GlobalSign Blog

09 Jul 2019

Triton-Malware: Wie Sie Netzwerk und Systeme schützen können

Schadsoftware gibt seit den Anfängen des Internets. Hacker finden immer wieder neue Wege, um Anwendungen, Websites und Netzwerke auszunutzen und mit Viren zu infizieren. Jedes kompromittierte Gerät ist eine Gefahr für den Benutzer, aber auch für das gesamte Unternehmen.

An Malware denkt man normalerweise im Kontext von Cyberangriffen, bei denen es darum geht persönliche Informationen abzuziehen oder Websites lahmzulegen. Mittlerweile verfügen aber Unmengen neuer Geräte über eine Internetverbindung. Das öffnet auch physischen Bedrohungen Tür und Tor. Eine als Triton bekannte Malware richtet sich gegen industrielle Kontrollsysteme und kann schwerste Störungen verursachen, die schlimmstenfalls zur Katastrophe führen.

Dieser Beitrag beschäftigt sich mit der Entwicklung des weltweiten Internet der Dinge (Internet of Things, IoT) und den potenziellen Auswirkungen der Triton-Malware.

Neue Infrastruktur in der Industrie

Die IoT-Bewegung hat für eine wachsende Zahl von Geräten und Appliances Internetkonnektivität gebracht. Vorbei sind die Zeiten, in denen man sich zuhause  oder im Büro mühsam über ein DFÜ-Modem einwählen musste, das gerade Mal einen einzelnen Desktop Computer oder Laptop unterstützt hat. Dank des allgemein zugänglichen WLANs können sich jetzt Dutzende von Geräten kontinuierlich mit demselben Netzwerk verbinden.

Zu den am häufigsten verwendeten IoT-Geräten beim Endverbraucher zählen beispielsweise intelligente Lautsprecher, die Sprachbefehle entgegen nehmen und bestimmte Aktionen ausführen können. Intelligente Glühbirnen, Überwachungskameras, Thermostate und sogar Kaffeemaschinen lassen sich über eine Smartphone-App steuern. Die grundlegende Idee dahinter: herkömmliche Geräte durch eine Internetverbindung flexibler und benutzerfreundlicher zu machen. Die Sicherheit gerade im heimischen Netzwerk wird dadurch allerdings noch etwas komplexer als sie es ohnehin schon ist.

Mittlerweile hat das IoT längst gravierende Auswirkungen auf die gesamte Wirtschaft, insbesondere in der Fertigung. Unternehmen setzen beispielsweise für jeden Schritt im Produktionszyklus intelligente Sensoren ein, um Leistung und Sicherheitsniveau zu überwachen. Die gesammelten Informationen werden in leistungsstarke Analysesysteme eingespeist um daraus Erkenntnisse im Sinne der Business Intelligence zu gewinnen.

Und dann kam Triton

Die erste Variante der Triton-Malware wurde 2017 in einer Chemiefabrik in Saudi-Arabien entdeckt. Experten für Cybersicherheit stellten fest, dass eine Gruppe von Hackern eine Software in das lokale Netzwerk des Werks eingeschleust hatte. Sie erlaubte einen umfassenden Zugriff auf interne Sicherheitssysteme. Dazu gehörten auch spezielle Sensoren, die sogenannte „gefährliche Zustände“ erkennen und im Notfall kontrollierte Abschaltvorgänge in Gang setzen.

Da es ihnen gelungen war die Sicherheitssysteme zu kompromittieren, konnten Hacker selbige von entfernten Standorten aus über das Internet steuern. Im schlimmsten Fall hätten die Angreifer die Sensoren deaktivieren oder falsche Daten einspeisen können, um eine lebensbedrohliche Katastrophe auszulösen. Glücklicherweise wurde die Malware entdeckt, bevor ein weiterer Angriff ausgeführt werden konnte. Seit dieser ersten Entdeckung arbeitet ein Team von Top-Cybersicherheitsexperten an einem Reverse Engineering der Triton-Malware, also einer Rekonstruktion hinsichtlich Struktur, Verhaltensweisen, Komponenten etc.

Währenddessen ist Triton aber weiterhin eine Bedrohung. In den Netzwerken anderer Industriebetriebe sind neue Formen der Malware aufgetaucht. Experten gehen davon aus, dass viele Unternehmen deshalb gar nicht bemerken, dass sie infiziert sind. Fehlfunktionen werden dann als simple Fehler betrachtet, der im Hintergrund ablaufende Prozess in seiner Tragweite nicht erkannt.

Triton und das Internet der Dinge

Jedes neue IoT-Gerät in einem Heim- oder Büronetzwerk stellt potenziell eine neue Schwachstelle für das lokale Netzwerk dar, dem es angehört. Tatsächlich bergen intelligente Geräte aufgrund des vereinfachten Betriebssystems, auf das sie zur Ausführung ihrer Grundfunktionen angewiesen sind, oft ein höheres Risiko.

Hacker suchen immer nach dem effizientesten Weg ein Netzwerk zu infiltrieren. Selbst wenn das endgültige Ziel darin besteht, einen Back-End-Server lahmzulegen, wird der Angriff wahrscheinlich über ein anderes Gerät lanciert. Komplexe Netzwerke und immer mehr IoT-fähige Geräte sorgen nicht unbedingt für mehr Sicherheit.

Regierungen haben inzwischen erkannt wie hoch die Sicherheitsrisiken und die potenziellen Gefahren sind, die von einer Malware wie Triton ausgehen. Hersteller smarter Geräte werden sich schon in sehr naher Zukunft mit strengeren Standards hinsichtlich ihrer Produkte und der genutzten Software auseinandersetzen müssen.

Wie sich besonders betroffene Branchen besser schützen können

Angesichts der involvierten Systeme, Netze und Werte sollten Industrieunternehmen bei der Verteidigung gegen Triton und ähnliche Malware möglichst proaktiv vorgehen. Neuartige Firewalls und Intrusion Detection-Systeme nutzen inzwischen Algorithmen, die auf künstlicher Intelligenz basieren, um anstehende Bedrohungen zu erkennen und zu blockieren. Aber auch solche Systeme sind nicht narrensicher.

Ein Großteil jeder Cybersicherheitsstrategie sollte in der Schulung der Mitarbeiter bestehen. Sie müssen wissen, auf was genau sie achten und wonach sie suchen müssen. Eine simple Taktik besteht beispielsweise darin, zwingend ein Virtual Private Network (VPN) zu verwenden.

Einige Sicherheitsexperten empfehlen sogar, einen persönlichen VPN-Serviceplan nicht nur für die Mitarbeiter bereitzustellen, die remote arbeiten, sondern für sämtliche Beschäftigte. Diesen müssen sie für ausnahmslos jeden Zugriff auf das Internet verwenden.

Für den Fall, dass ein Angriff erfolgreich ist, sollte das Unternehmen über einen Disaster Recovery-Plan verfügen. Bei einer Malware wie Triton ist es wichtig, alle betroffenen IoT-Geräte so schnell wie möglich herunterzufahren und die Netzwerkadapter zu deaktivieren. Auf diese Weise verhindert man, dass sich der Virus weiter im Netzwerk verbreitet oder kritische Sicherheitssysteme erreicht.

Fazit

Computerviren können Menschenleben gefährden, dafür ist Triton ein Beispiel. Wenn IoT-Geräte kompromittiert werden, stellen sie ein erhebliches Sicherheitsrisiko dar. Hacker mit kriminellen Absichten, denen es gelingt ein Netzwerk zu infiltrieren lösen unter Umständen eine Kettenreaktion aus, die zu einer Katastrophe führen kann.

Die Verantwortung, solche Angriffe zu verhindern ist auf mehrere Schultern verteilt. Der Hersteller sollte intelligente Geräte mit gehärteten Sicherheitsprotokollen ausstatten. Nutzer sollten ihre Netzwerkumgebung entsprechend schützen. Und schließlich sollten die Regierungsverantwortlichen dafür sorgen, dass alle Unternehmen innerhalb angemessener Standards operieren, die die Sicherheit von Menschen und Umwelt gewährleisten.

Weitere Ressourcen:

https://www.globalsign.com/de-de/blog/iot-sicherheit-beginnt-mit-identitaet/

https://www.globalsign.com/de-de/blog/fuenf-haeufige-cyber-attacken-iot/

https://www.globalsign.com/de-de/blog/wege-zur-verbesserung-von-datensicherheit/

Über den Autor

Sam Bocetta ist freiberuflicher Journalist mit Schwerpunkt US Diplomatie und nationale Sicherheit. Besonders interessieren ihn die Technologietrends in Cyber-Kriegsführung, Cyber-Abwehr und Kryptografie.

Artikel teilen

5 häufige Cyber-Attacken im IoT – Bedrohungen im großen Stil

5 Wege zur Verbesserung der Datensicherheit