Da viele Unternehmen noch keine Erfahrung haben mit Risikobewertungen im Umfeld der industriellen Cybersicherheit, kann ein einfaches Beispiel hilfreich sein, um zu sehen, zu welchen Ergebnissen die ersten Schritte der Risikobeurteilung kommen können. Dies soll in knapper Form für den Fall eines Ransomware-Angriffs erfolgen.
Ransomware-Attacke auf Industrial Automation and Control Systems (IACS)
Bestimmung des Ransomware-Risikos
Ransomware-Attacken gelten als eine der größten Bedrohungen in der Cybersicherheit. Bei einem Ransomware-Angriff werden die Daten auf einem System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen, so das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Im Bericht zur Lage der IT-Sicherheit in Deutschland erklärt das BSI: Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken. Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger oft auch unmittelbar betroffen. So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.
Ransomware stellt nicht nur im IT-Bereich, sondern auch bei OT-Systemen und damit in der industriellen Cybersicherheit eine ernstzunehmende Bedrohung dar. Die zuvor dargestellten Schritte einer Risikobeurteilung für ein Industrial Automation and Control System könnten für den Fall einer Ransomware-Bedrohung so aussehen.
Struktur und Inhalte einer Risikobewertung „Ransomware“ (Kurzform)
Beispiel: Ransomware-Risiko
- SUC (System Under Consideration): Beschreibung des Systems und seiner Umgebung
- Analyse der Risiken und Bedrohungen: Bedrohung durch Ransomware (Erpresser-Viren, Online-Erpressung)
- Mögliche Angriffswege: Übertragung über ungesicherten Fernwartungszugriff, Übertragung über ungeschützte, mobile Speichermedien (wie USB-Speicherstift), Übertragung über Link, der in einer Phishing-Mail übermittelt wird (Social Engineering)
- Beurteilung möglicher Schäden: Kriminelle Verschlüsselung und Verlust aller Daten, die über den Fernwartungszugriff oder über die Schnittstelle für Speichermedien erreichbar sind, bei Phishing-Attacken zudem alle Daten, die über die Berechtigungen der Zielperson, die den Link öffnet, erreichbar sind
- Vorhandene Schutzmaßnahmen: (kein) installiertes Anti-Malware-Programm, (keine) Begrenzung der Datenzugriffe über Segmentierung/Firewalls, (keine) Backups
- Schätzung der Eintrittswahrscheinlichkeit: Durch die unzureichenden Maßnahmen gegen Ransomware und die Vielzahl der Ransomware-Attacken ist die Wahrscheinlichkeit hoch
Risikobeurteilung: Hohes Risiko
- Notwendige Schutzmaßnahmen: Umsetzung eines Ransomware-Schutzes durch Anti-Malware, durch Backups (mit Air Gapping), durch Kontrolle der Fernwartungszugänge, durch Mitarbeitersensibilisierung und durch Kontrolle der Speichermedien und Schnittstellen
- Die hier in Kurzform beschriebenen Resultate einer Risikobeurteilung sollten Teil des Risikoberichts sein. Die erkannten Schutzmaßnahmen sollten dann mit Herstellern, Betreibern und/oder Anwendern besprochen und zur Umsetzung vereinbart werden.
Weiterführende Links
ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html
EN IEC 62443-Reihe
https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443
Ransomware – Fakten und Abwehrstrategien (BSI, Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html
Die Lage der IT-Sicherheit in Deutschland 2023 (BSI, Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html