Kategorien
Cybersecurity

Cybersecurity: Beispiel für eine Risikobeurteilung

Da viele Unternehmen noch keine Erfahrung haben mit Risikobewertungen im Umfeld der industriellen Cybersicherheit, kann ein einfaches Beispiel hilfreich sein, um zu sehen, zu welchen Ergebnissen die ersten Schritte der Risikobeurteilung kommen können. Dies soll in knapper Form für den Fall eines Ransomware-Angriffs erfolgen.

Ransomware-Attacke auf Industrial Automation and Control Systems (IACS)

Bestimmung des Ransomware-Risikos

Ransomware-Attacken gelten als eine der größten Bedrohungen in der Cybersicherheit. Bei einem Ransomware-Angriff werden die Daten auf einem System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen, so das BSI (Bundesamt für Sicherheit in der Informationstechnik).

Im Bericht zur Lage der IT-Sicherheit in Deutschland erklärt das BSI: Bei Cyberangriffen mit Ransomware beobachtet das BSI eine Verlagerung der Attacken. Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger oft auch unmittelbar betroffen. So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.

Ransomware stellt nicht nur im IT-Bereich, sondern auch bei OT-Systemen und damit in der industriellen Cybersicherheit eine ernstzunehmende Bedrohung dar. Die zuvor dargestellten Schritte einer Risikobeurteilung für ein Industrial Automation and Control System könnten für den Fall einer Ransomware-Bedrohung so aussehen.

Struktur und Inhalte einer Risikobewertung „Ransomware“ (Kurzform)

Beispiel: Ransomware-Risiko

  • SUC (System Under Consideration): Beschreibung des Systems und seiner Umgebung
  • Analyse der Risiken und Bedrohungen: Bedrohung durch Ransomware (Erpresser-Viren, Online-Erpressung)
  • Mögliche Angriffswege: Übertragung über ungesicherten Fernwartungszugriff, Übertragung über ungeschützte, mobile Speichermedien (wie USB-Speicherstift), Übertragung über Link, der in einer Phishing-Mail übermittelt wird (Social Engineering)
  • Beurteilung möglicher Schäden: Kriminelle Verschlüsselung und Verlust aller Daten, die über den Fernwartungszugriff oder über die Schnittstelle für Speichermedien erreichbar sind, bei Phishing-Attacken zudem alle Daten, die über die Berechtigungen der Zielperson, die den Link öffnet, erreichbar sind
  • Vorhandene Schutzmaßnahmen: (kein) installiertes Anti-Malware-Programm, (keine) Begrenzung der Datenzugriffe über Segmentierung/Firewalls, (keine) Backups
  • Schätzung der Eintrittswahrscheinlichkeit: Durch die unzureichenden Maßnahmen gegen Ransomware und die Vielzahl der Ransomware-Attacken ist die Wahrscheinlichkeit hoch

Risikobeurteilung: Hohes Risiko

  • Notwendige Schutzmaßnahmen: Umsetzung eines Ransomware-Schutzes durch Anti-Malware, durch Backups (mit Air Gapping), durch Kontrolle der Fernwartungszugänge, durch Mitarbeitersensibilisierung und durch Kontrolle der Speichermedien und Schnittstellen
  • Die hier in Kurzform beschriebenen Resultate einer Risikobeurteilung sollten Teil des Risikoberichts sein. Die erkannten Schutzmaßnahmen sollten dann mit Herstellern, Betreibern und/oder Anwendern besprochen und zur Umsetzung vereinbart werden.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards

IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html

EN IEC 62443-Reihe
https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443

Ransomware – Fakten und Abwehrstrategien (BSI, Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysen-und-Prognosen/Ransomware-Angriffe/ransomware-angriffe_node.html

Die Lage der IT-Sicherheit in Deutschland 2023 (BSI, Bundesamt für Sicherheit in der Informationstechnik)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.html

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.