«Viele Hacker sind für mich Mad Scientists»
OT als Einfallstor
Computerworld: Gibt es neben IoT weitere Angriffswege?
Manky: Derzeit beobachten wir viele Attacken, die über die OT-Schiene laufen. Aktuell betroffen sind nicht nur die klassischen industriellen Ziele, sondern auch das Gesundheitswesen wird über OT-Systeme vermehrt angegriffen. Generell kann man sagen, dass die Angriffsvektoren sich vermehren. OT kommt somit als weitere Möglichkeit hinzu.
Computerworld: Das heisst auch, dass kritische Infrastrukturen vermehrt attackiert werden?
Manky: Genau. Wir haben gerade einen Bericht veröffentlicht, indem wir beispielsweise aufzeigen, wie eine Lücke in industriellen Switches von Moxa dazu verwendet wird, in die IT von Elektrizitätswerken einzudringen. Interessanterweise waren hauptsächlich Ziele in Japan betroffen, obwohl die Switche natürlich weltweit Verwendung finden.
“Kriminelle Hacker müssen sich an nichts halten.„
Derek Manky, Fortinet
Daneben beobachten wir vermehrt, dass Firmen über Systeme angegriffen werden, die im Allgemeinen nicht als kritisch angesehen werden, aber dennoch viel Schaden anrichten können. Ein gutes Beispiel ist hier die Haustechnik von Bürogebäuden wie Heizung und Lüftung, deren Steuerung für Angriffe missbraucht werden kann.
Schliesslich ist auch im OT-Bereich die Mensch-Maschine-Schnittstelle die grösste Schwachstelle. In vielen Industrien stehen noch alte Windows-Rechner, die für den Betrieb benötigt werden. Gelingt es Hackern, diese Systeme anzugreifen, können sie sich von dort aus auch in kritischere Bereiche vorarbeiten. Das heisst, selbst wenn die operationellen Systeme für sich gesehen gehärtet und damit kaum zu hacken sind, gibt es oft einen Weg, über manchmal seit Jahren bekannte Sicherheitslücken in der Kontroll-Software einzudringen.
Computerworld: Welche Chancen haben da IT-Security-Spezialisten?
Manky: Das grösste Problem beim Kampf zwischen White Hats und Black Hats, also zwischen den Guten und den Bösen, läuft darauf hinaus, dass die kriminellen Hacker sich an nichts halten müssen, sondern einfach einmal wild drauflos hacken und testen können, was funktioniert und was nicht. Ich bezeichne diese Hacker daher gern als «verrückte Wissenschaftler» (Mad Scientists). Das Problem dabei, selbst wenn sie ihre Malware in Spaghetti-Code schreiben, die nicht wirklich funktioniert, schafft sie es doch, dass sich gelegentlich Server in kritischen Umgebungen aufhängen. Das ist dann zwar kein gezielter Angriff, aber dennoch für den Betrieb schädlich.
Ein weiteres Phänomen ist die zunehmende Automatisierung auf Seiten der Hacker. Dies führt dazu, dass die Zeit, die vergeht, bis Hacker eine Sicherheitslücke finden und ausnutzen, auf ein Minimum reduziert wird. Es gibt wesentlich mehr Toolkits und Frameworks, mit denen Hacker ihre Attacken automatisieren können. Bestes Beispiel ist hier Autosploit. Dieses Rahmenwerk verbindet das Hackerwerkzeug Metasploit mit der Gerätesuchmaschine Shodan, mit der sich sehr effizient mit dem Internet verbundene Rechner und Devices mit bekannten Sicherheitslücken finden lassen. Mit diesem Automationsniveau wird die Angriffsseite sehr beweglich und schnell, so dass die Verteidigungsseite kaum noch Zeit hat zu reagieren.