Die Bedrohungen gegen die Betriebstechnik (OT) der kritischen Infrastruktur (KRITIS) verschärfen sich kontinuierlich. China baut offensive Komponenten in amerikanische Militär- und Unternehmensnetzwerke ein. Zudem wurden Telekommunikationsunternehmen und Internetdienstleister infiltriert, um Zivilisten auszuspionieren. Seit etlichen Jahren, also bereits deutlich vor dem Angriffskrieg, greift Russland das ukrainische Stromnetz an. Und der Iran hat alle in Israel hergestellten Technologien zu Zielen von Cyberangriffen erklärt.
Sicherheitsverantwortliche können sich daher nicht länger erlauben, OT als eine Blackbox zu behandeln, die sie nicht verstehen. Sie sollten auch nicht davon ausgehen, dass ihre Systeme auf magische Weise vom Internet isoliert und so vor potenziellen Bedrohungen geschützt sind. Insbesondere staatlich unterstützte Angreifer investieren eine Menge Zeit und Ressourcen in die gezielte Ausnutzung von Schwachstellen im Bereich der Operational-Technology. Gleichzeitig zielen Cyberkriminelle mit Ransomware und ähnlichen Attacken weiterhin auf alle kritischen Infrastrukturen.
Die Sicherheitsforscher von Team82 haben für ihren Report „State of CPS Security 2025: OT Exposures“ knapp eine Million OT-Geräte in den Bereichen Produktion, Transport und Logistik sowie natürliche Ressourcen analysiert. Mehr als jedes zehnte davon (13 %) verfügte über bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerability, KEV), von denen zwei Drittel von Ransomware-Gruppen ausgenutzt werden. Aus den Ergebnissen des Reports lassen sich drei wesentliche Punkte ableiten.
OT-Risiken können nicht nur anhand von Common-Vulnerabilities and Exposures (CVE) bewertet werden
Die alleinige Anwendung von traditionellen Methoden (die etwa auf dem Common-Vulnerability-Scoring-System/CVSS basieren) führt dazu, dass das ohnehin schon überlastete Security-Personal Ressourcen für die Beseitigung von Schwachstellen aufbringt, die nicht ausgenutzt werden können oder nie ausgenutzt werden. Stattdessen empfiehlt sich ein Exposure-Management-Ansatz, der sich nicht auf bekannte Schwachstellen beschränkt, sondern insbesondere Geräte priorisiert, die bereits ausgenutzte Schwachstellen sowie unsichere Verbindungen aufweisen und von Ransomware-Gruppen ausgenutzt werden. So weisen beispielsweise von den rund 96.000 Geräten mit KEVs im Produktionsbereich lediglich rund 3.000 auch eine Anfälligkeit für Ransomware und unsichere Verbindungen auf. Die auf diese Weise deutlich reduzierte Anzahl besonders gefährdeter Geräte lässt sich wesentlich besser adressieren.
Operational-Technology wird zunehmend zu einem strategischen Ziel
Staatlich unterstützte Angreifer nehmen immer häufiger OT ins Visier. Das offensichtliche Ziel ist es dabei, die nationale Sicherheit westlicher Nationen sowie die wirtschaftliche Stabilität und in einigen Fällen sogar die öffentliche Sicherheit zu beeinträchtigen. 12 Prozent der analysierten KRITIS-Betreiber verfügen über OT-Assets, die mit bösartigen Domänen kommunizieren, etwa in China, Russland und dem Iran.
Die Fertigungsindustrie ist am stärksten betroffen
Der Produktionssektor ist eines der beliebtesten Ziele von Ransomware-Gruppen, da hier aufgrund der immens teuren Ausfallzeiten offensichtlich die Bereitschaft mit am höchsten ist, Lösegelder zu zahlen. Entsprechend finden sich hier prozentual die meisten Schwachstellen, die von Ransomware-Angreifern ausgenutzt werden (9 %), gefolgt von natürlichen Ressourcen (3 %) sowie Transport und Logistik (0,5 %).
Was CISOs tun sollten
CISOs und andere Verantwortliche für OT und den Schutz von cyberphysischen Systemen (CPS) müssen handeln. Sie müssen verstehen, wie die kritischen Geräte mit dem Internet verbunden sind und entsprechend ihrer Gefährdung Prioritäten für ihren Schutz setzen.
Konkret führt angesichts der gegenwärtigen Bedrohungslage kein Weg an einem modernen Exposure-Management vorbei. Dabei sind fünf Schritte entscheidend:
Scoping: In Unternehmen mit zahlreichen Assets sollte man vor allem die Geräte bestimmen, die für kritische Geschäftsprozesse, wie z. B. Produktionslinien, unerlässlich sind. Auf diese Weise lässt sich der Anteil der Anlagen, die kontinuierlich auf Cyber-Risiken überprüft werden müssen, deutlich reduzieren.
Erkennung: Unternehmen müssen sämtliche Geräte in ihrer Infrastruktur identifizieren und so ein stets aktuelles Inventar erstellen. Dies erfordert den Einsatz verschiedener Erfassungsmethoden, um umfassende Informationen über die Assets zu erhalten. Nur auf dieser soliden Datenbasis lässt sich eine intelligente Priorisierung der Schwachstellen durchführen.
Priorisierung: Bei der Ermittlung von Risiken sollten nicht nur Schwachstellen berücksichtigt werden, sondern auch Fehlkonfigurationen und riskante Bedingungen wie Standardanmeldeinformationen. Durch die Anreicherung mit bekannten Exploits, Erstellung von Prognosen und Bewertungen der geschäftlichen Auswirkungen können sich CISOs auf die potenziell folgenreichsten Bedrohungen für den Geschäftsbetrieb konzentrieren.
Validierung: Auch wenn viele Schwachstellen vorhanden sind, lassen sie sich womöglich von Angreifern nicht ausnutzen, etwa weil die Ports geschlossen sind oder eine Firewall den Datenverkehr von einem gefährdeten System blockiert. Aus diesem Grund ist die Überprüfung des Angriffspfads ein wichtiger Schritt, um die Abhilfemaßnahmen auf die Assets zu konzentrieren, die sowohl ein hohes Risiko darstellen als auch tatsächlich gefährdet sind.
Umsetzung: Um das Exposure-Management erfolgreich umzusetzen, müssen die entsprechenden Maßnahmen in bestehende Lösungen und Worflows integriert werden. Dies gilt insbesondere für Bereiche wie Patching, Passwortänderung oder Neukonfiguration der Infrastruktur. Auf diese Weise lassen sich Risiken nachhaltig minimieren.
Angesichts der zunehmenden Aktivitäten staatlich unterstützter Angreifer sowie der andauernden Gefahr durch Ransomware müssen CISOs die richtigen Strategien und Lösungen implementieren, um sämtliche Bedrohungen abwehren zu können. Eine umfassende Inventarisierung ist stets der Beginn von OT-Sicherheitsprojekten, reduziert aber noch nicht das Cyberrisiko. Vielmehr kommt es auf das abgestimmte Zusammenspiel von Exposure Management, sicherem Fernzugriff und Netzwerkschutz an, um die Bedrohungen angemessen adressieren zu können.
Von Thorsten Eckert, Regional Vice President Sales Central von Claroty
powered by Borlabs Cookie 