Hinter dem Einbruch: Analyse von kritischen ICS/OT-Cyberattacken 

Stuxnet wurde 2010 entdeckt und ist einer der bekanntesten und ausgefeiltesten Cyberangriffe auf ICS. Er zielte speziell auf die iranische Atomanlage Natanz ab, nutzte Zero-Day-Schwachstellen und verbreitete sich über infizierte USB Laufwerke. 

• Bösartige USB Geräte: Die Malware wurde über infizierte USB Laufwerke in die Anlage eingeschleust. Von dort aus verbreitete sie sich auf die Siemens Step7-Software, die zur Programmierung industrieller Steuerungssysteme verwendet wird. 
• Ausbreitung: Stuxnet nutzte mehrere Zero-Day-Schwachstellen aus und verwendete ein Rootkit, um seine Präsenz auf den infizierten Systemen zu verbergen. Es zielte auf Siemens-SPS (Speicherprogrammierbare Steuerungen) ab, um die Geschwindigkeit von Zentrifugen zu verändern, so dass diese nicht mehr richtig funktionieren und physisch abgebaut werden. 

Die Angriffe auf das ukrainische Stromnetz im Dezember 2015 und Dezember 2016 sind bemerkenswerte Beispiele für cyber-physische Angriffe. Bei diesen Vorfällen setzten APT-Gruppen (Advanced Persistent Threats) ausgeklügelte Methoden ein, um die Stromversorgung zu stören. 

• Spear-Phishing-E-Mails: Die Angreifer schickten Spear-Phishing-E-Mails an Mitarbeiter der ukrainischen Stromversorger. Diese E-Mails enthielten bösartige Anhänge, die beim Öffnen BlackEnergy-Malware auf den Zielsystemen installierten. 
• IT Kompromittierung des Netzwerks: Nach dem Eindringen in das Netzwerk IT verschafften sich die Angreifer mit gestohlenen Zugangsdaten Zugang zu den SCADA-Systemen (Supervisory Control and Data Acquisition), die das Stromnetz steuern. 
• Manuelle Störung: Die Angreifer betätigten die Unterbrecher manuell und verursachten so Stromausfälle in mehreren Regionen. 

Die TRITON-Malware, auch bekannt als TRISIS, zielte 2017 auf die SIS (Safety Instrumented Systems) einer petrochemischen Anlage in Saudi-Arabien ab. Diese Malware wurde entwickelt, um SIS-Steuerungen zu manipulieren, die für den sicheren Betrieb von Industrieprozessen entscheidend sind.

• Kompromittierte technische Workstation: Die Angreifer verschafften sich Zugang zu einer technischen Workstation, die über ein VPN mit dem SIS verbunden war. 
• Installation der Schadsoftware: Die Schadsoftware wurde auf den SIS-Steuerungen von Triconex installiert und versuchte, diese umzuprogrammieren, um die Anlage abzuschalten oder physische Schäden zu verursachen. 

Im Mai 2021 wurde die Colonial Pipeline, eine wichtige Kraftstoffpipeline in den Vereinigten Staaten, von einem Ransomware-Angriff betroffen, der der DarkSide-Ransomware-Gruppe zugeschrieben wird. Durch diesen Angriff wurde die Treibstoffversorgung im Osten der Vereinigten Staaten unterbrochen. 

• Kompromittiertes VPN-Konto: Die Angreifer griffen auf das Netzwerk über ein kompromittiertes VPN-Konto zu, das nicht mehr verwendet wurde, aber noch aktiv war. 
• Einsatz von Ransomware: Nach dem Eindringen verschlüsselte die Ransomware die Daten im Netzwerk und störte den Pipeline-Betrieb. 

Im Jahr 2014 wurde ein deutsches Stahlwerk durch einen Cyberangriff, der die Kontrollsysteme des Werks störte, erheblich geschädigt. Die Angreifer verschafften sich mit Spear-Phishing-E-Mails Zugang zum Büronetzwerk des Werks und drangen dann in das Produktionsnetzwerk ein. 

• Spear-Phishing-E-Mails: Die Angreifer schickten Spear-Phishing-E-Mails an Mitarbeiter, die zur Installation von Malware im Büronetzwerk führten. 
• IT Netzwerkkompromittierung: Die Angreifer bewegten sich seitlich vom Büronetzwerk zum Produktionsnetzwerk. 
• Manipulation des Kontrollsystems: Sobald sie in das Produktionsnetzwerk eingedrungen waren, verschafften sich die Angreifer Zugang zu den Kontrollsystemen und verursachten massive Schäden an einem Hochofen. 

Die häufigsten Angriffsvektoren bei diesen bemerkenswerten Vorfällen beruhen auf menschlichem Versagen, z. B. wenn man auf Phishing-E-Mails hereinfällt oder Fernzugriffstools ungesichert lässt. Physische Medien wie infizierte USB Laufwerke und kompromittierte VPN-Konten spielen ebenfalls eine wichtige Rolle bei diesen Verstößen. Diese Angriffspunkte machen deutlich, wie wichtig die Implementierung einer umfassenden Cybersicherheitsplattform ist, die vor einer Vielzahl von Bedrohungen schützt. Darüber hinaus unterstreicht die Rolle menschlicher Faktoren bei diesen Angriffen die Notwendigkeit einer kontinuierlichen Aus- und Weiterbildung der Mitarbeiter, damit sie potenzielle Cyber-Bedrohungen erkennen und effektiv darauf reagieren können. Durch die Kombination fortschrittlicher technologischer Lösungen mit robusten Programmen zur Personalentwicklung können Unternehmen ihre Widerstandsfähigkeit gegenüber der sich ständig weiterentwickelnden Landschaft von Cyber-Bedrohungen, die auf ICS/OT-Umgebungen abzielen, verbessern.