Das Geschäftsmodell hinter Security-Angriffen, wie es ist, mit Ransomware-Gangs zu verhandeln und der Return on Invest für Security-Maßnahmen - diesen Monat geht es viel um Geld im Schutzhelmbriefing.
Zum Ausgleich enden wir mit Daniel Düsentrieb, der ja bekanntlich eher (zu) wenig Wert darauf legte, von Dagobert Duck auch Geld für seine Erfindungen zu bekommen.

In dieser E-Mail gibt es Neuigkeiten und Lesestoff zu folgenden Themen:

1. Hacker-Angriffswelle, vor allem im Gesundheitswesen
2. Hackerangriffe: Ein Blick aufs Geschäftsmodell Kriminalität
3. Return on Invest für Security-Maßnahmen
4. Shodan hat nun Suchfilter für OT-Protokolle
5. Vollversammlungen der ISA99- and ISA84-Komittees
6. IDTA: Den digitalen Zwilling anfassbar machen
7. Kaffeemaschinen-Hacking
8. Keynote in Zusammenarbeit mit Daniel Düsentrieb

1. Hacker-Angriffswelle, vor allem im Gesundheitswesen

Im Oktober-Schutzhelmbriefing haben wir uns ausführlich dem Ransomware-Angriff auf die Düsseldorfer Uniklinik gewidmet (Blog siehe hier). Der Angriff sollte - so scheint es zumindest - eigentlich gar kein Krankenhaus treffen.

Das ist nicht immer so: Zunehmend werden Hackerangriffe mit dem speziellen Ziel "Gesundheitseinrichtungen" bekannt. Aus Angreifersicht macht das Sinn: Idealerweise endet z. B. ein Ransomwareangriff mit der Zahlung der Lösegeldforderung, damit Systeme wieder entschlüsselt werden können - und diese Bereitschaft zur Zahlung steigt, je mehr die Verschlüsselung schmerzt. Wenn Krankenhaus-IT nicht zur Verfügung steht, schmerzt das immer - und umso mehr in COVID-19-Zeiten.

Gerade bei Gesundheitseinrichtungen wird eine zweite Erpresservariante populär: Daten werden nicht nur verschlüsselt, sondern auch kopiert, um später mit der Veröffentlichung sensibler Patientendaten drohen zu können. Gegen diese Art der Erpressung hilft auch kein Backup, und sie erhöht die Unsicherheit nach Ransomware-Angriffen: Auch wenn die verschlüsselten Daten wiederhergestellt sind und die Systeme wieder laufen, bleibt die Unsicherheit, ob Daten auch kopiert wurden; denn dies lässt sich meist nicht mit letzter Gewissheit ausschließen.

Die Angriffe im Überblick:

• Uniklinik Düsseldorf: Ransomware-Angriff September 2020, Schadsoftware DoppelPaymer, Auswirkungen: Aussetzung der Notversorgung mit Todesfolge, Quellen: diverse
• Universal Health Service: Ransomware-Angriff Ende September 2020, Schadsoftware wahrscheinlich Ryuk, Auswirkungen: Verschiebung von OPs und Behandlungen und temporäres Aussetzen der Notversorgung, Quelle: healthitsecurity.com
• Robert-Koch-Institut: Denial-of-Service-Angriff im Oktober 2020, Website war für einige Stunden nicht erreichbar, Quelle: Spiegel
• COVID-19-Testentwickler eResearchTechnology: Ransomware-Angriff im Juli 2020, Schadsoftware unbekannt, Auswirkung: Verzögerung klinischer Studien, Quelle: healthitsecurity.com via New York Times
• Kompromittierte Patientendaten (teilweise in Verbindung mit Ransomware) zum Beispiel bei US-Krankentransport-Service AAA Ambulance oder Brustimplantat-Hersteller Sientra

Das US CERT hat am 28. Oktober eine Warnung vor Ransomware-Angriffe auf Gesundheitseinrichtungen ausgegeben (Lesestoff-Link 2). Die Warnung beinhaltet detaillierte Hinweise zu sogenannten "Indicators of Compromise", also den Anzeichen, an denen man einen Schadcodebefall für eine bestimmte Angriffsvariante erkennen kann.
Die Story hinter dieser Warnung beschreibt US-Security-Journalist Christopher Krebs auf seiner Website "Krebs on Security". Er hatte Hinweise erhalten, dass die russische Angreifergruppe, die mittels Ryuk-Ransomware angreift, in Online-Chats Pläne diskutiert haben soll, Ransomware in Angriffen auf über 400 US-amerikanische Gesundheitseinrichtungen einzusetzen.

In seinem frisch veröffentlichten Lagebericht 2020 (Lesestoff-Link 1) beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Angriff auf Krankenhäuser der DRK-Trägergesellschaft Süd-West (Rheinland-Pfalz und Saarland), der sich schon 2019 ereignete: Schadsoftware "Sodinokibi", Auswirkungen: "erhebliche Beeinträchtigung der Versorgungsleistung".
Insgesamt bekam das BSI im Berichtszeitraum (bis Mai 2020) 143 Meldungen über Security-Vorfälle aus dem Gesundheitswesen - man muss aber dazusagen, dass der größte Teil davon nicht auf Hackerangriffe, sondern auf technisches Versagen zurückzuführen war.
Dasselbe Bild bietet sich bei Datenlecks: Nicht immer sind Patientendaten aufgrund von Hackerangriffen im Internet verfügbar - manchmal liegt es auch an unsicheren Cloud-Diensten. So oder so können die Daten aber für Social Engineering missbraucht werden.

Der BSI-Lagebericht beinhaltet auch ein Kapitel zu COVID-19-spezifischen Entwicklungen. Quintessenz der Security-Auswirkungen: Phishing-Angriffe mit COVID-19-Thematik ("Klicken Sie hier, um Soforthilfe zu beantragen") und unsichere Hals-über-Kopf-Homeoffice-Anbindungen.

2. EU gibt Cybersecurity-Strategie bekannt, USA warnt vor OT-Angriffen

Hackerangriffe, vor allem Ransomware, lohnen sich: Bei großen Unternehmen wie dem Energieversorger Enel, Uhrenhersteller Swatch, der französischen Reederei CMA CGM oder Versicherungsbroker Arthur J. Gallagher können Ransom-Forderungen rasch Millionenbeträge erreichen (bei Enel - dieses Jahr schon zum zweiten Mal von Ransomware getroffen - sind es Berichten zufolge aktuell 14 Mio USD).

Die landläufige Empfehlung, die Erpressersumme bloß nicht zu bezahlen, ist leichter gesagt als getan. Häufig ist die Summe geringer als der finanzielle Aufwand für die Wiederherstellung aller verschlüsselten Systeme. Und man darf annehmen, dass Hacker ihre Lösegeldforderungen auch genau so kalkulieren, denn gerade Ransomware-Angriffe sind am Ende vor allem ein lukratives Geschäftsmodell.

Gleich zwei sehr unterhaltsame Texte beleuchten dieses Geschäftsmodell.

Lesestoff-Link 1 ist ein Paper der WEIS 2020 (Workshop on the Economics of Information Security), in dem es um die nötigen Aufwände für die Administration der Infrastruktur von Security-Angreifern geht. Zitat:
"What has seldom been remarked upon is the amount of tedious administrative and maintenance work put in by these specialist suppliers. There is much discussion of the technically sophisticated work of developing new strains of malware or identifying zero-day exploits but the mundane nature of the day to day tasks of operating infrastructure has been almost entirely overlooked. Running bulletproof hosting services, herding botnets, or scanning for reflectors to use in a denial of service attack is unglamorous and tedious work, and is little different in character from the activity of legitimate sysadmins."

Lesestoff-Link 2 ist ein Blogpost des Security-Researches The Grugq zur Organisation von Hackergruppen ("CrimeOps") am Beispiel FIN7. Er betrachtet die Organisation wie ein Unternehmen, inklusive Mission Statement und Prozessoptimierung:
"FIN7 was not the most elite hacker group, but they developed a number of fascinating innovations. Looking at the process triangle (people, process, technology), their technology wasn’t sophisticated, but their people management and business processes were. Their business… is crime!
[...]
This is CrimeOps:

• Repeatable business process
• CrimeBosses manage workers, projects, data and money.
• CrimeBosses don’t manage technical innovation. They use incremental improvement to TTP to remain effective, but no more
• Frontline workers don’t need to innovate (because the process is repeatable)"

Die wichtige Botschaft in den teils nur halbernst gemeinten Texten, die auf ernsten Fakten beruhen: Die Vorstellung eines Hackers mit ausgeklügelten Techniken trifft in den meisten Fällen nicht die Realität. Technologisch überschätzen wir Angreifer tendenziell, aber dafür unterschätzen wir oft, wie professionell sie organisiert sind. Erfolg erreichen solche Gruppen eher über die schiere Masse an Angriffen auf alles, was "leicht zu holen ist".

Also: In den meisten Fällen werden Sie kein Angriffsziel, weil jemand sich exakt Ihre Organisation als Ziel ausgesucht hat. Sie machen sich vielmehr selbst zum Angriffsziel, indem sie Schwachstellen offen lassen, die Sie zu bequemen Opfern macht.
Und ist das nicht eine gute Nachricht? Es legt einen viel größeren Anteil der Entscheidung, ob Sie Opfer werden, in Ihre eigenen Hände.

Zum Abschluss der Geschätsmodellbetrachtungen haben wir noch einen Bonustext in Lesestoff-Link 3 - darin beschreibt Art Ehuan seinen etwas unkonventionellen Job: Mit Ransomware-Erpressern über die Lösegeldforderung verhandeln. Er war noch nie so gut beschäftigt wie im Jahr 2020, sagt er, und beschreibt den üblichen Verhandlungsprozess:

"There is good success in negotiating a fee lower than what was initially asked by these groups. Once the fee is agreed and payment made, most often than not by bitcoin, TA sends the decryptor that is then tested in an isolated environment to make sure that it does what it is supposed to do and not potentially introduce other malware into the environment. [...] If the negotiation is for them not to release the data, they will provide proof of the files being deleted on their end (we have to take their word for it that they haven’t kept other copies)."

3. Return on Invest für Security-Maßnahmen

Kostet Geld und bringt keinen Euro mehr Umsatz - Security ist aus reiner Investment-Perspektive schwer verkäuflich.

Das US-amerikanische Unternehmen BitSight bewertet Unternehmen nach ihrer Security, das deutsche Unternehmen Solactive erstellt Indizes für die Bewertung von Unternehmen.
Beide Unternehmen verdienen also ihr Geld mit der Erstellung von Unternehmensbewertungen, mit deren Hilfe Investoren ihre Entscheidungen treffen. Diese beiden Unternehmen haben nun in einer gemeinsamen Studie die Aktienkurse von Unternehmen mit deren Security-Rating in Beziehung gesetzt.

Das Ergebnis, verkürzt: Bessere Security-Bewertung war ein Indikator für bessere Entwicklung des Aktienkurses in der Zukunft.

Nun wissen wir alle: Korrelation und Kausalität sind zwei verschiedene paar Schuhe. Aber wenn sich - ähnlich wie in der Vergangenheit Nachhaltigkeit-Indizes oder Indizes für die Diversität der Belegschaft - Security-Indizes als mögliche Werte etablieren, nach denen Investoren ihre Entscheidungen ausrichten, hat die Security wenigstens ein "hartes" Business-Argument auf ihrer Seite. Kann nicht schaden - außer, die Indizes kann man mit "Security-Kosmetik" verbessern, die nichts wirklich besser macht.

Nun ja, viele Wenns. Aber die Hoffnung stirbt ja zuletzt.
Bis dahin dürfte das schlagkräftigere Argument sein, dass saubere Security und sauberes Engineering eine verdammt große Schnittmenge haben.
Und natürlich der Klassiker: Awareness für mögliche, potenziell teure, Angriffe. Und die ist gemäß eines Heise-Berichts bei Entscheidugnsträgern durchaus vorhanden: "Gut die Hälfte aller Unternehmen erwartet, dass sie in den nächsten zwölf Monaten einen Endpoint- oder IoT-Angriff überstehen müssen."

4. Shodan hat nun Suchfilter für OT-Protokolle

Shodan, die Suchmaschine für mit dem Internet verbundene Systeme - inklusive IoT und OT - hat nun Suchfilter speziell für Industrial Control Systems (ICS).
Es kann gezielt nach Systemen gesucht werden, die bestimmte OT-Protokolle wie Siemens S7, Modbus, DNP3, HART oder Ethernet/IP sprechen.

Shodan funktioniert, indem es kontinuierlich das Internet auf der Suche nach verbundenen Systemen mit bestimmten Merkmalen abgrast und die Ergebnisse nach bestimmten Filtern durchsuchbar macht.

Nur um sicher zu gehen...es kann sich lohnen, mal nach Systemen in der eigenen Region zu suchen - und sei es nur, um einen genaueren Blick auf den eignen "digitalen Fußabdruck" zu haben.
Um die ICS-Filter zu nutzen, reicht es, einen kostenlosen Account anzulegen.

5. Vollversammlungen der ISA99- und ISA84-Komittees

Natürlich virtuell, aber immerhin: Im vergangenen Monat fanden die Vollversammlungen der security-relevanten Komittees der International Society for Automation (ISA) statt. Das Komittee ISA99 steckt hinter der ISA/IEC 62443, das Komittee ISA84 entwickelt Standards für die funktionale Sicherheit - einschließlich Security-Aspekten.

Die ISA84 arbeitet für ihren Security-for-Safety-Teil eng mit der ISA99 zusammen und überarbeitet gerade ihren Technical Report TR84.00.09, der detaillierte Anleitungen - inklusive Methodenbeispielen und Templates - zur Betrachtung von Security UND Safety für Automatisierungstechnik gibt.

Die Herkulesaufgaben der ISA99 sind momentan die Harmonisierung der umfangreichen ISA/IEC 62443 sowie ihre bessere Erklärung.

Für ersteres wurde im Plenary unter anderem ein neuer Strukturvorschlag vorgestellt - unterteilt nach Policy, Technical, Guidance und Application statt wie bisher nach Policies, System und Component. Es ist ein erster Wurf - schauen wir, was daraus wird.
Letzteres ist ein erklärter Zweck der ISA Global Cybersecurity Alliance (GCA). Neben Quick Guides zur ISA/IEC 62443 (Lesestoff-Link 1) ist im vergangenen Monat auch ein Whitepaper zu Security-Lebenszyklen (Lesestoff-Link 2) erschienen, verfasst von ISA99-Mitglied Johan Nye. Für den schnellen Einstieg empfohlen: Abbildung 13, die für jede Lebenszyklusphase die Aufgabe der verschiendenen Rollen (Hersteller, Integrator, Betreiber, Dienstleister) beschreibt und die dafür relevanten 62443-Teile zuordnet.

Die Dokumente sind von der ISA-GCA-Website nach Registrierung kostenlos herunterladbar.

6. IDTA: Den digitalen Zwilling anfassbar machen

Achtung, neues Akronym im Anmarsch: IDTA steht nun für "Industrial Digital Twin Association". Das Ganze ist ein Verein, der von VDMA, ZVEI, Bitkom und 20 Firmen gegründet wurde und sich zum Ziel gesetzt hat, für den digitalen Zwilling eine einheitliche Open-Source-Implementierung zu schaffen.

Eine Implementierung des digitalen Zwillings - was bedeutet das? Verkürzt gesagt, dass ein Informationsmodell geschaffen wird, mit dem die etwas abstrakte Vision eines kompletten digitalen Modells einer, "anfassbare" Realität werden kann. Und natürlich ist das security-relevant, denn auch ein Assetregister oder eine Konfigurations-Datenbank ist aus Digital-Twin-Perspektive nichts anderes als ein Teilmodell eines digitalen Zwillings.

Warum die IDTA wichtig ist, bringt Thomas Tauchnitz im atp-Newsletter auf den Punkt:
"Wenn ein Gerätehersteller dieselben Daten seiner Geräte in mehrere für Nutzergruppen optimierte Teilmodelle schreiben muss, entsteht Blindleistung. Der Pflegeaufwand erhöht sich. Wir brauchten keine konkurrierenden Feldbusse, keine 15 Realtime-Ethernet-Dialekte, und wir brauchen auch keine konkurrierenden Teilmodelle für die gleichen Daten."

7. Kaffeemaschinen-Hacking

Ein bisschen leichte Kost zum Schluss: Dan Goodin hat sich die Mühe gemacht, herauszufinden und aufzuschreiben, was man mit einer "smarten" Kaffeemaschine alles anstellen kann.

Kurzzusammenfassung: Viel - aber wenn der Stecker gezogen wird, ist der Spuk vorbei. Kritischer sind die Möglichkeiten, die Maschine äußerlich unveränderlich weiterlaufen zu lassen, aber gleichzeitig als Sprungbrett ins restliche Netzwerk zu nutzen.

8. Keynote in Zusammenarbeit mit Daniel Düsentrieb

Nach zweimaliger COVID-19-Verschiebung freue ich mich, dass mein Vortragspartner Daniel Düsentrieb und ich nun am 16. November die Keynote bei der schwedischen OT-Security-Konferenz "SCADA Säkerhet" halten dürfen. Die Keynote am zweiten Tag hält übrigens Andy Powell, der CISO von Maersk, über Lessons Learned aus dem Maersk/NotPetya-Ransomwareangriff.
Anmeldungen sind hier noch möglich.

Damit wir uns alle schon einmal an das virtuelle Konferenzformat gewöhnen können, findet sich im untenstehenden Link ein kleiner Video-Vorgeschmack auf meinen Vortrag.

Stay secure - und im Lockdown-November auch besonders gesund.
Sarah Fluchs