Warum Umwege machen?

Physische Schwachstellen als Einfallstor für Cyber-Angriffe

03.05.2017 von Manuel Bohé
Zwischen dem, wie sich Unternehmen in puncto Sicherheit selbst einschätzen, und dem, was sie konkret umsetzen, liegen Welten.
Physische Sicherheitsschwachstellen in Unternehmen sind ein beliebtes Ziel für Hacker.
Foto: carlos castilla - shutterstock.com

In einer neuen Studie vom Februar 2017, betitelt "Im Visier der Cybergangster - So gefährdet ist die Informationssicherheit im deutschen Mittelstand" befragten die Analysten von PricewaterhourseCoopers im Herbst des letzten Jahres 400 Mittelständler, die Hälfte von ihnen Unternehmen des privaten Sektors mit einer Mitarbeiterzahl zwischen 200 und 500, die andere Hälfte beschäftigt zwischen 500 und 1000 Angestellte.

Die Produktionsprozesse sind komplexer, die Infrastrukturen so sensibel wie hochgradig vernetzt, die Sicherheitsanforderungen wachsen. Ein dichtes Netz von Geschäftspartnern, Kunden und nicht zuletzt externen Dienstleistern erhöht das Risiko zusätzlich. Überraschend genug, dass unter diesen Vorzeichen die Investitionen in die IT-Sicherheit eher stagnieren. Vor allem dazwischen, wie Unternehmen sich in punkto Sicherheit selbst einschätzen und dem, was sie konkret umsetzen liegen nicht selten die sprichwörtlichen Welten. So hat die Studie ergeben, dass sich die Befragten schwer tun die gesetzlich erforderlichen Maßnahmen umzusetzen. Trotzdem fühlen sich nicht ganz unerhebliche 72 % der Befragten "gut" bis sogar "sehr gut" vor Cyberattacken geschützt.

Die installierten Prozesse sprechen allerdings eine andere Sprache. Und selbst wenn Unternehmen in IT-Sicherheit investieren, hapert es oft woanders. Physische Schwachstellen sind eine davon. Denn als Einfallstor für Cyber-Angriffe werden sie weitgehend unterschätzt.

Durch die Vordertür: "Physische Schwachstellen", die unterschätzte Gefahr?

Die Risiken denen Unternehmen ausgesetzt sind, insbesondere solche, die zu den kritischen Infrastrukturen zählen, sind vielfältig. Sie reichen von Vandalismus, über Einbruch / Diebstahl, organisierte Kriminalität, Anschläge aller Art, Stromausfälle und Wassereinbrüche bis hin zu Social Engineering und allen Spielarten von Cyberkriminalität. Personelle und physische Sicherheit sind der Anwendungsebene mit Betriebs- und IT-Sicherheit vorgelagert. Schwachstellen und Bedrohungen der physischen Sicherheit sind also durchaus ein geeigneter Türöffner für Angriffe auf die IT-Sicherheit.

Lesetipp: Externe Anforderungen an physische Sicherheit

Ein medial besonders spektakulär aufbereiteter Penetrationstest unter Live-Bedingungen, sollte zeigen, ob es möglich ist ins Zentrum einer solchen kritischen Infrastruktur vorzudringen und wenn ja, wie. Die Ettlinger Stadtwerke beauftragten "FX", den Hacker Felix Lindner, potenzielle Schwachstellen ausfindig zu machen. Insbesondere was die empfindlichen (und vernetzten) computergesteuerten Stromsysteme anbelangt. Lange brauchte Lindner nicht um bis in das besagte Herzstück der Stromversorgung vorzudringen.

Ein möglicher Weg sind extrem zielgerichtete Phishing-Angriffe per E-Mail. Um ins Netzwerk zu gelangen und sich von dort aus weiter vorzuarbeiten genügt ein einziger Mitarbeiter, der die mit einem Schadanhang befrachtete Nachricht öffnet. Aber es geht auch anders. Nämlich indem man sich direkt über die Hardware physischen Zugang zum Netz verschafft. So hat es Felix Lindner gemacht. Corpus Delicti: Eine ungesicherte Netzwerkdose im Gästehaus der Stadtwerke. Über ein Modul, angeschlossen an die besagte Netzwerkdose, stellte Lindner eine Verbindung ins Netzwerk her und konnte dann mit einigen zusätzlichen Tools von seinem Laptop aus Kontakt aufnehmen. Mit einer Mischung aus guter Vorrecherche, Social Engineering und gängigen Werkzeugen aus dem Hacker-Baukasten gelangte FX schließlich bis auf die Leitwarte.

Phishing-Trends 2016
Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent.
Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent.
Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent).
Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat.
Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken.
Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.

Von dort aus ist so ziemlich jedes Szenario eines Cyber-Angriffs nicht nur möglich, sondern realistisch. IT-Nutzung bringt demnach neue Risikoelemente auch für den physischen Schutz mit sich.

Wir erleben es nicht selten, dass mittelständische Unternehmen wie große Konzerne für physische Sicherheitsschwachstellen auf einem Auge blind sind. Wie beispielsweise für ungesichert zugängliche Netzwerkdosen. Und die gibt es bei weitem nicht nur in Gästehäusern. Bei vielen Energieversorgern oder Unternehmen aus dem Bereich Erneuerbare Energien müssen Netzübergabepunkte für etliche Mitarbeiter, Wartungs- und Serviceteams zugänglich sein. Nicht selten hätte man, wie hier Lindner, Gelegenheit quasi durch die Vordertür einzusteigen, statt das direkte Risiko eines Cyber-Angriffs einzugehen. Gerade, wenn man mit den Gegebenheiten beispielsweise in der Energiewirtschaft oder anderen kritischen Infrastrukturen vertraut ist. Für das Beispiel Netzwerkdose bedeutet das, jeden Netzwerkzugang, der nicht benötigt wird, zu deaktivieren. Wer den Zugang nutzen darf und wer ihn tatsächlich nutzt, wird dokumentiert.

Die Gratis-Eintrittskarte: laxe Zutrittskontrollen

Dass der Zugang zu hoch sensiblen Bereichen nur einem ausgewählten Personenkreis gestattet ist, versteht sich von selbst. Dafür gibt es ausgeklügelte Konzepte, Technologien und Szenarien.

Allerdings gilt die IT-Abteilung nicht selten als Bedenkenträger und die Geschäftsführung schätzt die Situation als weit weniger kritisch ein. Um hier Abhilfe zu schaffen und die unternehmerischen Entscheidungen zu erleichtern, sind Sicherheits-Audits ein probates Mittel. Solche Audits reichen vom stichprobenartigen Kurzaudit über ein 360° Audit bis hin zu umfangreichen Fokus-Audits für sehr spezielle Anforderungsprofile. Aufgrund der Ergebnisse ist es für alle Beteiligten sehr viel einfacher den tatsächlichen Status quo in Sachen Informationssicherheit einzuschätzen.

Nur, es gibt genügend Unternehmensbereiche und Hardware, die per se weniger gut gesichert sind und die beim Thema Sicherheit nicht sofort im Fokus stehen. Einer der Gründe ist sicherlich, dass in vielen Unternehmen und Organisationen die IT-Abteilung sich ausschließlich um die IT-Sicherheit kümmert und beispielsweise das Facility-Management um physische Sicherheitseinrichtungen.

Betroffen sind, neben den schon erwähnten Netzwerkdosen und EDV-Verteilern auch frei zugängliche Büro- und Besprechungsräume oder eine Kantine. Hier einen versteckten WLAN-Router zu installieren, der eine ungesicherte Brücke aufbaut, und der dann später für einen gezielten Cyberangriff genutzt werden kann, ist beileibe kein Hexenwerk. Selbst Kameramasten, bestückt mit IP-Kameras lassen sich missbrauchen. Wenn auch vielleicht nicht von jedem. Lax gehandhabte Zugangskontrollen haben das Potenzial mühsam eingezogene IT-Sicherheitsmaßnahmen komplett auszuhebeln.

Um das Risiko zu senken, ist es hilfreich Sicherheitszonen zu definieren. Man kann sich das Vorstellen wie die Schalen einer Zwiebel: Ein Angreifer muss die Sicherheitsmaßnahmen in den jeweiligen Zonen erst ein Mal überwinden, bevor er an sein Ziel gelangt. Dazu braucht er das, von dem er am wenigsten hat: Zeit. Zutrittskontrolle ist ein komplexes Thema. Es gibt aber durchaus Maßnahmen, die sich problemlos und ohne großen Aufwand umsetzen lassen. Büro- und Meetingräume nach dem Verlassen immer abschließen, eine Besucheranmeldung einrichten und so weiter. Das geht allerdings nur, wenn die Mitarbeiter entsprechend sensibilisiert sind. Hier schließt sich der Kreis zur Studie von PwC. Das größte Sicherheitsrisiko sehen Unternehmen nach wie vor in schlecht geschulten, respektive schlecht ausgebildeten Mitarbeitern. Das sagen76 % der Befragten. Was die Ziele der Angriffe anbelangt sind das vor allem bei den Unternehmen der kritischen Infrastrukturen die Systemverfügbarkeit. 66 % der Befragten geben das als häufigstes Ziel von Angriffen an, bei den Betreibern kritischer Infrastrukturen sind die Zahlen naturgemäß noch höher und liegen bei einem Wert von 82 %.

KRITIS-Sicherheit nicht nur für KRITIS

Für die Betreiber sogenannter kritischer Infrastrukturen ist die neue Verordnung im Rahmen des IT-Sicherheitsgesetzes bereits in Kraft getreten. Im Frühjahr 2017 folgen auf die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung, die Bereiche Finanzen, Transport, Verkehr und Gesundheit. In der aktuellen Studie ist folglich der Prozentsatz derer deutlich angestiegen, die sich als Betreiber von kritischen Infrastrukturen im Sinne des Gesetzes einstufen. Statt 14% im Vorjahr tun das jetzt bereits 22% der Befragten.

In Anbetracht dieser Zahlen sollte man davon ausgehen, dass die betreffenden Unternehmen entsprechend handeln und investieren. Herausgekommen ist aber etwas anderes. 2016 erfüllten nämlich nicht ein Mal die Hälfte der relevanten Unternehmen die Anforderungen des Gesetzes. Zur Erinnerung: Die Anforderungen müssen bis Juni dieses Jahres umgesetzt werden.

Einige Beispiele. 73 % haben noch keinen Informationssicherheitsbeauftragten benannt, der als Ansprechpartner für das BSI fungiert, bei 61 % der Befragten fehlt die Meldestelle für Cyberangriffe und deutlich über die Hälfte der Befragten, nämlich 59 %, haben in ihrem Unternehmen noch keines der vorgeschriebenen ISMS, Informationssicherheitsmanagementsysteme, implementiert. Und genau diese Systeme sind es ja, die physische Sicherheitseinrichtungen mit IT-Sicherheitssystemen verbinden.

Handlungsdruck kommt noch von anderen Seiten. Kunden und externe Geschäftspartner und im Falle KRITIS eine kritischer werdende Bevölkerung verleihen ihren Forderungen nach IT-Sicherheit deutlich mehr Nachdruck. Der gesetzliche Druck motiviert aber am stärksten. Für 76 % ist er die entscheidende Motivation Budgets freizusetzen. An zweiter Stelle stehen dann mit 66 % Kundenanforderungen, gefolgt von Branchenstandards, der aktuellen Berichterstattung zu Cyberattacken, aktuellen Sicherheitsvorfällen oder Cyberangriffen im eigenen Unternehmen oder der Branche.

Fazit

Unternehmen, die im Bereich Industrie 4.0 oder kritische Infrastrukturen tätig sind, gehen generell von einer erhöhten Bedrohung durch Cyberangriffe aus (85 %) und eine überwältigende Mehrheit der Befragten hat sich bereits intensiv mit dem Thema Informationssicherheit auseinandergesetzt (91 %). Bleibt zu hoffen, dass bei allem notwendigen Fokussieren auf Cybersicherheit, physische Schwachstellen in Sicherheitskonzepten stärker als bisher berücksichtigt werden. Sie können entscheidend sein, will man nicht wie der Geschäftsführer der Ettlinger Stadtwerke konstatieren: "Als er anrief, war meine Resthoffnung dahin, dass man das vielleicht doch nicht schafft." (oe)

Lesetipp: Cyberspionage wird zur größten Bedrohung für Unternehmen