Mit der verbesserten Funktionalität der Betriebstechnologie (OT – Operational Technology) hat auch die potenzielle Bedrohung durch Cyberangriffe zugenommen, sodass mit dem Fortschritt der OT die Bedeutung einer soliden Cyberabwehr stetig zunimmt. Um eine unternehmerische oder menschliche Katastrophe zu verhindern, ist es notwendig geworden, Betriebs- und IT-Umgebungen zu schaffen, die von vornherein sicher sind.

Roboter sind eine Ressource, die in letzter Zeit durch technologische Fortschritte und den enormen Anstieg der Zahl der eingesetzten Roboter erheblich an Bedeutung gewonnen hat. Angesichts der COVID-19-Pandemie haben Roboter die Gefährdung verringert, indem sie risikoreiche Aufgaben übernommen haben. Außerdem haben sie die Effizienz der Impfstoffherstellung und -verwaltung enorm gesteigert. Dies macht sie zu einem sehr attraktiven Ziel für Cyberkriminelle, die ständig nach Möglichkeiten suchen, den Druck auf Unternehmen zu erhöhen, in der Hoffnung, schneller höhere Lösegeldsummen zu erhalten. Um diese Erpressung zu verhindern oder zumindest zu erschweren, haben die „Threat Researcher“ des OT Cybersecurity-Experten TXOne Networks, an einer gemeinsamen Studie mit dem Partner TrendMicro teilgenommen, um die Sicherheit autonomer mobiler Roboter (AMR) zu verbessern, ohne ihre operative Effizienz zu beeinträchtigen.

In den letzten zehn Jahren hat sich ein durchgängiges Verhalten von Cyberangreifern etabliert, die akribisch versuchen, in der bisher unbekannte und somit ungesicherte  Bereich der Betriebstechnologie einzudringen, um mit allen Mitteln so viel Geld wie möglich zu erpressen. Bisher waren die im Zusammenhang mit Robotern verzeichneten Vorfälle meist unbeabsichtigt und resultierten oft aus Fehlbedienung oder IT-Baustellen, die nicht den Sicherheitsstandards entsprachen. In naher Zukunft sollten die betroffenen Unternehmen jedoch damit rechnen, dass Hacker ein detaillierteres Verständnis der Betriebsbedingungen und Funktionsweisen von Robotern entwickeln werden. Dies wird sie schließlich in die Lage versetzen, gezielte Angriffe auf diese Anlagen sowie die Produktionsmittel zu starten und damit auch Menschenleben zu gefährden.

Cyberkriminalität als Dienstleistung

In den letzten zehn Jahren haben Cyberkriminelle begonnen, im Dark Web Datenbanken anzulegen, in denen die Angriffsmethoden, die verwendeten Tricks und die erforderlichen Anwendungen klassifiziert und organisiert werden können. Auf die Erstellung dieser Datenbanken folgte das Aufkommen eines Dienstleistungssystems, in dem die Cyberkriminellen zahlenden Kunden ihre Werkzeuge zur Verfügung stellen. Dies wird als Ransomware-as-a-Service (RaaS) bezeichnet.

Das Aufkommen von RaaS als Geschäftsmodell der Cyberkriminalität ist ein Vorläufer von schweren Cyberangriffen auf viele große Organisationen. Es ist davon auszugehen, dass solche Angriffe weiter zunehmen werden, solange sie erfolgreich sind und zu hohen Geldzahlungen an Cyberkriminelle führen. In diesem Zusammenhang ist es wichtig, darauf hinzuweisen, dass vermutlich weniger als die Hälfte der Cyberangriffe an die Öffentlichkeit gelangen, während der Rest hinter verschlossenen Türen im Stillen abgewickelt  wird.

RaaS wurde von "Abonnenten" aus verschiedenen Bereichen erfolgreich genutzt, um mehrere große Cyberattackenzu verursachen. Das Cyberangriffsprogramm ist sogar bequem über verschiedene Kaufmodelle wie eine einmalige Gebühr, ein monatliches Abonnement oder eine Gewinnbeteiligung erhältlich.

Ein besonders bemerkenswertes Beispiel für RaaS sind die Attacken mithilfe der Ransomware REvil aus dem Jahr 2021, die der Dreh- und Angelpunkt zahlreicher schwerer Cyberangriffe war:

• Im April 2021 gab es einen Angriff auf den taiwanesischen Hard- und Software Anbieter Quanta Computer, bei dem Angreifer versuchten, mithilfe gestohlener Designs von Apple und Lenovo 50 Millionen US-Dollar zu erpressen.
• Im Mai 2021 sah sich das weltgrößte Fleischverarbeitungsunternehmen JBS S.A. gezwungen, einige Produktionslinien stillzulegen, und beschloss, eine Zahlung von 11 Millionen US-Dollar zu leisten, um zu verhindern, dass gestohlene Daten im Internet veröffentlicht werden.
• Im Juli 2021 verursachten Angriffe auf Lieferketten, die auf der Fernüberwachungs- und -Verwaltungssoftware Kaseya VSA (Virtual System Administrator) basierten, Ausfallzeiten bei über 1.000 Unternehmen.

Es ist sehr wahrscheinlich, dass sich die nächste Welle von Cyberangriffen auf die Instrumentalisierung von OT-Technologien konzentrieren bzw. sich ihrer bedienen wird. Aggressive, hartnäckige Angreifer sind sicherlich bereit, Menschenleben in der Hoffnung auf eine schnelle Lösegeldzahlung zu riskieren.

OT und die Cyber-Bedrohung 

In den letzten zehn Jahren mussten viele vertikale Branchen, insbesondere diejenigen, die mit kritischen Infrastrukturen zu tun haben, feststellen, dass die Cybersicherheit nun ein grundlegender Bestandteil ihres Unternehmens sein muss. Die Medizinbranche beispielsweise war in den letzten Jahren gezwungen, sich gegen Wellen  gezielter Cyberangriffe zu wehren. Aber auch jedes andere betriebliche Umfeld, z. B. in der Öl- und Gas-, Halbleiter- oder Automobilindustrie, läuft Gefahr, einem ähnlich hohen Cyberrisiko ausgesetzt zu sein.

Eine Möglichkeit, sich gegen solche Angriffe zu schützen, sind branchenspezifische Vorschriften. Die Threat Researcher von TXOne Networks haben jedoch herausgefunden, dass diese Vorschriften zwar die Standards für die Verteidigung dieser Netzwerke und Anlagen erhöhen, aber auch Ähnlichkeiten bzw. Muster schaffen, die Hacker vorhersehen und ausnutzen können. Nach Ansicht der Experten sind diese Vorschriften zwar gut geeignet, um Angriffe mit geringerem Aufwand zu verhindern, wie z. B. solche, die auf "Spray-and-Pray"-Taktiken, also willkürlichen Attacken basieren. Die oben erwähnten ausgeklügelten und gezielten Cyberangriffe werden jedoch sorgfältig entwickelt, um bestimmten Branchen so viel Schaden wie möglich zuzufügen. Daher können sie nur durch Schutzmaßnahmen zuverlässig verhindert werden, die an branchenspezifische Belange angepasst sind und durch die konsequente Arbeit sowie Aktualisierungen von Sicherheitsforschern unterstützt werden.

Cyberkriminelle greifen seit Jahren verschiedene Fertigungsunternehmen mit Cyberattacken an, die darauf abzielen, möglichst viel Geld zu erpressen, da sie davon ausgehen, dass diese Branche am ehesten in der Lage ist, große und schnelle Zahlungen im Austausch für die Rückgabe ihrer Produktionsanlagen oder Daten zu leisten. Laut einem Bericht von TXOne Networks Partner Trend Micro ("The State of Industrial Cybersecurity") waren 61 % der Fabriken von einem Cyberangriff betroffen, wobei 75 % dieser Vorfälle zu einem Produktionsstopp führten. In 43 % der Fälle wurde die Produktion länger als 4 Tage unterbrochen. Die entscheidende Erkenntnis hier ist, dass wichtige und rentable Unternehmen immer häufiger ins Visier genommen werden. Daher ist es ratsam, diese Produktionsanlagen mit den neuesten verfügbaren Sicherheitsgeräten und Schutzlösungen zu sichern.

Dr. Terence Liu, CEO TXOne Networks