Ransomware: Die IT-Gefahr am Horizont

© Pfeil/AdobeStock

Zwei Jahrzehnte nach Beginn des 21. Jahrhunderts sehen wir eine wachsende und verheerende Bedrohung für die globale Informationssicherheit: Ransomware. Sogar technisch nicht versierte Leute haben schon einmal davon gehört, aber die umfassenderen Auswirkungen sind noch nicht in das öffentliche Bewusstsein eingedrungen. In verschiedenen Branchen könnte dieser allgemeine Mangel an Bewusstsein ein großes Problem darstellen – und der maritime Sektor ist ein gutes Beispiel.

Ransomware trifft auf den Zusammenfluss zweier entscheidender Trends in der modernen Technologie: der immer stärkeren Integration von IT-Systemen in das tägliche Leben und der Vernetzung dieser IT-Systeme. In seinem Bericht „Evasive Threats, Pervasive Effects“ aus dem Jahr 2019 verzeichnete Trend Micro einen Anstieg der Ransomware-Angriffe um 77 % zwischen der zweiten Jahreshälfte 2018 und der ersten Jahreshälfte 2019, und es ist klar, dass diese Bedrohung nur noch schlimmer werden wird.
Wie wirkt sich das auf die maritime Industrie aus? Und wie sollte ein globales Unternehmensnetzwerk, das mit der umfassenden Technologieintegration zu kämpfen hat, mit dieser aggressiven Angriffsart umgehen?

In den letzten 10 Jahren hat sich die Integration von Betriebstechnologie- (OT) und Informationstechnologie- (IT) Systemen im maritimen Umfeld dramatisch beschleunigt. An Bord von Schiffen ermöglichen moderne Netzwerktechnologien eine bessere Kontrolle und Überwachung technischer und mechanischer Systeme, was zu einer höheren Zuverlässigkeit und Effizienz für Schiffsbetreiber führt. Für Häfen und andere Infrastrukturknotenpunkte verfügen viele wichtige Industriesysteme mittlerweile über eine physische Verbindung mit der Außenwelt durch die Integration in interne IT-basierte Steuerungssysteme. Autonome Kräne und fahrerlose Tiefladerfahrzeuge sind heute entscheidende Elemente in den größten Häfen der Welt.

Doch die Bedrohungen, die die größte Aufmerksamkeit erhalten, sind nicht immer diejenigen, die die unmittelbarste Bedrohung darstellen. Angriffe, die sicherheitskritische Ausfälle verursachen könnten, sind theoretisch möglich – tatsächlich hat die NCC Group solche Angriffe mit Kunden modelliert. Die für diesen Notfall erforderliche Kaskade physischer und technischer Ausfälle bleibt jedoch höchst unwahrscheinlich. Für diese Art von Schaden ist Malware erforderlich, die systemspezifisch und umfassend genug ist, um manuelle Sicherheitsprüfungen außer Kraft zu setzen. Die einzigen zwei bestätigten Fälle solcher Angriffe in freier Wildbahn sind Stuxnet und „Crash Override“, beides sehr gezielte Angriffe auf nationalstaatlicher Ebene.

Das eigentliche Risiko sind Störungen: Die Angriffe auf den Hafen von San Diego, COSCO und Maersk machen deutlich, wie die starke Abhängigkeit von IT-Systemen und die enormen Ausfallkosten dies zu einem ernsten Problem für die Branche machen. Verschiedene maritime Einrichtungen wurden in höchste Alarmbereitschaft versetzt, nachdem während der Weihnachtsferien die Nachricht von einem Ransomware-Angriff bekannt wurde. Ein Virus mit der Bezeichnung „Ryuk“ drang offenbar durch einen E-Mail-Phishing-Angriff in die MTSA-Anlage ein, ermöglichte dann möglicherweise den Zugriff auf wichtige Netzwerkdateien und störte den Anlagenbetrieb des Hafens für über 30 Stunden.

Häfen im ganzen Land und auf der ganzen Welt lernen von dieser neuen Art von Angriffen, bei denen die Ziele zufällig und nicht absichtlich sein können. Für die meisten Hafenbetreiber weltweit ist der Schutz vor Cyberangriffen und insbesondere vor Ransomware ein Hauptanliegen auf Vorstandsebene, und viele arbeiten gemeinsam an Verteidigungsstrategien. Im vergangenen Dezember fand in Walnut Creek die erste gesamtamerikanische Maritime Cybersecurity-Konferenz mit Schwerpunkt auf der Sicherheit von Häfen und Schiffen statt, bei der Experten aus dem gesamten Branchenspektrum zusammenkamen, um das Wissen über diese Bedrohungen zu erweitern.

Das Fazit an dieser Stelle: Ransomware-Angriffe sind unvermeidlich und Hafen- oder Schiffsbetreiber müssen entsprechend planen. Der Aufbau von Verteidigungsanlagen ist wichtig, aber es ist auch wichtig, über einen robusten und eingespielten Reaktions- und Wiederherstellungsplan zu verfügen, der dazu beitragen kann, den Schaden zu lindern.

Zur Ransomware-Prävention müssen die Bemühungen immer beim Menschen beginnen. Ransomware verlässt sich in der Regel auf Benutzerfehler, um sich Zugang zu verschaffen. Geschäftsanwender müssen darin geschult werden, bösartige E-Mails oder gefälschte Websites zu erkennen und so zu verhindern, dass Ransomware die Kontrolle über das Netzwerk übernimmt. Robuste E-Mail-Filtersysteme bieten eine weitere Verteidigungslinie. Benutzern und Administratoren dabei zu helfen, Anzeichen einer Kompromittierung in ihren Systemen zu erkennen, und sie über die besten Gegenmaßnahmen zu beraten, ist ebenfalls von entscheidender Bedeutung, um die weitreichende Verbreitung von Ransomware über Netzwerke hinweg zu verhindern.

Eine starke Netzwerksegmentierung mit robusten Prozessen zur Reaktion auf Vorfälle bietet den besten Schutz vor katastrophalen Ausfällen und macht die Wiederherstellung aus gut verwalteten Backup-Prozessen effektiver.

Auch hier ist der maritime Sektor denselben Bedrohungen ausgesetzt wie die meisten anderen Sektoren. Die Abhängigkeit von IT-Systemen für kritische Vorgänge und die Integration von IT-Systemen in den operativen Technologie-Stack hat in kürzester Zeit massiv zugenommen: Noch vor zehn Jahren hatten die meisten Schiffe keinen Internetzugang. Heutzutage sind viele Zweigniederlassungen quasi aufgelöst und müssen das Schutzniveau ebenso schnell erhöhen.

Über den Autor

Brendan Saunders ist technischer Direktor und maritimer Leiter der Transport Assurance Practice bei der NCC Group (https://www.nccgroup.trust/us/), einem globalen Spezialisten für Cybersicherheit und Risikominderung. Im Jahr 2016 war er an der Entwicklung der BIMCO-Richtlinien für Cybersicherheit an Bord von Schiffen beteiligt, die heute der De-facto-Standard für Cybersicherheit für Schiffsbetreiber sind, und er berät weiterhin bei der Entwicklung dieser Richtlinien. Er ist außerdem Vorstandsmitglied von CIRM (Comité International Radio-Maritime) – dem internationalen Verband für Schiffselektronikunternehmen – und Vorsitzender der CIRM Cyber Risk Working Group, die die Beziehungen zwischen allen Organisationen fördert, die sich mit elektronischen Hilfsmitteln für die Schifffahrt befassen Navigations-, Kommunikations- und Informationssysteme. Außerhalb der Arbeit dient Saunders als Offizier in der Royal Naval Reserve, wo er Teams in schwierigen Situationen leitet und leitendes Führungspersonal in komplexe technische Fragen unterrichtet.