Tabletop Tuesday

Entenjagd

Entenjagd in der Produktion – Der Feind im USB-Port

Willkommen zu einer neuen, spannenden Ausgabe von "Tabletop Tuesday"!

Das Szenario: Bei einem routinemäßigen Hardware-Tausch werden an kritischen Maschinensteuerungs-PCs unscheinbare USB-Sticks entdeckt. Doch es sind keine Speichersticks. Es sind "Rubber Duckys" – bösartige Werkzeuge, die einen Tastaturangriff simulieren und die Systeme Fernsteuern können.

Dieser Vorfall ist ein Albtraum, denn er bedeutet, dass ein Angreifer physischen Zugang zu Ihren Systemen hatte. Diese Übung testet die Verschmelzung Ihrer physischen Sicherheitsvorkehrungen mit Ihrer IT- und OT-Sicherheit (Operational Technology). Sind Sie bereit für die Jagd auf die "Ente"?

Phase 1: Der überraschende Fund in der Werkshalle

Szenariobeschreibung (Teil 1):

Es ist Mittwoch, ein externer IT-Dienstleister ist im Haus, um im Rahmen eines geplanten Projekts einige ältere Steuerungs-PCs in der Produktionslinie 3 auszutauschen. Beim Abbau des ersten PCs bemerkt der Techniker einen kleinen, unauffälligen USB-Stick, der an einem der hinteren USB-Ports steckt. Er denkt sich nichts dabei, legt ihn beiseite und vermutet ein vergessenes Gerät eines Mitarbeiters. Doch am zweiten und dritten PC findet er baugleiche, ebenso unbeschriftete USB-Sticks. Das kommt ihm seltsam vor. Er unterbricht seine Arbeit und ruft seinen Ansprechpartner in Ihrer internen IT-Abteilung an, um den Fund zu melden.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Erste Reaktion und Meldeprozess:
    • Gibt es eine klare Anweisung für Mitarbeiter und externe Dienstleister, wie mit gefundener oder unbekannter Hardware umzugehen ist?
    • Ist der interne IT-Ansprechpartner die richtige Stelle für eine solche Meldung? Wer wäre die Alternative (z.B. Werkschutz, OT-Verantwortlicher)?
    • Wie reagiert der IT-Mitarbeiter auf den Anruf? Nimmt er die Meldung ernst oder stuft er sie als geringfügig ein?
  • Verantwortlichkeiten vor Ort:
    • Welche Anweisungen erhält der externe Techniker? Soll er die Arbeit fortsetzen? Soll er die gefundenen Geräte sicherstellen? Soll er sie gar testen? (Hoffentlich nicht!)

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Klare Anweisung an den Techniker vor Ort: Arbeit sofort stoppen. Die gefundenen Geräte nicht entfernen, nicht in andere Systeme stecken und niemanden sonst heranlassen. Die betroffenen Bereiche sichern.
  2. Sofortige Information des Leiters der IT-Sicherheit (CISO/ISB) und des zuständigen Betriebsleiters/Werksleiters.
  3. Anforderung von Fotos der Geräte, um eine erste Identifizierung aus der Ferne zu versuchen.

Phase 2: Das ist keine Ente, das ist eine Waffe!

Szenariobeschreibung (Teil 2):

Der IT-Sicherheitsverantwortliche sieht die Fotos und erkennt die Bauform sofort. Es handelt sich mit hoher Wahrscheinlichkeit um "USB Rubber Duckys" oder ein ähnliches "BadUSB"-Gerät. Die Situation eskaliert augenblicklich. Dies ist kein Fall von vergessenen USB-Sticks, sondern ein gezielter physischer Angriff auf die Produktionssteuerung. Es ist unklar, wie lange die Geräte bereits stecken, was sie getan haben und ob noch weitere Geräte im Werk verteilt sind. Ein Krisenstab wird einberufen.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Krisenstab und Eskalation:
    • Wer muss sofort Teil des Krisenstabs sein? (IT-Sicherheit, Werksleitung, OT-Sicherheit, Physische Sicherheit/Werkschutz, Personalabteilung, Rechtsabteilung).
    • Was ist die unmittelbare Risikobewertung? Was ist das Worst-Case-Szenario in einer Produktionsumgebung (Produktionsstillstand, Manipulation von Steuerungsprozessen, Sabotage, Datendiebstahl, Sicherheitsrisiko für Mitarbeiter)?
  • Analyse des Angriffsvektors:
    • Die wichtigste Erkenntnis: Jemand hatte physischen Zugang. Wie ist das möglich?
    • Welche Fragen müssen sofort an die physische Sicherheit und die Werksleitung gestellt werden? (Wer hat Zugang zur Halle? Gibt es lückenlose Protokolle? Videoaufzeichnungen?)
  • Anweisungen für die weitere Untersuchung:
    • Welche Teams werden mit welchen Aufgaben betraut? (Ein IT-Team für die digitale Forensik, ein Team für die physische Suche).

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Formelle Einberufung und Leitung des Krisenstabs.
  2. Entscheidung über eine sofortige, systematische physische Inspektion aller zugänglichen USB-Ports in der gesamten Produktionshalle und potenziell weiteren kritischen Bereichen.
  3. Entscheidung über den Umgang mit den betroffenen Produktionssystemen: Werden sie sofort vom Netz genommen und heruntergefahren (Risiko: Produktionsstillstand) oder lässt man sie für eine Live-Forensik unter Beobachtung weiterlaufen (Risiko: Der Angreifer könnte noch aktiv sein)?
  4. Anweisung an die physische Sicherheit, sofort mit der Auswertung von Zutrittsprotokollen und Videoaufzeichnungen zu beginnen.

Phase 3: Untersuchung des digitalen und physischen Tatorts‍

Szenariobeschreibung (Teil 3):

Die sofortige Durchsuchung der Halle fördert zwei weitere baugleiche Geräte an PCs der Qualitätssicherung zutage. Fünf Geräte insgesamt. Das IT-Forensik-Team beginnt mit der Analyse eines der isolierten Systeme. Gleichzeitig durchforstet der Werkschutz die Videoaufzeichnungen der letzten Wochen. Die Forensik findet auf dem PC verdächtige PowerShell-Skripte, einen neu eingerichteten, versteckten Benutzer-Account und regelmäßige ausgehende Netzwerkverbindungen zu einer unbekannten IP-Adresse. Die Analyse der Videoaufzeichnungen ist mühsam und liefert zunächst keine eindeutigen Ergebnisse.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Digitale Forensik:
    • Was können die gefundenen Spuren über die Absicht des Angreifers verraten? (Datendiebstahl, Aufbau einer dauerhaften Präsenz/Backdoor, Vorbereitung auf einen Ransomware-Angriff).
    • Wie kann der Payload (die auf dem Rubber Ducky gespeicherte Befehlssequenz) ausgelesen werden, ohne ein System zu gefährden?
    • Wurden von den kompromittierten Systemen aus bereits andere Systeme im Netzwerk angegriffen (laterale Bewegung)? Wie kann das überprüft werden?
  • Physische Untersuchung und Insider-Verdacht:
    • Welche Personengruppen kommen als Täter in Frage? (Interne Mitarbeiter, externe Dienstleister, Reinigungspersonal, ehemalige Mitarbeiter).
    • Wie geht die Personalabteilung (HR) mit der Untersuchung um, wenn sich der Verdacht auf einen internen Mitarbeiter verdichtet?
  • Auswirkungen auf die Produktion:
    • Wie lange kann die Produktion ohne die betroffenen Systeme laufen? Gibt es manuelle Alternativen?
    • Welche Kosten und vertraglichen Konsequenzen (Lieferverzug) entstehen durch den Stillstand?
  • Kommunikation:
    • Wer wird intern über den Stand der Dinge informiert? Wie verhindert man Gerüchte und Panik in der Belegschaft?

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Isolation des gesamten betroffenen Netzwerksegments, um eine weitere Ausbreitung zu verhindern.
  2. Systematische Analyse aller fünf kompromittierten Systeme.
  3. Erstellung einer Liste potenzieller Verdächtiger basierend auf den Zutrittsdaten in enger Abstimmung zwischen Werkschutz und HR.
  4. Einleitung der Kommunikation mit der Geschäftsführung über die potenziellen geschäftlichen Auswirkungen.

Phase 4: Physische und digitale Lehren ziehen

Szenariobeschreibung (Teil 4):

Die Forensik ergibt, dass die Rubber Duckys eine Backdoor installiert haben, die regelmäßig Produktionskennzahlen und weitere Daten exfiltriert hat. Die Backdoors werden entfernt, die betroffenen Systeme komplett neu aufgesetzt. Die Untersuchung der Zutrittsdaten in Kombination mit anderen Hinweisen erhärtet den Verdacht gegen einen spezifischen externen Dienstleister.

Diskussionspunkte und Kernfragen für Ihr Team:

  • Technische Härtungsmaßnahmen:
    • Wie kann die Nutzung von nicht autorisierten USB-Geräten technisch unterbunden werden? (Sperrung von USB-Ports per GPO oder Endpoint-Security-Software, Einführung von Port-Kontrollen, die nur genehmigte Geräte zulassen - z.B. anhand der Seriennummer).
    • Wie kann die Ausführung von Skripten wie PowerShell auf Systemen eingeschränkt werden, auf denen sie nicht zwingend benötigt wird (Application Whitelisting)?
    • Wie kann die Überwachung des Netzwerks verbessert werden, um verdächtige ausgehende Verbindungen schneller zu erkennen?
  • Physische Sicherheitsmaßnahmen:
    • Müssen die Richtlinien für den Zugang von Externen zur Produktion verschärft werden? (Begleitpflicht, Verbot von mitgebrachter IT-Ausrüstung).
    • Sollten regelmäßige, stichprobenartige physische Inspektionen der IT-Systeme in der Produktion eingeführt werden?
    • Sollten USB-Ports an kritischen Systemen physisch versiegelt oder blockiert werden?
  • Schulung und Awareness:
    • Wie werden Mitarbeiter (sowohl aus der IT als auch aus der Produktion) und externe Dienstleister dafür sensibilisiert, auf unbekannte Hardware zu achten und diese zu melden?
  • Rechtliche und vertragliche Konsequenzen:
    • Welche rechtlichen Schritte werden gegen den Verursacher eingeleitet?
    • Müssen die Verträge mit externen Dienstleistern um Klauseln zur IT-Sicherheit und Haftung ergänzt werden?

Mögliche Sofortmaßnahmen (Entscheidungen, die im Rahmen der TTX getroffen werden müssen):

  1. Umsetzung eines Maßnahmenkatalogs zur technischen Härtung der Endpunkte in der Produktion.
  2. Überarbeitung und Verschärfung der Richtlinien für physische Sicherheit und den Umgang mit externen Dienstleistern.
  3. Entwicklung und Durchführung einer Awareness-Kampagne, die sich speziell mit physischen Bedrohungen befasst.
  4. Einleitung rechtlicher Schritte in Abstimmung mit der Rechtsabteilung.
  5. Durchführung eines umfassenden "Lessons Learned"-Workshops zur Aufarbeitung des Vorfalls.

Fazit

Der Fund eines Rubber Duckys in der Produktion ist ein Weckruf. Er beweist, dass die aufwändigste digitale Firewall nutzlos ist, wenn ein Angreifer physisch an Ihre Geräte gelangt. Dieses Szenario zwingt Unternehmen, über den Tellerrand der reinen IT-Sicherheit hinauszuschauen und sie als untrennbaren Teil eines Gesamtkonzepts zu begreifen, das physischen Schutz, Zutrittskontrollen, Lieferantenmanagement und die Wachsamkeit aller Mitarbeiter umfasst. Die Sicherheit Ihrer Daten und Prozesse beginnt an Ihrer Eingangstür und am USB-Port Ihrer Maschinen.

Nutzen Sie dieses Szenario, um Ihre eigenen blinden Flecken an der Schnittstelle von digitaler und physischer Welt zu finden. Wissen Sie, was an Ihren Systemen angeschlossen ist?

Wir unterstützen Sie gerne dabei. Ob Awareness-Schulungen, Incident-Response-Pläne oder technische Schutzmaßnahmen – mit unseren Services helfen wir Ihnen, Sicherheitsvorfälle nicht nur besser zu bewältigen, sondern im besten Fall ganz zu vermeiden.

info@byteray.com
+49 89 2000 7683
Hopfenstr. 8, 80335 München
Termin vereinbaren
Services
Managed SOCManaged ServicesProfessional ServicesIncident Response
Beratung
StrategieberatungVirtual CISONIS 2 WorkshopThreat Intelligence
Unternehmen
Über unsDatenschutzImpressumAGB
© 2025 ByteRay GmbH. All Rights Reserved.