Energiewirtschaft ist vermehrt bedroht durch Cyber-Spionage- und Sabotageangriffe

Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr fortschrittlich und mit viel Geduld arbeiten. Das zeigen Gruppen wie etwa APT33  oder die BlackEnergy Group mit ihren Angriffen auf Öl-Firmen oder Stromversorger. Gleichzeitig nutzen Unternehmen veraltete Systeme und Technologien um Geld zu sparen. Eine schlechte Sicherheitslage, falsche Prioritätensetzung und Wahrnehmung sind auch Geschenke für Angreifer.

Schädliche Akteure zielen exponentiell auf kritische Infrastrukturen (CNI) und Energieverteilungseinrichtungen ab. Vernetzte Systeme in der Energiebranche erhöhen die Anfälligkeit für Cyberangriffe, die auch oft für einige Zeit unentdeckt bleiben.

Der Bericht von F-Secure zeigt detailliert, welche Gruppen sich auf den Angriff von infrastrukturkritischen Unternehmen spezialisiert haben. Über viele Seiten hinweg finden sich kurze Analysen zu jeder Gruppe, ihre vorrangigen Ziele, sowie bereits begangene Attacken und die dabei genutzten Angriffswege und Werkzeuge. Die am meisten genutzte Angriffsmethode ist Spear-Phishing, wobei jede Attacke mit viel Aufwand speziell auf ein Ziel zugeschnitten wird.

Angreifer bereiten ihre Attacken mit aufwendig erstellten Spear-Phishing-E-Mails vor

Sami Ruohonen, Labs Threat Researcher bei F-Secure

„Die Spionage- und Sabotageangriffe gegen CNI-Organisationen haben im Laufe der Jahre zugenommen, und ich glaube nicht, dass wir bis jetzt schon alles gesehen haben“, sagt Sami Ruohonen, Labs Threat Researcher bei der finnischen Cyber-Security-Firma F-Secure.

Die Anbindung industrieller Steuerungssysteme (ICS) an das Internet nimmt zu. Eine beträchtliche Anzahl von heute verwendeten CNI-Systemen wurden konstruiert und installiert bevor permanente Internetverbindungen die Norm waren und so etwa dem Wurm Stuxnet seine Angriffswege eröffneten. Viele Betriebstechnologie-Komponenten (Operational Technology, OT) verfügen über integrierte Funktionen für den Remote-Betrieb, jedoch fehlen ihnen ganz oder teilweise Sicherheitsprotokolle, sowie eine Authentifizierung. „Die kritische Infrastruktur ist aufgrund ihres Wesens auch in Friedenszeiten ein interessantes Ziel für einen fremden Staat“ erklärt Ruohonen.

Der aktuelle F-Secure-Bericht deckt folgendes auf:

• Viele der angreifenden Gruppen haben zwar ihre eigenen Motive, sie sind aber alle ständig bestrebt Organisationen zu gefährden, die eine kritische Infrastruktur (CNI) betreiben
• Angreifer planen ihre Attacken teils Monate im Voraus, während ihre Ziele kaum Zeit für Reaktionen haben
• Mitarbeiter eines Unternehmens sind oft das Ziel von Kriminellen, da sie das schwächste Glied in der Produktionskette sind
• Angreifer waren und sind weiterhin erfolgreich, hauptsächlich weil viele CNI-Organisationen keine ausgereiften Cyber-Security-Praktiken nutzen
• Von Staaten gesponserte APT-Gruppen (Advanced Persistent Threat: fortgeschrittene, andauernde Bedrohung) sind unerbittlich auf der Suche nach angreifbaren, strukturkritischen Netzwerkpunkten bei CNIs und Spionagemöglichkeiten im Interesse der Ausübung politischer Hebelwirkung.
• Der Bericht nennt neun verschiedene Angreifergruppen und die von ihnen genutzte Malware, die auf die Energiewirtschaft abzielen. Speziell auf ein Ziel angefertigtes Spear-Phishing ist dabei die häufigste genutzte Angriffstechnologie.
• Die Energiewirtschaft ist immer noch im Irrglauben, dass die Einhaltung einer kleinen Angriffsfläche die Gefahr eines Cyberangriffs verringern würde.

Einbrüche in Unternehmensstrukturen sind eine Gewissheit. Daher empfiehlt Ruohonen den Unternehmen ihre Cyber-Security-Haltung zu überdenken und neueste Technologien wie eine Endpoint Detection and Response Lösung – kurz EDR – zu implementieren.

„EDR bietet eine schnelle und verbesserte Möglichkeit zur Erkennung und Reaktion auf fortgeschrittene Bedrohungen und gezielte Angriffe, die herkömmliche Endpunktlösungen umgehen könnten“, erklärt er. „Gemanagte EDR-Lösungen erfüllen die heutigen Anforderungen der Rund-um-die-Uhr-Überwachung, Alarmierung und Reaktion. Dies bedeutet, dass die IT-Teams der Unternehmen während der Geschäftszeiten die verdächtigen Erkennungen überprüfen können, während ein spezialisiertes Cyber-Security-Team sich um den Rest kümmert“, sagt Ruohonen.

Den vollständigen Bericht finden Sie hier (Link zu PDF)