Der Data-Breach-Investigation-Report von Verizon aus OT-Security-Sicht

Max Rahner, Sales Director DACH bei Claroty

Der jährliche Verizon-Data-Breach-Investigation-Report (DBIR) ist seit seiner ersten Veröffentlichung im Jahr 2008 zu einer unschätzbaren Ressource für IT-Sicherheitsexperten geworden. Der aktuelle Report 2020 ist insofern bemerkenswert, da viele seiner Erkenntnisse nicht nur für die IT-Security relevant sind, sondern auch für die Sicherheit von OT-Netzwerken. Entsprechend betrachtet Max Rahner, Sales Director DACH bei Claroty, die wichtigsten Ergebnisse aus der OT-Perspektive genauer.

 

OT-Sicherheitsvorfälle sind (noch) selten, aber besorgniserregend

Zum ersten Mal überhaupt untersucht der DBIR 2020 die Rolle der Informationstechnologie (IT) gegenüber der operativen Technologie (OT) bei Sicherheitsvorfällen. 4 Prozent der beobachteten Sicherheitsverletzungen betrafen die OT, im Vergleich zu 96 Prozent bei der IT. Dieser Prozentsatz mag zwar relativ unbedeutend erscheinen, der Bericht charakterisiert ihn jedoch als einen beachtenswerten Grund zur Besorgnis für Unternehmen mit robusten OT-Umgebungen.

 

Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

In einem Experiment haben die Autoren des Reports die Anfälligkeit von Servern mit einer bestimmten Schwachstelle mit der Anfälligkeit von zufällig ausgewählten Servern verglichen. Dabei zeigte sich, dass die Server etwa mit Exim- oder Eternalblue-Sicherheitslücken auch deutlich anfälliger für alte, andere Schwachstellen waren. Das bedeutet, dass Unternehmen mit einem langfristigen, gut priorisierten Patch-Management-System weitaus seltener Opfer von Exploits werden. Der Bericht zeigt zudem, dass Patches, die nicht innerhalb von drei Monaten nach ihrer Veröffentlichung aufgespielt werden, in der Regel überhaupt nicht installiert werden. Entsprechend wichtig ist ein konsequentes, regelmäßiges und zeitnahes Patch-Management.

Gerade in OT-Umgebungen stellen Identifizierung von Schwachstellen und die Priorisierung von Patches eine große Herausforderung dar. Wichtig ist hierbei eine tiefe Transparenz. Viele Tools zur Erfassung von Informationen über OT-Assets sind allerdings nur in der Lage, grundlegende Attribute wie IP-Adresse und Hersteller zu identifizieren, nicht aber präzise Daten wie das genaue Modell und die Firmware-Version. Diese sind jedoch für ein effektives Patch-Management sowie eine Risikoberechnung und -minderung unerlässlich.

 

Angreifer nutzen am liebsten den einfachen Weg

Eine Analyse der Angriffspfade bei beobachteten Zwischenfällen ergab, dass die überwiegende Mehrheit der Angriffe in weniger als fünf Schritten erfolgt. Dies deutet darauf hin, dass die Angreifer bevorzugt niedrig hängende Früchte suchen, die es ihnen ermöglichen, relativ einfache Angriffe durchzuführen, um hochwertige Ziele zu kompromittieren. Entsprechend machen zusätzliche Barrieren, die Angriffe komplexer und zeitaufwändiger machen, Ziele wesentlich unattraktiver. So ist beispielsweise die zwar an sich ein unvollkommener Sicherheitsmechanismus, aber sie fügt dem Angriffspfad einen zusätzlichen Schritt hinzu. Der Data-Breach-Investigation-Report stellt fest, dass die Differenz zwischen zwei und drei Schritten oder drei und vier Schritten im Hinblick auf die Verbesserung des Sicherheitsstatus einen wesentlichen Unterschied macht. Dies gilt sowohl für IT- als auch für OT-Umgebungen.

 

OT-bezogene Sicherheitsvorfälle konzentrieren sich weitgehend auf bestimmte Branchen

Bei den untersuchten OT-Sicherheitsvorfällen stechen zwei Branchen deutlich heraus: die verarbeitende Industrie sowie Energie- und Versorgungsunternehmen (inklusive Bergbau, Öl- und Gasförderung).

Wie bei allen im DBIR aufgeführten Branchen war die häufigste Motivation für die beobachteten Vorfälle mit Auswirkungen auf die verarbeitende Industrie ein potenzieller finanzieller Gewinn (73 %). Allerdings spielt in diesem Sektor auch Cyberspionage mit 27 Prozent eine große Rolle. Der starke Bedarf an Lösungen zur Überwachung von und zum Schutz vor Insider-Bedrohungen wird durch die Tatsache unterstrichen, dass hinter 25 Prozent der Verstöße im verarbeitenden Gewerbe interne Bedrohungen stehen und 13 Prozent der Verstöße auf den Missbrauch von Mitarbeiterprivilegien oder Datenmissbrauch zurückzuführen sind. Bei Angriffen von außen machen staatlich unterstützte Angreifer mit 38 Prozent den Löwenanteil aus. Insofern sollten Unternehmen in dieser Branche sich gut auf raffinierte, gut ausgestattete Angreifer vorbereiten, deren vornehmliches Ziel der Diebstahl von geistigem Eigentum und anderer sensibler Daten ist. Wie der Bericht kurz und bündig formuliert, „ist es billiger und einfacher, etwas zu stehlen, als es selbst zu entwickeln.“

Der DBIR fasst Bergbau, und Öl- und Gasförderung sowie Versorgungsunternehmen für eine gemeinsame Betrachtung der beobachteten Vorfälle und Verstöße zusammen. Auch hier spielen mit 28 Prozent Insider-Bedrohungen eine große Rolle. Die Bewertung der Motive ist in diesen Branchen jedoch deutlich schwieriger: Finanzielle Motive dominieren mit Werten zwischen 63 und 95 Prozent, jedoch spielt auch Spionage mit einer Bandbreite von 8 bis 43 Prozent eine große Rolle. Eine präzise Interpretation dieser Werte ist kaum möglich, jedoch liegen die Werte in aller Regel deutlich über den 10 Prozent im Mittel aller Branchen. Die Angriffsmuster, denen sich Unternehmen in diesem Sektor ausgesetzt sehen, sind sehr unterschiedlich und häufig auch überlappend. Deshalb war die quantitative Bestimmung der vorherrschenden Angriffsvektoren statistisch unmöglich. Entsprechend lautet die schlichte Empfehlung an alle CISOs in diesem Bereich: „Alles sichern!“

#Claroty