Digitale Angriffe auf Unternehmen und Institutionen sind inzwischen ein lukratives Geschäftsfeld für kriminelle Gruppierungen. Diese Angriffe treffen in steigendem Maße kleine und mittelständische Unternehmen. Für die ist das oft eine schwierige Situation, denn viele haben nicht die Mittel, große Sicherheitsabteilungen mit der nötigen Infrastruktur zu unterhalten. Das deutsche Forschungsprojekt IUNO InSec lieferte in den letzten zwei Jahren Lösungen speziell für kleine und mittelgroße Firmen.
Eine davon, entwickelt vom Deutschen Forschungsinstitut für Künstliche Intelligenz, gaukelt kriminellen Hackern eine leicht zu infiltrierende Infrastruktur vor. Als Köder dienen vorgeblich vertrauliche Daten.
DFKI-Lösung täuscht leichte Ziele vor
Ziel dieser im Forschungsbereich Intelligente Netze des DFKI entwickelten Lösung ist es, die Angreifer vom eigentlichen Ziel fernzuhalten. In einer vorgetäuschten Infrastruktur können Angreifer beobachtet und ihre Aktivitäten analysiert werden. Experten können dann deren digitale Spuren verfolgen und sie nicht nur abwehren, sondern auch in der realen Welt aufspüren und dingfest machen.
Die DFKI-Methodik umgeht dabei ein großes Problem bei der Erkennungen und Abwehr von Cyberangriffen. Denn die fallen oft erst viel später auf, etwa dann, wenn das System bereits infiltriert ist und die Sicherheitsverantwortlichen beispielsweise durch ungewöhnlichen Datenverkehr aufmerksam werden. Dann können die Angreifer bereits sensible Daten gestohlen haben. Oder sie haben Ransomware eingeschleust. Ransomware sind Programme, die Computersysteme verschlüsseln und so die Benutzer aussperren. Die Angreifer verlangen dann ein ‘ransom’ oder Lösegeld für die Übergabe des Schlüssels.
Scheinbar echte Firmendaten
DFKI-Projektleiter Daniel Reti erläutert über die Methodik: „Sucht ein Angreifer im Netzwerk nach verwundbaren Servern, wird ihm eine erfundene Log-in-Seite durch den vorgeschalteten Deception Proxy präsentiert. Sobald der Angreifer mit einem solchen Köder interagiert, macht er sich erkenntlich.“
Diese Cyber Deception genannte Abwehrtechnik lenkt Angreifer in eine falsche IT-Infrastruktur. Der Deception Proxy enthält digitale Köder, wie scheinbar echte Firmendaten, gefälschte Anmeldedaten, Dateifreigaben oder Angebote von Dienstleistungen. Den Angreifern wird eine leichte Beute präsentiert. Greifen sie auf die Köder zu, können Sicherheitsexperten ihre Aktivitäten verfolgen und aufzeichnen.
Typisch sind drei Schichten:
- Fakesysteme, die wie echte angelegt sind, aber keine echte Funktion haben.
- Nutzer im System, die als Fallen ausgelegt sind
- Falsche Daten und Ordner im Netzwerk, die Wichtigkeit vortäuschen
Cyber Deception hat mehrere Vorteile. Einbrüche werden frühzeitig erkannt, idealerweise sogar bevor sich Hacker Zugang zum echten Firmensystem verschafft haben. Das Sicherheitsteam gewinnt Zeit, um die Angreifer zu beobachten und die reale Firmen-IT vor Angriffen zu schützen. Außerdem kann es die Angreifer so lange beschäftigen, bis diese frustriert aufgeben.
Die Zahl der Fehlalarme sinkt. Das wiederum macht Ressourcen frei, um mit realen Bedrohungen umzugehen. Greifen Hacker auf eine der Täuschungsschichten zu, erhält das Cyber Security-Team eine sehr reale Alarmmeldung. Zudem lassen sich Warnmeldungen automatisieren, was manuelle Eingriffe ins System überflüssig macht. Und wenn das Unternehmen wächst, lässt sich die Technologie skalieren und an umfangreichere Firmensysteme anpassen.
IUNO InSec liefert Tools zur Cyberabwehr
Federführend bei IUNO InSec (Nationales Referenzprojekt zur IT-Sicherheit in Industrie 4.0) war das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Am Projekt beteiligten sich Partner aus Wissenschaft und Industrie. Das Deutsche Forschungsinstitut für Künstliche Intelligenz (DFKI) war ebenso vertreten wie das Fraunhofer-Institut für Sichere Informationstechnologie (SIT), die TU Darmstadt sowie die IT-Unternehmen accessec und axxessio. Ziel des Vorhabens war ein Werkzeugkasten für KMUs, den das jeweilige Unternehmen für seine eigenen Bedürfnisse anpassen kann.
Der Werkzeugkasten enthält:
- Lösungen zum Modellieren und automatischen Erkennen von Anomalien
- Anwendungen zur verbesserten Sicherheit von Industrial Clouds
- Sicherer Fernzugriff auf Maschinen
- Kontrollierbares und sicheres Nutzungsmanagement in digitalen Wertschöpfungsnetzen
Die Bedrohung aus dem Cyberspace
Laut des Branchenverbandes Bitkom fügten Cyberkriminelle 2020 deutschen Unternehmen Schäden in Höhe von 223 Milliarden Euro zu. Betroffen sind schon lange nicht mehr ausschließliche große Unternehmen, sondern auch der Mittelstand. Das können Auto-Zulieferer sein, Immobilienunternehmen, Handwerksbetriebe, Versicherungen, Anwaltskanzleien oder Werbeagenturen. So gut wie jede Firma verfügt über Daten, die für Cyberkriminelle interessant sein könnten.
Das Online-Magazin CS Online listet zwischen Januar und November 2022 77 Unternehmen aller Branchen auf, die Ziel von Cyberattacken waren. Für Alexander Giehl vom Fraunhofer AISEC, der das Projekt IUNO InSec verantwortlich betreut hat, ist die Lage ernst. „Ich würde sagen, dass das Risiko eines Cyberangriffs hoch ist“, meint er. Dafür gibt es seiner Ansicht nach gleich ein ganzes Bündel von Gründen. „Viele Informationen liegen im Internet,“ sagt er. „Beispielsweise findet die Suchmaschine „Shodan“ jedes Gerät, das mit dem Netz verbunden ist.“ Gedacht ist die Suchmaschine eigentlich für Sicherheitsexperten, Strafverfolgungsbehörden und Wissenschaftler. Die spüren über „Shodan“ Schwachstellen in ihren eigenen IT-Systemen auf.
Verwundbarkeit betrifft nicht nur die IT-Systeme
Allerdings können auch Cyberkriminelle die Suchmaschine für sich nutzen. „Hier findet man relativ leicht Ziele“, ist Giehls Einschätzung. „Viele Anwendungen haben bekannte Schwachstellen, die von ihren Anwendern nicht geschlossen werden. Gerade in kleinen und mittleren Unternehmen werden aktuelle Sicherheitspatches nur zögerlich installiert, weil die Betreiber Einschränkungen bei der Verfügbarkeit befürchten.“ Zudem , so Giehl weiter, fehlen KMUs nicht selten die Ressourcen für ein effektives Patchmanagement. Hinzu kommen veraltete Software und so genannte Insellösungen bei der Hardware. Da könne es sein, dass Hersteller von Hardware nicht mehr im Geschäft sind oder ein bestimmtes Gerät samt Steuerprogrammen nicht mehr produziert wird.
Das zeigt: Die Verwundbarkeit betrifft nicht nur die IT-Systeme, sondern auch die Betriebstechnologie oder „Operational Technology“ (OT). „Die Betriebstechnologie ist entweder über die IT aus dem Netz erreichbar, oder sogar direkt mit dem Internet verbunden“, erläutert Alexander Giehl.
Wie ein erfolgreicher Cyberangriff aussieht, der über die mit dem Internet verbundene IT auf die Betriebstechnologie zugreift, zeigt der Angriff von Cyber-Erpressern auf den norwegischen Aluminium-Hersteller „Norsk Hydro“ vom März 2019. Hier schleusten die Angreifer so genannte Ransomware über die IT in die Betriebstechnik ein. Bei „Norsk Hydro“ hatten die Angreifer leichtes Spiel, weil in der OT veraltete Windowssysteme installiert waren. Hier konnte sich die Ransomware ausbreiten und sämtliche Daten verschlüsseln. Das wiederum zwang das Unternehmen, Produktionsstätten in aller Welt für rund eine Woche stillzulegen.