IT-Sicherheit für OT-Umgebungen Schwachstellenforschung für die industrielle Cybersicherheit

Von Galina Antova und Amir Preminger

Anbieter zum Thema

Forschungs-Communities zur IT-Sicherheits gibt es schon lange. Sie teilen ihre Erkenntnisse untereinander und mit den Herstellern der betroffenen Produkte, um Korrekturen zum Schutz der Benutzer zu fördern. Längst sehen auch die Hersteller diesen Beitrag als nutzbringend an und bieten oft auch Bug-Bounty-Programme, durch die Forscher finanziell motiviert und honoriert werden. Aber wie sieht es mit den Forschern aus, die sich auf die für kritische Infrastrukturen relevanten Schwachstellen konzentrieren?

OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Deshalb gilt es das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken.
OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Deshalb gilt es das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken.
(Bild: greenbutterfly - stock.adobe.com )

Angesichts einer entscheidenden Phase für kritische Infrastrukturen, die durch die Beschleunigung der digitalen Transformation, gezielte Ransomware-Angriffe und ausgeklügelte Angriffe auf die Lieferkette gekennzeichnet ist, besteht ein dringender Bedarf an Forschungsgemeinschaften, die sich auf Betriebstechnik (OT) und industrielle Kontrollsysteme (ICS) konzentrieren. Auch wenn diese Gemeinschaften erst im Entstehen begriffen sind, wirken sie sich schon jetzt positiv auf die industrielle Cybersicherheit aus. Aber was ist nötig, damit sie sich etablieren und wachsen können?

Herausforderungen

Traditionell handelte es sich bei der OT um eine geschlossene Umgebung. Die Netze laufen auf proprietären Protokollen, ältere Geräte sind weit verbreitet und ICS-Geräte sind auf eine bestimmte Funktion ausgerichtet. Ein proprietärer Bereich, in dem der Zugang zu den Geräten schwierig ist, erschwert die Überprüfung durch Fachkollegen. Infolgedessen sind die Forscher größtenteils eigenmotiviert. Sie bestehen aus Exploit-Forschern, die durch den Nervenkitzel der Jagd auf Angreifer angespornt sind, und aus Forschern, die in erster Linie ihr Verständnis der Arbeitsweise von Angreifern verbessern wollen, um das Sicherheitsniveau zu erhöhen.

Heutzutage verändert sich die OT-Umgebung schnell und ist anfälliger für Angriffe, da stark vernetzte cyber-physische Systeme (CPS) zur Norm werden. Mit der Beschleunigung des erweiterten IoT (XIoT), das OT, Industrial IoT (IIoT), Internet of Medical Things (IoMT) und Enterprise-IoT umfasst, sind immer mehr kommerzielle Unternehmen und Open-Source-Tools im OT-Ökosystem vorzufinden. Das Identifizieren von Schwachstellen sowie die Bewertung und das Management von Risiken sind komplexer denn je. Deshalb ist es von größter Bedeutung, mehr Forscher zu ermutigen, ihr Fachwissen und ihre Erkenntnisse zu teilen.

Aktueller Stand

Glücklicherweise setzt sich im öffentlichen und privaten Sektor zunehmend die Erkenntnis durch, dass Sicherheit ein Teamsport ist. Die Executive Order des Weißen Hauses und mehrere Schlüsselinitiativen der US-amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) zeigen, dass die Hindernisse für den Austausch von Informationen über Bedrohungen und eine verstärkte Zusammenarbeit beseitigt werden sollen. Dies hat weltweiten Vorbildcharakter.

Da mehr als 60 Prozent der Industrieunternehmen die OT- und IT-Governance unter dem CISO zentralisieren, beginnen die Unternehmen, Sicherheitsbewertungen und mehr Penetrationstests ihrer OT-Umgebungen durchzuführen. Betreiber von Anlagen analysieren die Sicherheit kommerzieller Geräte, um ein technisches Verständnis dafür zu erlangen, wie Software und Systeme angreifbar werden. Hierbei hat sich das MITRE/ICS-Framework schnell zu einer wichtigen Ressource entwickelt.

Mit der weit verbreiteten Erkenntnis, dass Wissen Macht bedeutet, entstehen immer mehr Bug-Bounty-Programme. So wurde die Zero Day Initiative (ZDI), das weltweit größte herstellerunabhängige Bug-Bounty-Programm, auf OT ausgeweitet und verzeichnet wachsendes Interesse.

Vieles in der OT-Sicherheitsforschung ist noch Neuland, das aber immer weiter erschlossen wird. Immer mehr führende Hersteller von OT-Geräten entwickeln ausgefeilte interne Programme, um proaktiv nach Schwachstellen zu suchen. In der zweiten Jahreshälfte 2021 war ein Anstieg von 35 Prozent bei den Anbietern zu verzeichnen, die interne Untersuchungen durchführen, und ein Anstieg von 76 Prozent bei der Anzahl der Schwachstellen, die im Rahmen dieser Programme offengelegt wurden.

Ausblick

Auch wenn bereits deutliche Fortschritte zu erkennen sind, gibt es noch zahlreiche weitere Möglichkeiten, um die Verbreitung von Forschungs-Communities zu fördern und einen zusätzlichen Nutzen aus ihren Erkenntnissen zu ziehen.

1. Aufwertung des Profils von OT-Ingenieuren: Früher wurden OT-Geräte als statische Hardware betrachtet, doch heute besteht die OT aus kritischen, softwaregesteuerten Systemen, die sich mit dem XIoT weiterentwickeln müssen. Mit diesem Paradigmenwechsel werden OT-Ingenieure zunehmend als technisch versiert wahrgenommen und ihr Verständnis für Schwachstellen ist für die Stärkung der Sicherheitslage im Zeitalter der digitalen Transformation von entscheidender Bedeutung. Wir müssen Ingenieure weiterhin dazu ermutigen, DevSecOps von der OT-Seite aus als Dreh- und Angelpunkt für die Sicherung der industriellen Wirtschaft voranzutreiben.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

2. Schließen der Bug-Bounty-Lücke zwischen IT und OT: Die Anbieter sollten zusätzliche Programme auflegen, um durch finanzielle Belohnungen und Anerkennung Anreize für mehr OT-Forschung zu schaffen. Da Angriffe auf kritische Infrastrukturen Auswirkungen auf Existenzen und Leben haben, ist es entscheidend, dass viele versierte Forscher mit ihnen zusammenarbeiten, um Angreifer zu bekämpfen.

3. Partnerschaften zum Abbau von Zugangsbarrieren: Um die Forschung zu unterstützen, sollten die Anbieter Initiativen ergreifen, um ihre Geräte für Forscher zugänglicher zu machen. Es ist vielleicht eine unkonventionelle Idee, aber Anbieter, die OT/ICS-Anlagen und -Umgebungen sichern, sollten Partnerschaften eingehen, um den Zugang zu ihren Geräten untereinander zu teilen. Angesichts des enormen Umfangs von Schwachstellen und des inhärenten Risikos des XIoT ist es an der Zeit, die Kräfte zu bündeln. Damit ist letztlich allen geholfen.

4. Bereitstellen von praxisorientierten Anleitungen: Anbieter sollten nicht davon ausgehen, dass die Offenlegung einer Schwachstelle gleichbedeutend mit einem Patching ist. In Anbetracht der Patching-Zyklen, der Priorisierung der Betriebszeit und der Prävalenz von Altsystemen ist ein Patching möglicherweise nicht praktikabel. Es bedarf einer anderen Art der Risikobetrachtung und Risikominderung durch kompensierende Kontrollen, einschließlich besserer Segmentierung, sicherem Fernzugriff und Erkennungstools. Schließlich sollte das Endergebnis einer gemeldeten Schwachstelle darin bestehen, die OT-Umgebung so schnell wie möglich sicherer zu machen.

In dem Maße, wie kritische Infrastrukturen in die Cloud verlagert werden und das XIoT-Universum sich weiter ausbreitet, wächst auch die Risikoanfälligkeit. OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Angreifer sehen sie nicht auf diese Weise, entsprechend dürfen es auch nicht die Sicherheitsverantwortlichen. Deshalb müssen wir das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken – und zwar schnell, denn wir haben keine Zeit zu verlieren.

Über die Autoren

Galina Antova ist Mit-Gründerin und Chief Business Development Officer von Claroty.
Amir Preminger ist VP Research von Claroty.

(ID:48503468)