Angriffe auf die cyber-physischen Systeme (CPS) von Unternehmen sind langwierig und kostenintensiv: Bei mehr als einem Viertel (27 %) der Unternehmen weltweit belaufen sich die finanziellen Auswirkungen von Cyberangriffen auf CPS auf 1 Million US-Dollar oder mehr, in Deutschland sogar bei 37 Prozent der Befragten.
Auch die Ausfallzeiten liegen in Deutschland mit mehr als 7 Tagen bei 20 Prozent der Betroffenen höher als im internationalen Vergleich (9 % mit Ausfallzeiten von über einer Woche). Zu diesen Ergebnissen kommt der neue Report The Global State of CPS Security 2024: Business Impact of Disruptions“ von Claroty. Für diesen wurden weltweit 1.100 Fachleute aus den Bereichen Informationssicherheit, OT-Engineering, (bio-) medizinische Technik sowie Facility Management und Anlagenbetrieb befragt.
Zahlungen zur Wiederherstellung
Bei den Wiederherstellungskosten spielt Ransomware weiterhin eine große Rolle: Mehr als die Hälfte der Befragten weltweit (53 %) hat Lösegeldforderungen von mehr als 500.000 US-Dollar erfüllt, um den Zugang zu verschlüsselten Systemen und Dateien wiederherzustellen und so den Betrieb wieder aufnehmen zu können. In Deutschland gibt es bei den Lösegeldzahlungen eine große Schere: während ein Drittel der Opfer Lösegelder von unter 100.000 US-Dollar gezahlt hat, beliefen sich die erfüllten Forderungen bei einem weiteren Drittel auf über 5 Millionen US-Dollar.
Ausfallzeiten relevant
Eng verbunden mit den finanziellen Schäden sind die Auswirkungen auf den Betrieb: Ein Drittel (33 %), in Deutschland sogar knapp die Hälfte (47 %) berichtet von einem ganzen Tag oder mehr Ausfallzeit, die die Produktion von Waren oder Dienstleistungen beeinträchtigte.
Etwa die Hälfte (49 %) gab zudem an, dass der Wiederherstellungsprozess eine Woche oder länger dauerte, und fast ein Drittel (29 %) sagte, dass die Wiederherstellung mehr als einen Monat dauerte.
Dieser ohnehin schon lange und kostspielige Zeitraum ist in Deutschland noch größer: Hier gaben zwei Drittel (67 %) der Befragten eine Ausfalldauer von mehr als einer Woche an. Bei 33 Prozent dauerte die Recovery zwischen zwei und drei Monate, bei 17 Prozent sogar noch länger. Dies ist besonders bemerkenswert, wenn man bedenkt, dass in CPS-Umgebungen, wie z. B. in Fertigungsbetrieben, die Verfügbarkeit und Betriebszeit kritischer Systeme von größter Bedeutung sind.
Angriffsvektoren über Dritte
Bei den Angriffsvektoren spielen Drittanbieter und Fernzugriff eine entscheidende Rolle. 82 Prozent der Befragten gaben an, dass mindestens ein Cyberangriff auf den Zugriff von Drittanbietern und Partnern auf die CPS-Umgebung zurückzuführen waren. Bei fast der Hälfte (45 %) liefen sogar fünf oder mehr Angriffe in den letzten 12 Monaten auf diese Weise ab. In Deutschland verzeichneten 37 Prozent der Unternehmen sogar mehr als 10 Angriffe über Drittanbieter- und Partnerzugänge.
Daraus resultierte bei 30 Prozent der Befragten die Beendigung der entsprechenden Partnerbeziehung, was wiederum zu hohen Folgekosten geführt hat. Und dennoch räumen fast zwei Drittel weltweit (63 %) und gut drei Viertel in Deutschland (77 %) ein, dass sie die Konnektivität von Drittanbietern zur CPS-Umgebung nur teilweise oder gar nicht nachvollziehen können.
Die Ergebnisse zeigen, dass die letzten 12 Monate für die meisten Unternehmen mit cyber-physischen Systemen sowohl disruptiv als auch kostspielig waren. Gleichzeitig gaben die Befragten aber auch ein wachsendes Vertrauen und Verbesserungen in die Risikominderungsmaßnahmen ihrer Unternehmen an.
Eine Mehrheit (56 %) hat heute mehr Vertrauen in die Fähigkeit des CPS ihres Unternehmens, Cyberangriffe abzuwehren, als noch vor 12 Monaten. Fast drei Viertel (72 %) erwarten zudem in den nächsten 12 Monaten messbare Verbesserungen ihrer CPS-Sicherheit.
„Angriffe auf cyber-physische Systeme beeinträchtigen die Betriebsabläufe von Unternehmen und erfordern deutliche Investitionen in die Cybersecurity“, sagt Grant Geyer, Chief Strategy Officer bei Claroty. „Wir sehen, dass Unternehmen mehr und mehr ihre Denkweise ändern und von einem reaktiven Prozess zu einem proaktiven zu kommen. Sie betrachten Cybersecurity immer häufiger als Kernaufgabe. Die Ergebnisse dieses Berichts bestätigen, dass ein Verzicht auf Investitionen in die einzigartige Herausforderung des Schutzes von CPS den Gewinn eines Unternehmens ernsthaft beeinträchtigen kann. Glücklicherweise erkennen Unternehmen allmählich, dass sich diese Investitionen lohnen.“
– Ransomware müsste man komplett verhindern können, wenn man den Benutzern die Löschrechte mit NTFS-Sicherheitseinstellungen entzieht.
verbieten:
„Unterordner und Dateien löschen“
„Löschen“
Ransomware kann dann zwar neue verschlüsselte Dateien schreiben, aber die originalen unverschlüsselten Dateien nicht löschen.
Eventuell kollidiert das aber mit dem automatischen temporären Datei-Backup von Word, weil Word dann die alten Backups nicht löschen kann.
– Wenn Applocker aktiv ist, dann kann die Ransomware nicht gestartet werden, weil der Benutzer keine Ausführungsberechtigung hat für die Ordner, in die er reinschreiben darf und in die Ordner, für die es eine Ausführungsberechtigung gibt, da kann sich die Ransomware nicht reinschreiben, weil der Benutzer dort auch keine Schreibberechtigung hat.
Man kann auch direkt in den NTFS-Sicherheitseinstellungen „Dateien ausführen“ für Benutzer und spezifische Ordner verbieten. Wenn man das für die Temp- und die persönlichen Ordner der Benutzer macht, dann kann der Benutzer nichts mehr kaputt machen.
Dann hat man ein unmutable System.
– Bleibt noch der dateilose Angriff übrig, wo der Schädling sich nicht im Dateisystem, sondern nur im RAM befindet.
Inmutable Windows… einmal laut Lachen!
Es gibt seit Windows XP SRPs…. per GPO einfach zu deployem… dann kann man sich auch die Lagen an Schlangenöl sparen…
kennt nur keiner der Wald-Wiesen-Windows Admins… und die Helden aus diversen Systemhäusern auch nicht. Und wenn, dann machen die das nicht, weil es ja extra Arbeit und sie viel lieber die Lagen an Schlangenöl verkaufen wollen…
SRP oder Applocker alleine ohne Entzug von Schreibrechten im Dateisystem reicht aber nicht, weil man den Schutz durch Mock-Ordner umgehen kann.
Falls man „Standardregeln erstellen“ ausgewählt hatte, dann sind der Windows- und die Programme- Ordner erlaubt.
Zur Umgehung des Schutzes erzeugt man einen neuen Windows- oder Programm-Ordner und ergänzt den um ein Space am Ende, also „Windows “ oder „Program Files “ oder „Program Files (x86) „.
Im Explorer, für SRP und für Applocker sieht es dann so aus, als ob es ein normaler und für Ausführung erlaubter Ordner des Betriebssystems wäre. Das ist ein Bug im Windows. Der Benutzer hat dort aber Schreibrechte und SRP und Applocker werden dadurch umgangen.
Deswegen muss man zusätzlich allen authentifizierten Benutzern inkl. des Admins die Berechtigung zur Ordner-Erstellung auf C entziehen, damit keine neuen Mock-Ordner erzeugt werden können, die wie Windows- oder Programme-Ordner aussehen.
Wenn man im Applocker keine „Standardregeln erstellen“ auswählt, dann müsste man jeden einzelnen Programm-Ordner extra freischalten oder sogar jede einzelne DLL extra per Dateihash freischalten, was ein Riesenaufwand wäre und nach jedem Windows-Update erneut gehasht werden müsste.
Kann man machen und ist besser als die „Standardregeln“, aber eben auch deutlich mehr Arbeit.
Bei Windows 7 muss man außerdem auch noch einige Unterordner innerhalb von „Windows“ und „Programme“ blockieren, weil dort erstaunlicherweise normale Benutzer Schreibrechte haben, was ein Fehler von Windows ist. Um diese Ordner herauszufinden hat Stefan Kanthak eine Dummy.cmd geschrieben.
Bei Windows 10 hat Microsoft dieses Problem der beschreibbaren Unterordner innerhalb von Windows und Programme behoben, allerdings nicht das Problem der Mock-Ordner direkt auf C.
Aber auch absolut korrekt eingerichtete SRP und Applocker schützen nur gegen im Dateisystem gespeicherte Schädlinge, aber nicht, wenn der Schädling ausschließlich im RAM erzeugt und gestartet wird.
In diesem Fall könnte ein Virenscanner eventuell doch helfen, denn eine SRP-ähnliche Funktion für das RAM ist mir nicht bekannt.
> Bei Windows 7 muss man außerdem auch noch einige Unterordner innerhalb von „Windows“ und „Programme“ blockieren,
Das gilt für jedes Windows. Deswegen habe ich im nachfolgenden Post auf Schneegans und Stefan Kanthak verwiesen, das haben IMHO die beste Übersicht zum nachlesen.
> Deswegen muss man (..) Benutzern (…) die Berechtigung zur Ordner-Erstellung auf C entziehen..
> Zur Umgehung des Schutzes …
Das gehört zur Standard-Härtung eines jeden Windows und ist in einer Zeile abgefrühstückt. Muss ich das jetzt extra erwähnen? Thema ist SRP.
> Wenn man im Applocker…
Alles chön und gut, aber ich rede nicht von Applocker sondern SRP. Bleib doch bitte beim Thema und betreibe kein Gish-Galopping.
> Aber auch absolut korrekt eingerichtete SRP und Applocker schützen nur gegen im Dateisystem gespeicherte Schädlinge, aber nicht, wenn der Schädling ausschließlich im RAM erzeugt und gestartet wird.
Das ist als Falschaussage zu werten.
Erstens scheitert es am „im RAM erzeugen“. Mit was nochmal? Ach ja mit Programmen, die erst noch installiert und ausgeführt werden müssen.
Zweitens ist es klar, dass SRP nicht alleine „die Wunderwaffe“ darstellt. Es hilft 95% von allem Müll schonmal fern zuhalten ist aber selbstverständlich immer nur so gut, wie es mit anderen Sicherheitsmaßnhamen und Härtungen in der Tiefe umgeben ist. Eine weitere IMHO sehr wichtige ist das offline Setzen des kompletten ADs. Mehr dazu hier:
https://blog.jakobs.systems/blog/20240506-service-tips-windows/
„Erstens scheitert es am „im RAM erzeugen“. Mit was nochmal?“
Zum Beispiel durch Lücken in:
– Browser
– Bild-Viewer
– PDF-Viewer
– Video-Player
– Grafik-Treiber
Mit solchen Beispielen kommt man bei Marketing Gläubigen nicht durch, auch wenn sie bei Technik Affinen Tagesgeschäft sind…
Zitat:
„Alles chön und gut, aber ich rede nicht von Applocker sondern SRP. Bleib doch bitte beim Thema und betreibe kein Gish-Galopping.“
###
Applocker ist auch SRP, nämlich SRPv2, also die zweite Version von SRP.
Was man im Gruppenrichtlinieneditor einstellt unter…
Computerkonfiguration -> Windows Einstellungen ->Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> Applocker
…landet dort in der Registry:
HKLM\\Software\\Policies\\Microsoft\\Windows\\SRPv2
Applocker und SRP ist also das selbe Thema, der Pfad in der Registry weicht leicht ab („SRPv2“ statt „safer“) und der Pfad im Gruppenrichtlinieneditor heißt „Anwendungssteuerungsrichtlinien“ statt „Richtlinien für Softwareeinschränkungen“.
Applocker auf Windows 7 gibt es nicht für Home oder Pro, sondern nur für Ultimate und Enterprise.
Applocker auch für Home und Pro gibt es ab Windows 10 Version 2004 mit KB5024351.
learn . microsoft . com/de-de/windows/security/application-security/application-control/app-control-for-business/applocker/requirements-to-use-applocker
Weil SRP deprecated ist und ab Win11 22H2 nicht mehr funktioniert, sollte man statt dessen unbedingt Applocker oder WDAC benutzen.
Dann müsste man aber dem User auch die Edit Rechte nehmen, ansonsten wird dann von der Ransomware einfach nicht die Datei sondern der Inhalt gelöscht.
Der User müsste dann für jede Bearbeitung ein neues File anlegen. Wie unübersichtlich das Arbeiten dann wird, möchte ich mir nicht vorstellen. Abgesehen davon welchen Speicherplatz das frisst…
Die weitere Lösung mit dem Sperren der Ausführung – müsste man sich dann pro individuellen Mitarbeiter und Tätigkeit ansehen. Bei manchen wird das klappen, bei allen jedoch nicht. Je nach Unternehmen könnte das eine Lösung für viele sein, oder auch nur wenige. Frust bringt es jedenfalls sicher bei denen, die dadurch in der Arbeit eingeschränkt werden, ist aber zumindest ein realistischer Ansatz.
Wenn z.B. ein Softwareentwickler nicht sein kompiliertes Programm starten kann, dann kann er den Code gleich auf Papier schreiben. D.h. überall funktioniert so etwas nicht.
Oh noch jemand, der keine SRPs kennt.
1) Software gehört in eines der Programme-Verzzeichnisse installiert, wo kein User irgendwelche Edit Rechte hat.
2) Speicher frisst?? What? Du hast wirklich keine Ahnung, was SRPs sind und wie Windows (Logo) Software funktioniert. Lies Dir mal die Blogs von Schneegans oder Stefan Kanthak durch, liest hier im Blog auch mit.
3) Ein Deployment mit SRP muß geplant, Software einmal getestet und richtig ausgerollt bzw. Sünden der Vergangenheit dabei behoben werden Das macht man nicht nebenher. Aber wenn man es einmal hat, wird alles andere einfacher.
4) Software-Entwickler brauchen bei dem heutigen Windows Dev Müll und Ihrer Art zu programmieren meist lokale Rechte und gehören folglich
a) nicht ins AD und
b) mit Ihrer Umgebung aus dem operativen Teil eines jeden Unternehmens isoliert
Unter Windows 7 hat auch ein Standardbenutzer in bestimmten Unterordnern des Betriebssystems Schreibrechte.
Siehe die Dummy.cmd von Stefan Kanthak.
Bei Windows 10 wurde dieses Problem von Microsoft entschärft oder behoben.
Man muss jeden einzelnen Unterordner abklappern und versuchen, dort als Standardbenutzer reinzuschreiben. Falls das bei einem Unterordner funktioniert hat man trotz SRP und Applocker eine Lücke im System.
Falls ein Benutzer einen Ordner „Windows “ (mit Space) erzeugt, dann hat er dort Schreibrechte, aber für Windows (OS) sieht es wie ein erlaubter System-Ordner aus. Der Angreifer darf dort alles und SRP oder Applocker verhindern das nicht.
Deswegen muss man zusätzlich verhindern, dass auf C solche Spezialordner (Mock) erzeugt werden können, indem man die Schreibrechte im NTFS Dateisystem einschränkt.
Zu 3.:
Erlaubst du die Windows-DLLs per Dateihash oder per Ordnerfreigabe?
Falls per Hash, dann muss man nach jedem Windows-Update erneut alles hashen, was ein ziemlicher Aufwand ist und dann hast du auch tausende SRP-Regeln, die Windows jedes Mal abarbeiten muss, wenn eine Datei benutzt wird.
zu den ersten Punkten siehe meine vorherige Antwort.
zu 3)
> tausende SRP-Regeln, die Windows jedes Mal abarbeiten muss
Das ist Blödsinn, die SRP Regeln sind wenn richtig implementiert, übersichtlich. Und auf Servern muss in der Regel nichts manuell „abarbeitet“ werden. Wenn Du Dich auf einen Server anmelden musst, um was „abzuarbeiten“, dann stimmt was mit Deiner Automatisierung nicht. Wenn Du Dich auf einen Server anmelden musst, um was nachzuschauen, dann ist Dein Monitoring kaputt.
Am Server etwas „abarbeiten“ oder „nachschauen“ ist für mich eine Heurisitk für kaputte Netze und fehlendes Know-How. Ein Admin hat im Idealfall nichts „auf einem Server“ zu suchen.
– Ich hatte doch gar nichts von „Server“ oder „auf Server abarbeiten“ geschrieben.
Bezug?
– Du benutzt also keine Dateihashes für jede einzelne DLL, sondern Ordnerfreigabe?
Dann hat man deutlich weniger SRP-Regeln.
– SRP gilt als deprecated seit 2020, seit Windows 10 build 1803, seit Windows Server 2019. Statt dessen Applocker.
– SRP wird ab Windows 11 22H2 nicht mehr unterstützt. Statt dessen wird „Windows Defender Application Control“ (WDAC) von Microsoft bevorzugt.
Ab spätestens Windows 11 Version 22H2 musst du dich also von SRP verabschieden, weil es nicht mehr zuverlässig funktioniert.
www . borncity . com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
– Ransomware müsste man komplett verhindern können, wenn man den Benutzern die Löschrechte mit NTFS-Sicherheitseinstellungen entzieht.
Und müllt sich damit sein System total zu, das ist in der Praxis nicht ansatzweise umsetzbar.
– Ransomware müsste man komplett verhindern können, wenn man den Benutzern die Löschrechte mit NTFS-Sicherheitseinstellungen entzieht.
Nein, das funktioniert nicht, denn Ransomware löscht die Dateien nicht, sondern überschreibt sie.
Und NTFS-Rechte sind kein wirklich großes Hindernis, wenn man den NTFS-Treiber durch eine manipulierte Version ersetzt.
Dann werden die NTFS-Rechte schlicht ignoriert (ist z.B. bei vielen Fremdsystemen, das einen NTFS-Treiber mitbringt, so. Die scheren sich nicht um NTFS-Rechte.).
Der beste Schutz gegen Ransomware ist, die gar nicht erst aufs System zu lassen und eine häufige Datensicherung auf ein Offline-Backupmedium.
FTFY: „Jeder dritte erfolgreiche Cyberangriff in Deutschland kostet mehr als 1 Million US-Dollar“
Wieso eigentlich DOLLAR? Soweit ich weiß wird hier noch mit TEURONEN gezahlt?!?
weil das kein deutsche/europäische Studie ist? Und da wird im allgemeinen in Dollar jongliert.
Aber Schäden in DE werden gemeinhin in € angegeben, die Überschrift müsste also eigentlich sogar „Jeder dritte erfolgreiche Cyberangriff in Deutschland kostet mehr als 924.959 €“ heissen 😉
Was mich jedoch Wunder nimmt, ist dass Hr. Born das „beste Deutschland aller Zeiten“ (BuPrä Steinmeier) für so durchschnittlich hält, dass er den Wert für „Welt“ einfach für DE übernimmt. 😲
Schaue ich mir die Dollar-Preise und die Euro-Pendants an, herrscht oft Parität. Der Eine wird beim Schaden über der Million liegen, der Andere vielleicht deutlich drunter. Als Richtwert ist die Million schon passend. Also, wo ist das Problem.
2024 Direktlink PDF State of CPS Security Business Impact of Disruptions
2023 Direktlink PDF State of CPS Security Report Healthcare
Die Realität ist leider erheblich komplexer als viele hier glauben.
Es wird an vielen Stellen notgedrungen veraltete Software eingesetzt, die dann nur mit WinXP oder Win7 läuft. Damit hat man einen hervorragenden Angriffsvektor.
Auch ein 2. Faktor lässt sich abfangen. Die Lücke sitzt im Normalfall vorm Bildschirm und versteht gar nicht, warum die nervige App auf dem Handy jetzt sein muss.
Das ziel ist die Übernahme der Domäne, damit kann man am meisten Schaden anrichten.
P.S. Ich hatte schon mit einer Hackergruppe zu tun.
Alte Software ist nicht per se unsicher.
Eine C&C Maschine mit Windows NT/XP ist selten ein Problem, denn auf der wird kein Web Browser , ,kein Mail nix betrieben, und wenn Netzwerk kann man das gut isolieren.
Schlimm sind veraltete Mitarbeiter Arbeitsplätze, und unklare Policies für Admin Rechte .
Es ist nur ein Problem für „alles muss mit der Cloud vernetzt sein“ Leute…