Ich habe es bereits des Öfteren erwähnt: Antivirus-Software hat seit langem ausgedient.
Ein solches Statement mag aus meinem Mund zunächst seltsam klingen – vor allem deshalb, weil ich mich seit den frühen Anfängen von Viren und AV-Programmen in den späten Achtzigern und frühen Neunzigern mitten in der Materie befinde. Betrachtet man das Thema AV jedoch etwas genauer und konsultiert einige maßgebliche Quellen auf diesem Gebiet, dann wird die Aussage schnell recht logisch: Zum einen haben sich herkömmliche Antivirenprogramme mittlerweile in Schutzlösungen „gegen alles“ verwandelt; zum anderen sind Viren – als spezifische Schadprogrammart – ausgestorben. Besser gesagt: fast ausgestorben. Doch eben dieses scheinbar harmlose, vernachlässigbare „fast“, bereitet der Cybersicherheit auch heute noch Probleme – und das Ende 2022! Und dieses „fast“ ist auch die Grundlage des heutigen Beitrags…
Also. Viren. Die letzten Verbliebenen auf der Roten Liste – wo sind sie heute, und was machen sie?…
Sie haben sich in einem der konservativsten Teilbereiche der industriellen Automatisierung angesiedelt: der operativen Technologie (OT – nicht zu verwechseln mit IT). OT steht für „Hardware und Software, die Änderungen erkennt oder verursacht, indem sie industrielle Anlagen, Anlagen, Prozesse und Ereignisse direkt überwacht und/oder steuert“. Im Wesentlichen bezieht sich OT auf die Umgebung des industriellen Kontrollsystems (ICS), und stellt einen Gegensatz zur IT dar. OT = spezialisierte Steuerungssysteme in Fabriken, Kraftwerken, Transportsystemen, Versorgungsunternehmen, Bergbau, Verarbeitung und anderen Industriebereichen. Ja, Infrastruktur. Ja – oft kritische Infrastruktur. Und ja, es ist diese industrielle/kritische Infrastruktur, die von „toten“ Computerviren angegriffen wird. Etwa 3 % der Cybervorfälle, die heute OT-Computer betreffen, werden durch diese Art von Malware verursacht.
Wie kann das?
Eigentlich haben wir die Antwort auf diese Frage bereits oben gegeben: Die OT – oder besser gesagt, ihre Anwendung in der Industrie – ist sehr konservativ. Wenn es jemals einen Bereich gab, der an dem alten Spruch „Wenn etwas nicht kaputt ist, repariere es nicht“ festhält, dann ist es definitiv der Bereich der OT. Das Wichtigste in der OT ist vor allem Stabilität, nicht der neueste Schnickschnack. Neue Versionen, Upgrades… selbst einfache Aktualisierungen (z. B. von Software) werden skeptisch oder gar ängstlich betrachtet! Tatsächlich ist die operative Technologie in industriellen Kontrollsystemen in der Regel mit uralten Computern ausgestattet, auf denen… Windows 2000 (!) und eine Reihe anderer veralteter Software voller Schwachstellen läuft (außerdem gibt es gigantische Löcher in den Sicherheitsrichtlinien und eine ganze Reihe anderer schrecklicher Albträume für IT-Sicherheitsbeauftragte). Ein kurzer Blick auf die IT jedoch zeigt: Jegliche IT-Ausrüstung (z. B. im Büro, nicht in der Fertigungshalle oder in den Hilfs-/Technikräumen) ist seit langem gegen alle Viren geimpft, da sie regelmäßig aktualisiert, aufgerüstet und überholt wird und gleichzeitig durch moderne Cybersicherheitslösungen vollständig geschützt ist. Bei der OT ist das genaue Gegenteil der Fall, weshalb Viren hier nicht nur überleben, sondern auch gedeihen können.
Werfen Sie einen Blick auf die Top-10 der häufigsten“Old-School“-Schadprogramme im Jahr 2022 auf ICS-Computern:
Was zeigt diese Grafik uns?
Moment, zunächst möchte ich Ihnen noch sagen, dass sich die oben genannten Prozentsätze auf eine „Schlafphase“ dieser Old-School-Viren beziehen. Doch ab und an können solche Viren die Grenzen eines einzelnen infizierten Systems überschreiten und sich über das gesamte Netzwerk ausbreiten – was zu einer ernsthaften lokalen Epidemie führt. Statt einer aufwendigen Problembehebung wird meist auf gute alte Backups zurückgegriffen, die aber nicht immer „sauber“ sind. Darüber hinaus kann diese Infektion nicht nur ICS-Computer, sondern auch speicherprogrammierbare Steuerungen (SPS) betreffen. Der Sality-Loader beispielsweise existierte schon lange vor Blaster (ein Proof-of-Concept-Wurm, der SPS-Firmware infizieren konnte); zwar nicht in der Firmware, aber in Form von Skripten in den HTML-Dateien der Webinterface.
Also ja! Sality kann automatisierte Produktionsprozesse wirklich durcheinander bringen – aber das ist noch nicht alles. Zudem kann er über einen bösartigen Treiber den Arbeitsspeicher verwirren und auch die Dateien und den Speicher von Anwendungen infizieren; das wiederum kann innerhalb weniger Tage zum kompletten Ausfall industrieller Steuerungssysteme führen. Außerdem kann im Falle einer aktiven Infektion das gesamte Netzwerk ausfallen. Seit 2008 verwendet Sality die Peer-to-Peer-Kommunikation, um seine Liste aktiver Kontrollzentren zu aktualisieren. ICS-Anbieter haben ihren Code wohl nicht mit Blick auf eine so feindliche Arbeitsumgebung geschrieben.
Zweitens: 0,14% in einem Monat – das klingt nicht viel, aber… das entspricht Tausenden von kritischen Infrastrukturen weltweit. Eine Schande, wenn man bedenkt, dass ein solches Risiko vollständig, einfach und mithilfe der fundamentalsten Methoden ausgeschlossen werden könnte.
Und drittens ist es angesichts der Tatsache, dass die Cybersicherheit in den Fabriken so löchrig ist, kaum verwunderlich, dass wir oft von erfolgreichen Angriffen auf derartige Fabriken durch andere Arten von Malware hören – insbesondere Ransomware (zum Beispiel: Snake vs. Honda).
Es ist offensichtlich, weshalb die OT-Branche konservativ denkt: Für sie steht an erster Stelle, dass die industriellen Prozesse, die sie überwacht, nicht unterbrochen werden, und die Einführung neuer Technologien/Aktualisierungen/Upgrades kann genau zu solchen Unterbrechungen führen. Aber was ist mit den Ausfällen, die durch Angriffe mit Old-School-Viren verursacht werden? Ein wahrhaftiges Dilemma! Dennoch entscheidet sich die OT-Branche meist dafür, der Zeit hinterherzuhinken, was sich dann in Form der in der Grafik dargestellten Zahlen widergespiegelt.
Aber wissen Sie was? Dieses Dilemma kann dank unserer Hilfe bald der Vergangenheit angehören.
Im besten Fall muss es möglich sein, OT-Kits zu erneuern, zu aktualisieren und aufzurüsten, ohne dabei die Kontinuität der industriellen Prozesse zu gefährden. Und wissen Sie was? Letztes Jahr haben wir ein System patentiert, das genau das gewährleistet.
Kurz gesagt: Bevor man etwas Neues in unabdingbare Prozesse einführt, testet man es an einem Mock-up, welches die kritischen industriellen Funktionen realistisch emuliert.
Das Mock-up besteht aus einer Konfiguration des gegebenen OT-Netzwerks, das die gleichen Arten von Geräten aktiviert, die auch im industriellen Prozess verwendet werden (Computer, SPS, Sensoren, Kommunikationsgeräte, verschiedene IoT-Kits) und lässt sie miteinander interagieren, um den Fertigungsprozess oder einen anderen industriellen Ablauf zu replizieren. Im Eingabeterminal befindet sich eine Probe der getesteten Software, die von einer Sandbox beobachtet wird, die all ihre Aktionen aufzeichnet: dazu gehören beispielsweise auch die Reaktionen der Netzwerkknoten, Leistungsveränderungen, die Erreichbarkeit der Verbindungen und viele andere Merkmale. Die auf diese Weise gewonnenen Daten ermöglichen die Erstellung eines Modells, das die Risiken der neuen Software beschreibt. So können wiederum fundierte Entscheidungen darüber getroffen werden, ob es Sinn macht, eine neue Software einzuführen oder nicht und ob etwas an der OT getan werden muss, um aufgedeckte Schwachstellen zu schließen.
Aber es wird noch besser!
Sie können buchstäblich alles im Eingabeterminal testen – nicht nur neue Software und zu installierende Updates. Sondern beispielsweise auch die Widerstandsfähigkeit gegen Schadprogramme, die externe Schutzmechanismen umgehen, um in ein geschütztes Industrienetz einzudringen.
Diese Technologie hat großes Potenzial für die Versicherungsbranche. Versicherer können Cyber-Risiken besser einschätzen, Prämien genauer kalkulieren und sicherstellen, dass Versicherte nicht unnötig zu viel zahlen. Auch Hersteller von Industrie-Equipment können diese Art der Überprüfung für die Zertifizierung von Software und Hardware von Drittentwicklern nutzen. Wenn man dieses Konzept weiterentwickelt, würde sich ein solches System auch für branchenspezifische Akkreditierungszentren eignen. Und dann ist da noch das Forschungspotenzial in Bildungseinrichtungen!…
Jedem sollte klar sein, dass keine Emulation die gesamte Vielfalt der Prozesse in OT-Netzen mit 100%iger Genauigkeit reproduzieren kann. Aber anhand dieses Modells, das auf unserer jahrelangen Erfahrung beruht, wissen wir ungefähr, wo wir nach der Einführung neuer Software „Überraschungen“ zu erwarten haben. Zudem können wir die Situation mit anderen Methoden zuverlässig kontrollieren – zum Beispiel mit unserem Anomalie-Frühwarnsystem MLAD (über das ich bereits hier schon ausführlich berichtet habe), das Probleme in bestimmten Abschnitten eines Industriebetriebs auf der Grundlage direkter oder sogar indirekter Korrelationen aufspüren kann. Auf diese Weise kann man finanzielle Verluste in Millionen- oder sogar Milliardenhöhe vermeiden!
Was würde die OT-Branche also daran hindern, auf ein Modell wie unseres zu setzen?
Es könnte sein, dass sie vielleicht gar nicht aktiv nach einer Lösung wie der unseren suchen, da sie eine solche vielleicht nicht für notwendig halten (!). Selbstverständlich werden wir unser Bestes tun, um unsere Technologie zu fördern und der Branche somit Verluste in Millionenhöhe zu ersparen. Bis dieser Traum jedoch Wirklichkeit wird, möchte ich noch Folgendes hinzufügen: Unser Modell ist zwar komplex, aber es wird sich sehr schnell amortisieren, wenn es von einer großen industriellen/infrastrukturellen Organisation übernommen wird. Und nein, es handelt sich hierbei nicht um ein Abonnement-Modell: Es wird einmal gekauft und rettet Unternehmen dann jahrelang ohne zusätzliche Investitionen den Tag (indem es regulatorische, Reputations- und operative Risiken minimiert). Ah, und es gibt noch eine weitere Sache, die es mit Sicherheit retten wird: Die Nerven der OT-Mitarbeiter… oder ihren Verstand.