Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
12 | w w w c o m p u t e r - a u t o m a t i o n d e · 0 4 -24 IoT Ho t s p o t Hochprofessionelle Angriffs methoden Die wirklich gefährlichen Cyberangriffe auf I OT-Systeme laufen in der Regel mehrstufig ab und sind sehr gut vorbereitet Dabei kommen unterschiedliche Abfolgen aufeinander abgestimmter Einzelschritte zum Einsatz In Anlehnung an militärische Vorgehensweisen wird daher sogar von einem „Kill Chain“ gesprochen Darunter versteht man eine Abfolge von Handlungen zur Aufklärung und Zielidentifizierung Entsendung von Streitkräften sowie der Angriffsausführung bis zur Zielzerstörung Für Cyberattacken also einem „Intrusion Kill Chain“ ist diese Darstellung sicherlich etwas überzeichnet In Bezug auf die Einzelschritte der Ausführung trifft wohl eher der Vergleich mit einzelnen Spezialoperationen staatlicher Akteure zu – siehe beispielsweise den Anschlag auf die Nord-Stream-Pipelines und die dafür erforderliche Erkundung Vorbereitung Ausführung und Spurenvermeidung Auf jeden Fall ist beim Angriffsschutz immer von verschiedenen Angriffsvektoren auszugehen und der möglichen Aufklärung im Vorfeld ein sehr hoher Stellenwert einzuräumen – wenn der Angreifer erst einmal ins Netz eingedrungen ist und dort nach Zielsystemen sucht ist auf jeden Fall schon erheblicher Schaden entstanden Siehe hierzu auch die MITRE ATT CK-ICS-Matrix mit der matrixförmigen Übersicht zu Technik Taktik und Prozeduren möglicher Angreifer in der Dezember-Ausgabe der Computer Automation auf Seite 19 In den meisten Fällen hat man es mit einem Advanced Persistent Threat APT zu tun Laut dem Bundesamt für Sicherheit in der Informationstechnik spricht man von einem APT wenn ein gut ausgebildeter typischerweise staatlich gesteuerter Angreifender zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netzwerk oder System angreift sich unter Umständen darin bewegt und oder ausbreitet und so Informationen sammelt oder Manipulationen vornimmt Die Cyber Kill Chain Ein Unternehmen das vermutlich auf Grund seiner Produkte besonders häufig mit der Abwehr von Cyberangriffen zu tun hat ist Lockheed Martin in der USA Aus diesem Grund hat das Unternehmen ein Framework entwickelt das unter dem Begriff „Cyber Kill Chain“ bekannt ist Dahinter verbirgt sich ein siebenstufiges Modell zur Analyse von APT-Cyberangriffen das sich sehr gut zum Aufbau individueller Gegenmaßnahmen eignet Die Lockheed Martin-Methodik basiert auf den folgenden Einzelschritten • Aufklärung Reconnaissance Der Angreifer wählt ein zu den Angriffsplänen passendes Ziel aus untersucht es so umfassend wie erforderlich und versucht gleichzeitig potenzielle Schwachstellen zu identifizieren Dabei entsteht ein Zielprofil in das alle verfügbaren Informationen einfließen die für den Angriff hilfreich sein können In dieser Phase werden auch soziale Medien genutzt etwa um herauszufinden wer innerhalb einer Organisation einen Zugriff auf das OT-Netzwerk haben könnte • Waffenerstellung Weaponization Es wird eine zum Ziel passende Angriffsstrategie festgelegt und die technischen Details der geplanten Kompromittierung entwickelt Die dafür erforderlichen Werkzeuge – in diesem Fall also die Cyberangriffswaffen – werden ausgewählt und vorbereitet Dazu könnte beispielsweise eine spezielle Fake-E-Mail für das Spear-Phishing einer ausgewählten Zielperson gehören die mit Hilfe geeigneter LLM-KI-Werkzeuge wie WormGPT oder FraudGPT erstellt wird Auch der Entwurf einer gefälschten Webseite auf die das Angriffsopfer gelockt werden soll um eine Schadsoftware auf dem eigenen Rechner zu installieren erfolgt in dieser Angriffsstufe • Lieferung Delivery Die vorbereiteten Cyberwaffen werden eingesetzt und der eigentliche Angriff gestartet In dieser Angriffsphase wird beispielsweise die zuvor erstellte Spear-Phishing-E-Mail versendet oder ein kompromittierter USB-Stick an eine Person geschickt Jetzt wartet der Angreifer zunächst einmal ab ob die Zielperson die gewünschte Aktion ausführt beispielweise den Link zur Fake-Webseite anzuklicken Gegebenenfalls muss die Delivery-Phase mehrfach in gleicher oder abgewandelter Form wiederholt werden • Ausnutzung Exploitation In der Regel geht es bei diesem Angriffsschritt darum eine Schadsoftware Malware auf einem Rechner zu installieren um Über die Aufklärungsphase wurde ein Mitarbeiter in der Organisation identifiziert der auf Grund seiner Position über Zugriffsrechte auf das OT-Netzwerk verfügen müsste Dieser Rechner dient zunächst als Backdoor für weitere Erkundungsbzw Angriffsaktivitäten um einen dauerhaften Fernzugriffszugang in der Zielumgebung zu installieren der für unterschiedliche Angriffsaktivitäten nutzbar ist Bi ld S SV WebTipp Hier finden Sie die Lockheed-Martin-Methodik zum Aufbau von Maßnahmen gegen einen Cyberangriff https bit ly 3TkWja4