die physische Sicherheit konzentrieren sollten. „Die Antwort auf [IIoT]-Sicherheit liegt nicht ausschließlich in Hardware und Software“, sagte Goldstein.

Ironischerweise war das Thema des physischen Zugangs ein zentrales Element beim Stuxnet-Angriff auf die iranischen Nuklearzentrifugen vor einem Jahrzehnt. In der Stuxnet-Kampagne installierten Doppelagenten, die angeblich im Auftrag der US-amerikanischen und israelischen Regierungen arbeiteten, Malware in einem zentralen Luftspaltennetzwerk in der Nuklearanreicherungsanlage Natanz. Infolgedessen wurden etwa 1.000 seiner Nuklearzentrifugen innerhalb der Anlage schließlich zerstört.

Die Stuxnet-Saga veranschaulicht die Bedeutung nicht nur der Zugangskontrolle, sondern auch des Vertrauens im Allgemeinen, sagte Goldstein. „Mit wem arbeiten Sie zusammen, wem vertrauen Sie, wer hat Zugangsdaten für Ihr System, wer hat physischen Zugriff?“ er fragte:„Das Vertrauen zwischen Akteuren und Partnern wird im Laufe der Zeit immer wichtiger, da IoT-Systeme alles durchdringen“, erklärte er.

Da IoT-Technologien in industriellen Kontexten an Boden gewinnen, mangelt es an Cyber-Experten, die mit der Welt der industriellen Steuerungssysteme vertraut sind. „Die meisten Sicherheitsanalysten und -berater wenden auf [industrielle] IoT-Systeme dieselben Techniken an wie auf normale Büro-IT-Netzwerke“, sagte Goldstein. Angesichts der Menge proprietärer Protokolle stellt die Schwierigkeit bei der Durchführung von Software-Updates in solchen Umgebungen eine „sehr große Schwachstelle“ dar, so Goldstein.

Organisationen wie das US-Verteidigungsministerium und MITRE Corp. helfen dabei, die Lücke mit ICS-Frameworks wie dem MITRE ATT&CK-Framework für ICS zu schließen. „Dieses Dokument bietet Herstellern, Besitzern und Betreibern von ICS die Möglichkeit, mögliche Angriffsszenarien zu diskutieren und Schwachstellen branchenübergreifend konsistent zu melden“, sagte Malik. „Jede Organisation sollte dringend erwägen, dieses Framework zu verwenden, um [ihre] ICS-Sicherheitslage zu klären.“

Malik betonte auch, dass er sich mit der einfachen Tatsache auseinandersetzen muss, dass Cybersicherheit mehr Weg als Ziel ist. „Angenommen, der Zeitrahmen für solch erhöhte Spannungen ist kurzfristig, können ICS-Hersteller wenig tun, um ihre aktuelle Produktion [Sicherheitslage] schnell zu stärken“, sagte er.

Malik weist auf eine Schwachstelle hin, die ICS-Anbieter beheben sollten:Sie greifen gelegentlich im Feld für Wartungsarbeiten und Fehlerdiagnosen auf ihre Technologie zu. „Diese Wartungslinks können als Angriffsvektor dienen“, sagte er.

Malik empfahl den Anbietern, verschiedene Maßnahmen zum Schutz der Kundendaten zu ergreifen. Zu den weiteren wichtigen Überlegungen gehören die Verschlüsselung des Datenverkehrs, wenn möglich, und die Gewährleistung der Sicherheit von Softwareupdates. „Es wäre tragisch, wenn ein kleines Problem bei einem Kunden einen Hersteller dazu veranlassen würde, eine Lösung für seine gesamte Technologie zu forcieren, die selbst Schadsoftware enthält“, sagte Malik.