Cyberangriffe sind existenzgefährdend
Cybersecurity für alle!
Fortsetzung des Artikels von Teil 2
Inkubationszeit als Schwachstelle der Ransomware
Eine Eigenart von Ransomware ist es häufig, nach der Infektion zunächst einmal unerkannt zu bleiben und gezielt nach weiteren Systemen im Netzwerk zu suchen, die ausnutzbare Sicherheitslücken aufweisen. »Diese ‚Inkubationszeit‘ ist typisch für Ransomware, weil das Virus zunächst versucht, maximale Verbreitung im System zu erreichen«, stellt Dennis Paul fest. »Gleichzeitig werden dadurch viele neue Kommunikationsbeziehungen aufgebaut, die vorher nicht definiert sind und als Anomalie erkannt werden können. Es gibt also ein Zeitfenster, in dem sich ein befallenes System noch retten lässt, falls der Angriff rechtzeitig erkannt wird. Im Rahmen der Anomalie-Erkennung durch Deep Packet Inspection wird der Datenverkehr ständig in Echtzeit kontrolliert und bei Abweichungen von den vorher definierten und erlaubten Kommunikationsbeziehungen Alarm ausgelöst.«
Die Ransomware „WannaCry“ beispielsweise nutzte während des großen Angriffs im Jahr 2017 das Protokoll SMB, weil die entsprechende Sicherheitslücke genau hier aufsetzte. Neben dem plötzlichen Auftreten vieler neuer Kommunikationsbeziehungen wurde also auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war. »Anhand der Kommunikation lässt sich zudem ausmachen, welches System von dem Virus befallen wurde«, sagt Dennis Paul. »Im besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt – der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden; ein kostspieliger Produktionsausfall ist noch zu verhindern.«
Anomalie-Erkennung erhöht die Produktivität
Mit Deep Packet Inspection können Anwender nicht nur das Ausspähen des Systems durch ein Virus erkennen, sondern auch produktionsbedingte Anomalien und Störungen feststellen. »Anomalien treten nämlich nicht nur durch Ransomware auf, sondern können durch Produktionsstörungen wie etwa einen defekten Sensor ausgelöst werden«, legt Dennis Paul dar. »Über die IT-Sicherheit hinaus ist die Anomalie-Erkennung durch Deep Packet Inspection also ein gutes Werkzeug, um die Produktivität deutlich zu erhöhen.« DPI erkennt beispielsweise in Echtzeit neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, die sich nicht in einem definierten Rahmen bewegen.
»Die sichere Vernetzung wird in Zukunft nicht nur zur Abwehr von Ransomware, sondern auch zur Bekämpfung von Industriespionage immer wichtiger«, resümiert Dennis Paul. »Aus unserer Erfahrung von der Smart Factory bis hin zu kritischen Infrastrukturen raten wir dringend zu einem individuellen, ganzheitlichen Sicherheitskonzept. Die Investition rechnet sich nicht nur, sondern sollte gerade wegen der sich ständig anpassenden Angriffsstrategien der organisierten Kriminalität mindestens so selbstverständlich sein wie das Türschloss am Eingang.«
- Cybersecurity für alle!
- Den Aufwand für Cyberkriminelle erhöhen
- Inkubationszeit als Schwachstelle der Ransomware
