»Wir sehen vor allem das Risiko, dass Cyberkriminelle über das Heimnetzwerk leichter Schadsoftware auf einem Firmenrechner installieren können«, warnt Rhebo-CEO Klaus Mochalski. »Heimnetzwerke sind selten gut geschützt. Gerade mit professionellen Angriffstechniken haben die Angreifer leichtes Spiel«. Zwar hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst sinnvolle Empfehlungen für die Arbeit im Home Office herausgegeben. Insbesondere vor Phishing-E-Mails wird gewarnt. Für die Kommunikation in Richtung Unternehmensnetz werden Virtual Privat Networks (VPN) empfohlen.
Jedoch muss für den Angreifer noch nicht einmal der eigentliche Firmenrechner die Eintrittspforte bilden. Viele Heime sind heutzutage mit smarten, vernetzten Geräten wie digitalen Assistenten, Thermostaten, Entertainmentsystemen und einer Vielzahl privater mobiler Endgeräte bestückt, die in der Regel keinerlei Sicherheitsfunktionen aufweisen. Diese können als erster Kontaktpunkt für Cyberkriminelle fungieren, um weitere Geräte im Heimnetzwerk zu kompromittieren.
Vom smarten Heimassistenten ins Steuerungsnetz in 2 Schritten
»Die Angreifer springen sozusagen vom Alexa-Assistenten zum Firmenrechner, denn beide sind an dasselbe Heimnetz angeschlossen«, verdeutlicht Klaus Mochalski die komplexen Abhängigkeiten. »Ist der Angreifer erst einmal auf dem Firmenrechner, muss er eigentlich nur warten, bis sich die nächste Verbindung zum Unternehmensnetz ergibt. Dann hilft auch kein VPN mehr vor der Infizierung, denn das VPN akzeptiert den Firmenrechner als legitimen Netzteilnehmer. Im Zweifelsfall wartet der Angreifer auch einfach, bis die Corona-Krise vorbei ist und alle an ihren Arbeitsplatz zurückkehren. Die Mitarbeiter tragen die Schadsoftware gewissermaßen persönlich durch die Sicherheitsschranken ins Unternehmen. Zu dem meist komplett ungesicherten Steuerungsnetz in der Produktion ist es dann nur noch ein Katzensprung. Wir erwarten, dass es während der Corona-Krise und vor allem danach in vernetzten Produktionen vermehrt zu Störungen kommen wird. Auf so eine Chance wie Corona haben Cyberkriminelle eigentlich nur gewartet«.
Gängige Sicherheitstools überwachen ausschließlich die Netzwerkgrenzen und erkennen fast nur bekannte Gefährdungen. Die Cybervorfälle in Unternehmen seit 2016 zeigen jedoch vor allem eins: Schadsoftware wird ständig weiterentwickelt, während die Sicherheitstool immer einen Schritt hinterher hängen. In einer Krisensituation wie Corona wird die Dynamik diesbezüglich zunehmen. Wenn die unternehmensinternen Sicherheitstechnologien neuartige Kommunikationsmuster innerhalb des Steuerungsnetzes nicht erkennen, steht den Angreifern somit Tür und Tor offen.
Mit einem Netzwerkmonitoring mit Anomalieerkennung können Produktionsunternehmen diese Sicherheitslücke schließen. Das Monitoring sitzt zum einen innerhalb des Steuerungsnetzes und überwacht dort jede Kommunikation zwischen den Geräten. Zudem erlaubt die Anomalieerkennung das Aufspüren unbekannter Angriffsmuster, da diese sich in neuartiger Kommunikation niederschlagen. Wenn ein im Home Office infizierter Firmenlaptop sich mit dem Steuerungsnetz verbindet und die Schadsoftware aktiv wird, meldet die Anomalieerkennung dies in Echtzeit als verdächtige, zuvor unbekannte Kommunikation. Verantwortliche für IT/OT-Sicherheit werden so umgehend über schädliche Aktivitäten informiert und können direkt entsprechende Gegenmaßnahmen, wie Netzwerktrennung und Quarantäne, einleiten.
Zusätzlich kann in den Wochen nach Normalisierung der Arbeitsprozesse auch ein Stabilitäts- und Sicherheitsaudit helfen. In diesem Fall analysiert Rhebo über einen festen Zeitraum die gesamte im Steuerungsnetz auftretende Kommunikation und identifiziert bestehende Schwachstellen oder Sicherheitsprobleme. So können die Verantwortlichen nach der Krise mit einem bereinigten System starten und eine stabile Produktion sicherstellen.