Nachrichten

Herausforderungen für die OT-Sicherheit

Ein Überblick über kritische und häufige Cyber-Bedrohungen für operative Technologien

Industrielle Steuerungssysteme (Industrial Control Systems, ICS) kommen in beinahe allen Infrastrukturen mit physischen Prozessen zum Einsatz. Es gibt zahllose Anwendungsgebiete – von der Energieerzeugung und -verteilung über die Gas- und Wasserversorgung bis hin zur Automatisierung in der Industrie, zu Verkehrssteueranlagen und zum Facility Management. 

Viele Angriffe auf OT-Systeme nehmen ältere Geräte mit ungepatchter Software ins Visier. Das deutet darauf hin, das OT-Netzwerke immer häufiger mit alten IT-Methoden angegriffen werden, die keine Chance mehr gegen moderne IT-Netzwerke hätten. Gleichzeitig ist ein besorgniserregender Trend hin zu eigens entwickelten OT-Angriffen auf SCADA- und ICS-Systeme zu beobachten.

Schon seit mindestens einem Jahrzehnt gibt es spezielle SCADA- und ICS-Malware. Aber auch die auf OT-Systeme spezialisierten Angriffe scheinen zuzunehmen, wobei vor allem Sicherheitssysteme anvisiert werden. In den letzten 10 Jahren hat es eine Handvoll OT-Angriffe wie z. B. Stuxnet, Havex, BlackEnergy, und Industroyer in die Schlagzeilen geschafft. 

Alle OT-Organisationen, die für kritische Infrastrukturen verantwortlich sind, müssen jegliche Kompromittierung sehr ernst nehmen.

Herausforderungen für die OT-Sicherheit

Angesichts der wachsenden Häufigkeit an Vorfällen und neu entdeckten Schwachstellen in industriellen Steuersystemen müssen Probleme dringend behoben werden. Anlagenbesitzer müssen das Risiko und die möglichen Schäden durch nicht zielgerichtete Malware und zielgerichtete, hoch entwickelte Angriffe gegen ICS-Infrastrukturen bewerten. 

Das gilt nicht nur für Infrastrukturen, die direkt mit dem Internet verbunden sind, sondern auch für solche, die indirekt angegriffen werden können. Cyberkriminelle nutzen auch die Vielzahl an unterschiedlichen OT-Protokollen, um Geräte anzugreifen. Während IT-Systeme die standardisierten TCP/IP-Protokolle verwenden, gibt es für OT-Systeme eine breite Palette an Protokollen – viele davon für bestimmte Funktionen, Branchen und Regionen. Dadurch müssen verschiedenartige Sicherheitssystem zum Schutz von OT-Umgebungen entwickelt werden, und das ist nicht zuletzt wegen der unübersichtlichen Angebote und Produkte auf dem Markt keine leichte Aufgabe. Diese strukturellen Probleme erleichtern ebenso wie veraltete Software die Malware-Angriffe und werden durch uneinheitliche Sicherheitspraktiken in zahlreichen OT-Umgebungen noch weiter verschärft. Diese chaotischen Zustände sind häufig auf Änderungen im Zusammenhang mit dem digitalen Wandel zurückzuführen.

Die folgenden 5 Angriffsmethoden sind die kritischsten und häufigsten Bedrohungen für OT-Umgebungen.

1. Malware-Infiltration über externe Hardware und Wechseldatenträger

Mitarbeiter nehmen Wechseldatenträger wie externe Hardware und USB-Sticks, die sie im Büro und in ICS-Netzwerken verwenden, häufig mit nach Hause, um dort weiterzuarbeiten oder sie für persönliche Zwecke zu verwenden. Beispielsweise werden Notebooks mit externen Daten und Wartungssoftware häufig an unterschiedlichen (öffentlichen) Orten und in mehreren Unternehmen verwendet. Traditionell konzentriert sich die ICS-Sicherheit hauptsächlich auf Verfügbarkeit und physische Sicherheit, also Zugangsbeschränkungen, Sicherheit und Schutz vor externen Einflüssen usw. Aus diesem Grund haben häufig nur wenige Mitarbeiter an Sensibilisierungsschulungen zum Thema Cybersicherheit teilgenommen, an denen sie die Techniken der Cyberkriminellen zur Infiltration von Systemen kennenlernen. 

Es gibt unzählige Beispiele von Malware (und Ransomware), die in unterschiedlichen Branchen nicht nur finanzielle und operative Schäden angerichtet, sondern auch den Ruf von Unternehmen ruiniert haben. Mögliche Bedrohungen kommen in Form von ausführbaren Dateien und Anwendungen mit schädlichem Code, die zu Datenlecks oder einer Infizierung mit Malware führen. Beim Zugriff auf das Netzwerk oder die Infrastruktur im Büro kann ein infiziertes Notebook schnell ganze Systeme und Komponenten mit Schadsoftware infizieren, sobald es im ICS-Netzwerk verwendet wird.

Es ist jedoch nicht genug, wirksame Richtlinien durchzusetzen, Antivirenprogramme zu installieren und die Mitarbeiter in Kampagnen für den richtigen Umgang mit externen Geräten wie USB-Sticks und Notebooks zu sensibilisieren. Um zu verhindern, dass infiltrierte Malware weitreichende Schäden anrichtet, müssen OT-Sicherheitslösungen zumindest Tools für das Management von Zugriffsrechten und die Richtliniendurchsetzung sowie Endpoint Security-Kontrollen und umfassende Verschlüsselungsfunktionen umfassen. 

2. Der Faktor Mensch 

Die eigenen Mitarbeiter und die von externen Auftragnehmern wie Wartungs- oder Bauarbeiter, die in einer ICS-Umgebung arbeiten, stellen häufig ein Sicherheitsproblem dar. 

Sie können Systeme durch unbefugt oder falsch konfigurierte Soft- und Hardware kompromittieren. Mitarbeiter können durch E-Mails, Spiele oder USB-Sticks (unwissentlich) Malware installieren. Sie sind sich des Risikos Ihrer Handlungen häufig nicht einmal bewusst. 

Regelmäßig stellt auch die große Zahl an Firewalls der nächsten Generation die IT vor ein Problem, da diese regelmäßig verwaltet, aktualisiert oder konfiguriert werden müssen. Die Aktualisierung oder Installierung von Patches in Netzwerken oder auf Sicherheitskomponenten, die nicht gründlich geprüft wurden, kann zu funktionalen oder sogar kritischen Problemen führen. Beispielsweise ist der unbefugte Zugriff über mobile Endpoints häufig darauf zurückzuführen, dass jemand falsche Regeln für Firewalls hinzugefügt hat. 

Natürlich kann die Sicherheit niemals allein durch technische Kontrollmechanismen gewährleistet werden. Zusätzlich braucht es unternehmensweite Regeln sowie Qualifizierungen und Schulungen zum Thema Cybersicherheit. Führen Sie Richtlinien für kritische Prozesse im ICS-Netzwerk ein (z. B. Standards für das Sicherheits- und Konfigurationsmanagement), die die Beteiligung von Sicherheitsexperten und anderen relevanten Rollen vorschreiben. Auf diese Art werden Änderungen und Updates erst nach der nötigen Rücksprache implementiert. In diesem Zusammenhang ist es wichtig, alle Vereinbarungen mit zusätzlichen Absprachen beispielsweise durch das Vier-Augen-Prinzip zu dokumentieren.

Die meisten OT-Angriffe zielen auf die schwächsten Punkte der OT-Netzwerke ab. Viele von ihnen nutzen komplizierte Systeme, die durch nicht standardisierte Protokolle entstehen, oder das implizite Vertrauen aus, das in vielen OT-Umgebungen gang und gäbe zu sein scheint. Diese Entwicklung beschränkt sich übrigens nicht auf bestimmte Gebiete oder Sektoren. Für beinahe jeden ICS/SCADA-Anbieter nehmen Umfang und Verbreitung von Exploits zu.

3. DDoS-Angriffe und IoT-Botnetze

Unternehmen verwenden zunehmend unterschiedliche IoT-Technologien, die mit ihrem Netzwerk verbunden sind, z. B. passives RFID, Positionsverfolgung in Echtzeit (aktives RFID, Ultrabreitband, Ultraschall usw.), GPS-Tracking, Sicherheitssensoren, Grid-Sensoren und Zustandssensoren. Diese Geräte verwenden ebenfalls eine Vielzahl an Kommunikationsprotokollen wie z. B. WLAN, mobile Daten wie CDMA/GPRS/LTE, Mesh-Netzwerke, Telematik und Near Field Communication (Nahfeldkommunikation, NFC). Jede einzelne dieser Technologien bringt eigene Sicherheitsherausforderungen mit sich, die durch viele der inhärenten Sicherheitsprobleme des IoT noch weiter verschärft werden: IoT-Geräte mit fehleranfälligem Code, Hintertüren und in die Firmware eingebauten Passwörter oder so genannte Headless-Geräte (ohne Monitor), die nicht aktualisiert oder gepatcht werden können.

Durch den Mirai-Angriff sind IoT-Botnetze zu einer bekannten Cyberbedrohung geworden. Botnetze werden durch Command and Control (C&C) Netzwerke gesteuert, mit denen Distributed Denial of Service (DDoS) Angriffe gestartet werden können. 

Da es in unserer verbundenen Welt immer mehr IoT-Geräte gibt, nimmt auch die Gefahr durch DDoS-Angriffe mit Botnetzen schnell zu. Da viele IoT-Geräte über keine integrierten Sicherheitsvorkehrungen verfügen, werden sie häufig für Botnetze „rekrutiert“ und dann für DDoS-Angriffe ausgenutzt. 

Wenn dann die Verbindung zwischen ICS-Komponenten unterbrochen wird, können zum Beispiel keine Steuerungsdaten mehr gemessen und übertragen werden. Eine häufige Angriffsstrategie, die zum Ausfall von Komponenten und ganzen Systemen führt, ist die „Bombardierung“ von Komponenten mit Anfragen, die eine schnelle Antwort verhindern. Manchmal sind DDoS-Angriffe aber auch über mehrere Agenten verteilt. 

Durch das rasche Wachstum der Zahl von IoT-Geräten wird diese neue Generation an DDoS-Angriffen in den nächsten Jahren weiter zunehmen und auch das Gefahrenpotenzial für die Betriebstechnologie wird immer größer werden. Aus diesem Grund zählt die Minderung der Übertragung von riesigen Datenvolumina mithilfe von DDoS Protection-Lösungen in den nächsten Jahren zu den obersten Prioritäten für die Cybersicherheit, wie wir es auch in unseren Zentralen Herausforderungen für Netzwerksicherheit erwähnt haben.

Mögliche Szenarien sind DDoS-Angriffe von Hacktivisten oder Käufern von rentablen Botnetzen, die die Internetverbindung von zentralen oder Remote-Komponenten angreifen. Auch die Schnittstellen von einzelnen Komponenten wie Anwendungsserver oder Datenbanken können zum Absturz gebracht werden, wenn z. B. die Verarbeitungslogik unterbrochen wird. 

4. Infizierung mit Malware über das Internet oder Intranet

Erst kürzlich griff die Malware mit dem Namen Triton/Trisis die Controller von Sicherheitssystemen (SIS, Safety instrumented System) an. Dieser Angriff ist besonders besorgniserregend, da er in vielerlei Hinsicht der erste cyber-physische Angriffe auf OT-Systeme war. Da diese Malware auf Sicherheitssysteme abzielt, können die Folgen eines Angriffs verheerend sein. Maschinen und Menschen könnten sich in großer Gefahr befinden.

Auch hier spielt der Faktor Mensch eine Rolle, da Unternehmensnetzwerke häufig durch menschliche Fehler infiziert werden. Aber auch Standardkomponenten wie Webserver und Datenbanken spielen eine Rolle. Beispielsweise sind Browser und E-Mail-Clients immer mit dem Internet verbunden und fast täglich werden neue Schwachstellen dieser Komponenten bekannt. Über diese Angriffspunkte kann Malware installiert werden, mit deren Hilfe die Angreifer dann kritische oder sensible Daten erhalten. 

Die IT-Sicherheit wird zudem durch die zunehmende Verbreitung von Ethernet-Netzwerken und -Protokollen in ICS-Umgebungen und ihre Verbindung zu Unternehmens-Rechenressourcen (Fileserver, ERP- und MES-Systeme) weiter erschwert. Wenn es ein Angreifer schafft, z. B. mithilfe von Zero Day Exploits ins Büronetzwerk einzudringen, kann er das ICS-Netzwerk entweder direkt oder mit einem Folgeangriff infiltrieren. Leider können viele Antivirenprogramme und E-Mail-Sicherheitsprodukte diese Angriffe nicht erkennen, die dadurch ungehindert Daten sammeln oder Schaden anrichten können. Eine häufig genutzte Angriffsstrategie ist die so genannte „Drive-by Download“-Methode. Die Malware-Infizierung erfolgt beim Aufruf einer Website oder wenn sich Systeme, die zum Control Room oder der Betriebssteuerung gehören, im Internet befinden. Andere häufige Angriffsszenarien sind SQL-Injection, nicht zielgerichtete Malware wie Würmer und Cross-Site Scripting. 

Um die Infiltrierung mit Malware zu verhindern, müssen Betriebssysteme und Anwendungen in Büro- und Backend-Netzwerken und gegebenenfalls in ICS-Netzwerken regelmäßig und rechtzeitig gepatcht werden. Prüfen Sie Protokolldateien auf ungewöhnliche Verbindungen oder Verbindungsversuche und gewährleisten Sie die optimale Härtung aller IT-Komponenten (Dienste, Computer), die im Büro und in ICS-Umgebungen verwendet werden.

5. Gefährdete Cloud-Komponenten

Gelegentlich werden Sicherheitskomponenten als Cloudlösung angeboten und sie werden auch im ICS-Sektor immer beliebter. Beispielsweise verschieben die Anbieter von Remote-Wartungsdiensten die Kundensysteme in die Cloud, um auch aus der Entfernung darauf zugreifen zu können. Cloud-Lösungen bieten Skalierbarkeit, Pay-per-Use-Modelle und Redundanz. Dennoch erhalten die Anlageneigentümer nicht die volle Kontrolle über die Sicherheit dieser Komponenten, obwohl sie mit den lokalen Produktionsanlagen verbunden sind. Das führt zu Risiken für die OT- Cloud Security wie unterbrochene Verbindungen zwischen der lokalen Produktion und den ausgelagerten (Cloud-) Komponenten aufgrund von DDoS-Angriffen. Auch die Angriffe auf andere Cloud-Dienste kann zu Interferenzen (Kollateralschäden) führen, wenn die Kunden eines Cloud-Anbieters nicht ausreichend voneinander getrennt sind.

Was können Sie tun?

  • Reden Sie mit dem Management Ihrer Anbieter über mögliche Angriffsvektoren, versuchen Sie, die Angriffsfläche(n) durch RBAC und 2FA zu begrenzen, und erweitern Sie die Protokollierung Ihres Anbieters für Remote-Management/Wartung auf Ihr SIEM.
  • Setzen Sie auf Segmentierungs- und Microsegmentierungs-Strategien, um kritische Infrastrukturen von Büro-Automatisierung, Produktionsnetzwerken, IT-Geräten und Mitarbeitern zu trennen.
  • Führen Sie die Zwei-Faktor-Authentifizierung einschließlich biometrischer Authentifizierung (z. B. Fingerabdrücke, Stimmerkennung, Gesichtserkennung usw.) und rollenbasiertes Identity- und Access-Management (IAM) für alle Mitarbeiter sowie Privileged Identity Management (PIM) für Administratoren ein.
  • Beschränken Sie den Zugriff auf „alte Managementports“ (d. h. serielle Schnittstellen) und protokollieren Sie die Verwendung.
  • Investieren Sie in die Weiterbildung für SCADA/ICS-, OT- und IoT-Sicherheit
  • Stellen Sie mit SIEM die kontinuierliche Protokollierung des gesamten Netzwerkverkehrs sicher (Sicherheitsanalysen)
  • Informieren Sie sich bei staatlichen Behörden wie dem US-amerikanischen Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) und setzen Sie übliche Standards wie ISA/IEC-62443 oder ISA-99 um
  • Führen Sie am Rand der OT-Umgebung kritische Kontrollen für die Netzwerksicherheit wie NGFW, IPS und Sandboxing ein; zentralisieren Sie das Gerätemanagement und die Entscheidungsfindung; verschlüsseln Sie Daten und Datenverkehr; führen Sie in OT-Umgebungen passive Überwachungsmechanismen und Kontrollen ein, um die hoch sensiblen Daten der Sensoren und Systeme in kritischen Infrastrukturen zu schützen.

30 Oktober 2019

Diese Seite teilen: