Die Gesellschaft muss aufrüsten

Vor vier Monaten wurden in Eng- land die IT-Systeme von Krankenhäusern von der Schadsoftware „WannaCry“ getroffen. Sechs Wochen danach griff die Schadsoftware „Petya“ an: Betroffen waren vor allem Unternehmen und Behörden sowie die Eisenbahn in der Ukraine und Computer des 1986 havarierten Kernkraftwerkes von Tschernobyl. Extrem gefährdet sind dabei Netzwerke, wie sie beispielsweise von der Energiebranche und bei Transportunternehmen genutzt werden; Produktions- und Steuerungs- Netzwerke sind meist älteren Datums und nicht mit Blick auf IT-Sicherheit entworfen worden. Im Zuge der Digitalisierung bieten sie zunehmend Schlupflöcher für Hacker und Saboteure und sie erhöhen auch das Risiko durch Fehlbedienung.

Technisch wird es immer herausfordernder, solche Angriffe abzuwehren. Die ernüchternde Einschätzung des BSI im Falle von Petya lautete: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patch-Stand sind.“ Petya war deshalb so gefährlich, weil es den so genannten Zero-Day-Exploit „EternalBlue“ für die Verbreitung genutzt hat. Zero-Day-Exploits nutzen gezielt Lücken in der Sicherheit aus, bevor diese entdeckt und geschlossen werden können. Herkömmliche Antiviren-Software kann solche Angriffe nicht abwehren.

Benötigt werden deshalb Sicherheitslösungen, die nicht auf die Angreifer reagieren, sondern diese „proaktiv“ aus dem IT-System fernhalten. Ein Beispiel für eine solche proaktive Lösung ist ein virtueller Browser. Dieser arbeitet mit einem eigenen Betriebssystem, das von allen anderen Anwendungen und den Daten hermetisch – das heißt auf Hardware-Ebene – getrennt ist: Unternehmensdaten sind dadurch für Angreifer wie etwa Ransomware unsichtbar. Viren, Trojaner und Co bleiben in der virtuellen Umgebung eingeschlossen und können sich nicht auf dem Rechner und im lokalen Netzwerk verbreiten. Auch mobile Geräte lassen sich am besten durch eine solche Separierung schützen. Das Smartphone wird dazu in zwei gesonderte Sicherheitsbereiche unterteilt: einen privaten Bereich und einen Arbeitsbereich. Vom Benutzer installierte Apps können nicht auf sensitive Daten zugreifen.

Vor allem Industrieunternehmen und Kritische Infrastrukturen benötigen zudem neue „proaktive“ Firewall-Technologien. Herkömmliche Firewalls arbeiten mit „Black-Listing“: Datenpakete mit bekannten Angriffsmustern werden geblockt, alle anderen Daten werden durchgelassen. Gegen neue und unbekannte Angriffe bleiben solche Mechanismen wirkungslos. Next-Generation-Firewalls lassen nur die Datenpakete passieren, die sich als gutwillig identifizieren können. Alle anderen, auch die unbekannten, werden abgewiesen. Dieses als „Whitelisting“ bezeichnete Verfahren bietet sich besonders im Intranet und für Scada- und IoT-Netzwerke an.

Zusätzlich zu den klassischen Firewalls werden zudem Firewalls benötigt, die im Inneren des Netzes arbeiten und dieses in mehrere Zonen segmentieren. Solche „Brandabschnitte“ sorgen dafür, dass im Falle eines Angriffs der Schaden nicht auf das gesamte Netzwerk übertreten kann. Und schließlich sollte eine Firewall auch die im Netzwerk genutzten Protokolle unterstützen, wie Scada, Modbus TCP oder DNP 3. Nur dann kann sie diese auch erkennen und dekodieren. Insbesondere die Energiebranche, Transportunternehmen, der Gesundheitsbereich oder Banken erfahren derzeit eine rasante digitale Transformation. Damit geht eine große Verantwortung einher: Effektive Sicherheitsvorkehrungen müssen getroffen und dabei auf tatsächlich wirksame Sicherheitslösungen zurückgegriffen werden.

Ammar Alkassar, Geschäftsführer und CEO, Rohde & Schwarz Cybersecurity GmbH