Ist Industrie 4.0 bereit für die Ransomware-Bedrohung?

Ransomware ist der aktuelle Mega-Trend bei Crimeware. Rechner infizieren, Daten verschlüsseln und dann auf die Überweisung in Bitcoins warten – fertig. Durch die Stärke der gewählten Verschlüsselung ist bisher kein Kraut gegen den Trojaner gewachsen. Locky und seine Kollegen haben das Zeug, sich zu weit mehr als einem Ärgernis auszuwachsen.

Bisher ist unter anderem der Fall eines Krankenhauses bekannt, dessen Patientendaten verschlüsselt wurden. Das ist schlimm genug, aber wie wäre es, wenn auch Computer, die medizinische Geräte steuern, mit dem Trojaner verseucht werden würden. Und plötzlich, während sie ihren Dienst tun sollen, nur noch den, inzwischen bekannten Erpresserbrief anzeigen? Verschlüsselt werden in erster Linie Dokumente, Fotos, Filme und andere persönliche Daten, das Betriebssystem und die Anwendungen bleiben verschont. Aber auch Datenbankdateien oder Files mit einem Lizensierungsschlüssel gehören zu den Zielobjekten der Software.

Embedded Systems wurden noch nicht von Locky oder einem seiner funktionsverwandten Kollegen befallen, zumindest ist öffentlich nichts darüber bekannt. Theoretisch wäre das allerdings durchaus möglich. Bis jetzt sind meist Bürocomputer Opfer des Trojaners, in der Regel durch einen, mit einem Makro-Virus verseuchten, Anhang. Doch neben den lokalen Daten erreicht der Schädling auch Netzwerkfreigaben, die aktuell nicht ins System eingebunden sind und macht vor Cloud-Speichern nicht halt. Ist das Produktionsnetz nicht sauber vom Büronetz getrennt, findet Locky problemlos den Weg auf Shares im Fabrikumfeld. Was dort gespeichert wird, ist dem Verschlüsselungsalgorithmus ohne Schutz ausgeliefert. Interessant wäre auch die Frage, was passiert, wenn ein gerade mit Locky-infizierter Rechner zur Fernwartung eines Produktionssystems verwendet wird.

Die Vernetzung von Steuerungssystemen, die zwar nicht der IT zugeordnet sind, aber IT-Aufgaben mit IT-Standardprotokollen und -produkten ausführen, ist ein zweischneidiges Schwert. Der Netzzugriff macht viele Verwaltungsaufgaben einfacher und bietet die Möglichkeit, Daten gleich dort abzugreifen, wo sie entstehen. Doch ein für klassische IT-Umgebungen entwickeltes Betriebssystem wie Windows benötigt klassische Schutzmechanismen für die grundlegende Absicherung. Die können in Produktionsumgebungen oft nicht eingesetzt werden, sei es, weil die Ressourcen fehlen oder keine Zertifizierung durch den Anwendungshersteller vorliegt. Zudem sind die Grenzen zwischen Office und Produktions-IT häufig nicht so undurchlässig, wie sie sein sollten. Bedrohungen wie Locky werden nicht nur in ferner Zukunft aktiv und greifen möglicherweise Daten ab, die unter Umständen zu Schäden führen können. Sie sind aktuelle und knallharte Bedrohungen, die der letzte Anstoß für IT-Admins und Sicherheitsverantwortliche sein sollten, ihre Systeme rigoros abzusichern. Lieber einen Port mehr schließen und eine zusätzliche DMZ einziehen, als aus Gründen des schnelleren Zugriffs ein Share über die Firewall hinweg freigeben.

Falls alle Stricke reißen und der Trojaner doch zuschlägt, hilft ein durchdachtes, ständig aktualisiertes und regelmäßig überprüftes Disaster Recovery Konzept. Dezentral gespeicherte Backups der Daten und Images von Betriebssystem und Anwendungen sorgen für einen schnellen Neustart, nachdem die befallenen Systeme neu partitioniert wurden.