G 0.47 — Schädliche Seiteneffekte IT-gestützter Angriffe

Ein Angreifer übernimmt einen schlecht gesicherten Smart-TV in der Lobby eines Unternehmens. Das Gerät selbst enthält keine sensiblen Daten, und sein Ausfall wäre geschäftlich irrelevant. Doch der Smart-TV hängt im selben WLAN-Segment wie die VoIP-Telefonanlage und drei Netzwerkdrucker mit Scan-to-Mail-Funktion. Über den kompromittierten Fernseher bewegt sich der Angreifer ins interne Netz und verschafft sich Zugang zu Vertragsdokumenten, die auf dem Drucker zwischengespeichert sind.

Schädliche Seiteneffekte IT-gestützter Angriffe gehören zu den am häufigsten unterschätzten Gefährdungen. Das BSI führt sie als elementare Gefährdung G 0.47. Die zentrale Erkenntnis: In vernetzten Infrastrukturen ist das Schadensausmass eines Angriffs kaum vorhersagbar, weil Abhängigkeiten zwischen Systemen selten vollständig dokumentiert sind.

Was steckt dahinter?

IT-gestützte Angriffe können Auswirkungen haben, die über das eigentliche Ziel weit hinausgehen. Diese Seiteneffekte treten in drei Varianten auf:

Kaskadeneffekte

Angreifer verstehen die Infrastruktur ihres Ziels häufig nicht vollständig. Ein Ransomware-Angriff, der auf Finanzdaten zielt, kann durch Kettenreaktionen Produktionssteuerungen, Gebäudetechnik oder medizinische Geräte erreichen. Die Täter hätten das vielleicht nie beabsichtigt — der Schaden entsteht trotzdem.

Systeme mit geringem eigenem Schutzbedarf können als Sprungbrett für Angriffe auf kritischere Ziele dienen. IoT-Geräte, Drucker, ältere Testserver oder vergessene Entwicklungsumgebungen — all diese Systeme bieten potenziell eine Angriffsfläche, über die sich ein Angreifer in wertvollere Netzwerksegmente vorarbeiten kann.

Die Konsequenz: Der tatsächliche Schutzbedarf eines Systems ergibt sich aus dem Schaden, den ein Angreifer von diesem System aus an anderen Systemen verursachen kann. Ein IoT-Thermostat mag für sich genommen wertlos sein. Sitzt er im selben Netzwerk wie die Finanzdatenbank, erbt er deren Schutzbedarf.

Schadensausmass

Kompromittierte Systeme können für Angriffe auf Dritte missbraucht werden: als Teil eines Botnets für DDoS-Angriffe, als Relay für Spam-Versand oder als Proxy für illegale Aktivitäten. Die betroffene Organisation hat keinen direkten Schaden — kann aber rechtlich und reputationsmäßig haftbar gemacht werden.

Praxisbeispiele

Botnet über kompromittierte Überwachungskameras. Ein Unternehmen betreibt 40 IP-Kameras zur Gebäudeüberwachung. Die Kameras laufen mit Standardpasswörtern und veralteter Firmware. Ein Angreifer integriert sie in ein Botnet und nutzt sie für DDoS-Angriffe gegen Dritte. Für das Unternehmen entsteht kein direkter Schaden an den Kameras — aber der ISP sperrt den Internetanschluss wegen auffälligem ausgehendem Traffic. Geschäftskritische Cloud-Dienste sind nicht mehr erreichbar.

Ransomware trifft Gebäudesteuerung. Ein Angriff zielt auf die ERP-Daten eines Produktionsbetriebs. Die Ransomware breitet sich jedoch über das flache Netzwerk auch auf die Gebäudeautomation aus: Heizung, Klimaanlage und Zutrittskontrolle fallen aus. Im Winter sinken die Temperaturen in der Produktionshalle unter den Betriebsbereich empfindlicher Maschinen. Der Gebäudeschaden übersteigt den Schaden an den IT-Systemen.

IoT-Gerät als Einfallstor ins Firmennetz. Ein smarter Getränkeautomat im Pausenraum ist per WLAN mit dem Internet verbunden — für Bestandsmeldungen an den Lieferanten. Der Automat verwendet eine veraltete TLS-Bibliothek mit bekannter Schwachstelle. Ein Angreifer kompromittiert den Automaten und nutzt die WLAN-Verbindung, um das interne Netzwerk zu scannen. Dort findet er ungesicherte SMB-Shares mit Vertragsdokumenten.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 1 zugeordneten Kontrolle findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Da G 0.47 konzeptionell eine Querschnittsgefährdung ist, wirken zahlreiche Kontrollen anderer Bedrohungen indirekt mit. Die folgenden Kontrollen adressieren den Kern des Problems — die Begrenzung von Seiteneffekten:

Prävention:

A.7.13 — Instandhaltung von Geräten: Regelmäßige Wartung und Firmware-Updates verhindern, dass Geräte mit bekannten Schwachstellen als Einfallstore dienen.
A.8.22 — Trennung von Netzwerken: Segmentierung ist die wichtigste Einzelmaßnahme, um die Reichweite von Seiteneffekten zu begrenzen.
A.8.20 — Netzwerksicherheit: Firewall-Regeln kontrollieren die Kommunikation zwischen Netzwerksegmenten.
A.5.29 — Informationssicherheit bei Störungen: Continuity-Pläne, die Kaskadeneffekte berücksichtigen.

Erkennung:

A.8.16 — Überwachungsaktivitäten: Monitoring erkennt unerwartete laterale Bewegungen zwischen Netzwerksegmenten.
A.8.15 — Protokollierung: Logging auch auf Geräten mit geringem Eigenschutzbedarf.

Reaktion:

A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Incident-Response-Pläne, die explizit Kaskadenszenarien durchspielen.
A.5.26 — Reaktion auf Informationssicherheitsvorfälle: Sofortisolation kompromittierter Segmente zur Eindämmung von Seiteneffekten.

BSI IT-Grundschutz

G 0.47 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

INF.13 (Technisches Gebäudemanagement) — Absicherung von Gebäudeautomation und -steuerung gegen Kompromittierung über IT-Netzwerke.
NET.1.1 (Netzarchitektur und -design) — Segmentierung als Grundlage für die Begrenzung von Seiteneffekten.
SYS.4.4 (Allgemeines IoT-Gerät) — Härtung und Isolation von IoT-Geräten, die als Sprungbrett missbraucht werden könnten.
IND.1 (Prozessleit- und Automatisierungstechnik) — Schutz industrieller Steuerungssysteme gegen Kaskadeneffekte aus der Office-IT.

Quellen

BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Vorfallstatistiken
BSI IT-Grundschutz: Elementare Gefährdungen, G 0.47 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 8.22 — Umsetzungshinweise zur Trennung von Netzwerken

Häufig gestellte Fragen

Was sind schädliche Seiteneffekte von IT-Angriffen?

Schädliche Seiteneffekte sind Auswirkungen eines Cyberangriffs, die von den Tätern nicht beabsichtigt waren, nicht das eigentliche Ziel betreffen oder unbeteiligte Dritte schädigen. Sie entstehen durch die hohe Komplexität und Vernetzung moderner IT-Infrastrukturen, in denen Abhängigkeiten zwischen Systemen oft nicht offensichtlich sind.

Warum sollte ich Systeme schützen, die selbst nur geringen Schutzbedarf haben?

Systeme mit geringem Schutzbedarf können als Sprungbrett dienen, um wichtigere Systeme im selben Netzwerk anzugreifen. Ein ungeschützter IoT-Sensor im WLAN, ein vergessener Testserver oder ein älterer Drucker — all diese Geräte können Einfallstore für Angriffe auf kritische Infrastruktur sein.

Wie berücksichtige ich Seiteneffekte in der Risikoanalyse?

Bilde die Abhängigkeiten zwischen Systemen, Diensten und Prozessen explizit ab. Frage bei jeder Risikobetrachtung: Was passiert, wenn dieses System als Plattform für einen Angriff auf andere Systeme missbraucht wird? Die Antwort bestimmt den tatsächlichen Schutzbedarf — der kann deutlich höher sein als der Eigenschutzbedarf des Systems.