Fünf IT-Sicherheits-Empfehlungen für OT Was tun, wenn patchen nicht möglich ist?

Autor / Redakteur: Kai Thomsen / Peter Schmitz

Industrielle Steuerungssysteme (ICS) sind immer öfter in Gefahr. Zu Beginn des Jahres machte ein Cyberangriff auf die Wasserversorgung des kleinen Ortes Oldsmar in Florida Schlagzeilen. Ein unbekannter Hacker hatte sich Zugriff auf das IT-Kontrollsystem für die Wasseraufbereitung der Stadt verschafft und drohte die Qualität des Trinkwassers zu manipulieren.

Firmen zum Thema

So lange IT und OT immer noch nicht die gleiche Sprache sprechen, bleibt IT-Sicherheit für OT eine Baustelle.
So lange IT und OT immer noch nicht die gleiche Sprache sprechen, bleibt IT-Sicherheit für OT eine Baustelle.
(© ipopba - stock.adobe.com)

Im Falle von Oldsmar konnte der anwesende Mitarbeiter diesen Vorfall live verfolgen und sofort wieder zurücksetzen. Auslöser war wohl letztlich ein nur mit einem Standardpasswort geschützter Teamviewer-Account. Nach den letzten verfügbaren Informationen muss sich der Eindringling bereits vorher im Netzwerk des Wasserversorgers befunden und von dem Account gewusst haben und auf ihn zugreifen zu können.

Die US-Regierung unter Joe Biden in den USA reagierte auf den Vorfall und brachte entsprechende Maßnahmen für mehr Sichtbarkeit und ein besseres Monitoring auf den Weg. In einer koordinierten Anstrengung zwischen dem Department of Energy ("DOE"), der Cybersecurity and Infrastructure Security Agency ("CISA") und der Energiewirtschaft legte der Plan vier Schwerpunktbereiche fest:

  • Verbesserung der Mechanismen für Erkennung, Schadensbegrenzung und forensische Aktivitäten;
  • konkrete Meilensteine für die Industrie, um Situationsbewusstsein und Reaktionsfähigkeiten in kritischen industriellen Kontrollsystemen (ICS) und operativen Technologienetzwerken (OT) zu entwickeln;
  • Verstärkung der allgemeinen Cybersicherheit in Informationstechnologienetzwerken kritischer Infrastrukturen; und
  • Programme zur freiwilligen Teilnahme der Industrie, um Technologien einzusetzen, die die Sichtbarkeit von Bedrohungen in ICS- und OT-Systemen erhöhen.

Die zunehmende Digitalisierung industrieller Prozesse führt darüber hinaus zu mehr Verbindungen zwischen Anlagennetzen und Unternehmens-IT. Auch ein Ausfall der Unternehmens-IT kann so zu Störungen in Anlagennetzen führen, beispielsweise weil wichtige Logistiksysteme nicht verfügbar sind und so eine auftragsbezogene Steuerung der Anlagenprozesse nicht mehr möglich ist. Jüngstes Exempel für einen solchen Vorfall ist die Ransomware-Attacke auf die Colonial Pipeline in den USA, über die 40 Prozent der Gaslieferungen an die Ostküste der Vereinigten Staaten laufen. Zwar waren die OT-Systeme der Pipeline nicht betroffen, aber ohne funktionierende Logistiksysteme ist ein Betrieb der Pipeline nicht sinnvoll möglich und zusätzlich machte die Ausbreitung der Ransomware in der Unternehmens-IT eine weitgehende Abschottung des Anlagennetzes notwendig, um eine weitere Ausbreitung der Schadsoftware in dieser kritischen Infrastruktur zu verhindern.

In ihrem aktuellen „ICS Cybersecurity Year in Review“-Report hat die auf ICS-Security spezialisierte Firma Dragos die Aktivitäten von insgesamt 15 Threat Groups, also Cyberkriminelle Gruppierungen, untersucht, wobei vier der Gruppen erst letztes Jahr entdeckt wurden. Eine dieser neuen Gruppen ist STIBNITE und zielt speziell auf Windturbinenunternehmen ab, die in Aserbaidschan Strom erzeugen. Basierend auf den aktuellen Erfassungsbemühungen scheint sich die Aktivität ausschließlich auf dieses Land zu beschränken. Bei regionalen Konflikten wie in diesem Fall zwischen Armenien und Aserbaidschan richten sich die Auseinandersetzungen auch gegen kritische Infrastrukturen. Der Lieferant, der Betreiber und die Instandhaltungsfirma der Windturbinen sind alle in der Ukraine ansässig. STIBNITE nutzte eine gemeinsame Command-and-Control-Infrastruktur (C2) für mehrere Angriffe, die Ende 2020 stattfanden und aktualisierte seine Malware-Funktionen, um der Entdeckung zu entgehen, nachdem Berichte über ihre Aktivitäten veröffentlicht wurden. Die Gruppe verwendet bei seinen Einbrüchen die Remote-Access-Malware PoetRAT, um Informationen zu sammeln, Screenshots zu erstellen, Dateien zu übertragen und Befehle auf den Systemen der Opfer auszuführen. Sie verschaffte sich über gefälschte Webseiten sowie Phishing-Kampagnen, die Varianten bösartiger Microsoft Office-Dokumente verwendet, Zugriff auf die Windturbinen.

Zusammenfassend lässt sich feststellen, dass für die Angriffe auf ICS von den „Threat Groups“ vor allem gehackte Nutzerkonten, infizierte E-Mail-Anhänge von Spearphishing-E-Mails, Skripte, Schwachstellen in Standard Application Layer-Protokolle und außerdem Schwachpunkte in der Supply Chain genutzt werden.

Safety vs. Security

Immer mehr IT wird für den Fernzugriff, beispielsweise zur Fernwartung auf OT-Systeme eingeführt. Aus den ehemals abgeschlossenen Insellösungen werden miteinander vernetzte Gesamtlösungen, die wie mit einer Kette miteinander verbunden sind. Maßnahmen zu deren Absicherung gegen Hackerangriffe sind schwierig, denn klassische IT-Sicherheitskonzepte lassen sich nicht eins zu eins auf die Industrie- und KRITIS-Umgebungen abbilden. Dennoch gilt, dass IT-Sicherheit in der OT immer noch nicht ernst genug genommen wird und dies muss sich ändern. Angreifer werden, wie wir an den eingangs erwähnten Beispielen gesehen haben, immer besser und professioneller darin, in die Systeme einzudringen und verstehen die Prozesse immer besser, um sie auch in ihrem Sinne manipulieren zu können.

Die wichtigste Anforderung an die OT-Verantwortlichen, ist primär für den sicheren und stabilen Betrieb zu sorgen. Die IT-Sicherheit erfordert jedoch vor allem schnelle Eingriffe und Unterbrechungen des laufenden Betriebs. Oftmals dauern das Ausschalten und Anfahren der Anlagen jedoch sehr lange, so dass triftige Gründe angeführt werden müssen, um eine solche Unterbrechung zu rechtfertigen. Hier kann nur ein umfassendes Security Monitoring, ausgewertet von erfahrenen Experten, helfen, die weniger wichtigen von den wirklich wichtigen Sicherheitsvorfällen zu trennen.

Fünf IT-Sicherheits-Empfehlungen für OT

Um Sicherheitsvorfälle zu vermeiden, sollten IT-Sicherheitsverantwortliche und OT-Verantwortliche die folgenden fünf Empfehlungen zur Erhöhung der IT-Sicherheit in OT beherzigen:

  • Sichtbarkeit in OT-Netzwerken erhöhen: Sichtbarkeit umfasst Netzwerk-Monitoring, Protokollierung und die Pflege eines Collection Management Frameworks (CMF). Die Protokollierung und Überwachung von OT-Systemen ist für die Erkennung und Reaktion auf Vorfälle unerlässlich und liefert darüber hinaus verwertbare Daten zu Geräteleistung, Betrieb und Zuverlässigkeit. Die Analyse des Netzwerkverkehrs sollte auf der Grundlage der Überlegungen zu den Netzwerken und ihren Risiken priorisiert werden.
  • Identifizierung und Priorisierung der wichtigsten Assets: Unter Assets sind die Anlagen gemeint, die die Kontrolle über die Komponenten ausüben, die für den sicheren Betrieb des industriellen Prozesses am wichtigsten sind. Beispiele hierfür sind HMIs, Engineering- und Operator-Workstations, Gateways und Steuerungen. Die Priorisierung der Anlagen, die im Falle einer Kompromittierung größere Auswirkungen auf das Unternehmen haben könnten, ist ein Schlüsselprinzip des Risikomanagements.
  • Erhöhung der Incident Response-Fähigkeiten: Die Fähigkeit zur Reaktion auf Vorfälle ist notwendig, um den möglichen Schaden zu minimieren und einen sicheren Betrieb wiederherzustellen. Viele Organisationen verfügen über einen unternehmensweiten Plan zur Reaktion auf IT-Vorfälle, der die Maßnahmen zur Reaktion auf ICS-Vorfälle nicht berücksichtigt oder in hohem Maße missversteht.
  • Netzwerk-Segmentierung: Die Netzwerksegmentierung sollte kontinuierlich kontrolliert werden, um sicherzustellen, dass sie nicht umgangen wird.
  • Sicheres Credential-Management: Dazu gehören von IT und OT gemeinsam genutzte Konten, Standardkonten und Anbieterkonten. Active Directories, die von Office- und ICS-Netzwerken gemeinsam genutzt werden ist einer der häufigsten Befunde, der entschärft werden sollte. Angreifer versuchen, Konten zu kompromittieren und als Mittel für den Zugriff auf kritische ICS zu nutzen.

Die Empfehlungen decken sich mit den Ergebnissen einer regelmäßig durchgeführten Umfrage des SANS Institutes unter den ehemaligen Teilnehmern seiner ICS-Trainings, die in einer Studie veröffentlicht werden. Die Befragten gaben bei den wichtigsten Initiativen zur Erhöhung der IT-Sicherheit ihrer ICS-Umgebungen die folgenden Themen an. Mehr als 45 Prozent wollten zunächst die Transparenz über ihre Assets und Konfigurationen von Steuerungssystemen erhöhen. 37 Prozent wollten eine Sicherheitsbewertung oder Audits von Steuerungssystemen und Steuerungsnetzwerken durchführen. Mehr Engagement bei der Mitarbeitersensibilisierung in Sachen Security Awareness-Schulungen für Mitarbeiter aus der IT und aus der OT gaben knapp 30 Prozent an. Tools zur Anomalie-Erkennung und Threat Hunting fielen auf den vierten Platz mit 28 Prozent. Und auf dem fünften Rang fiel die bessere Vernetzung zwischen der IT und OT.

Fazit

Die Studie des SANS Institutes stellt zumindest einen steigenden Reifegrad bei der Identifizierung potenzieller Risiken sowie der Erkennung und Behebung von Sicherheitsvorfällen fest. Der Mensch ist laut den 338 befragten ICS-Experten die wichtigste Schwachstelle. Wichtig ist, dass sich der Sicherheitsansatz nicht allein auf die Technologie stützt, sondern die Mitarbeiter einbeziehen sollte. Ähnlich wie beim Schutz von IT-Umgebungen geht es bei der OT darum, die drei Risikokategorien People, Process and Technology in den Griff zu bekommen. Dieser gemeinsame Nenner von IT und OT gilt als Grundlage für eine Verbesserung des Reifegrades der IT-/OT-Sicherheit. Beide Welten müssen zum Wohle der IT-Sicherheit zusammenschmelzen und das Sicherheitsbewusstsein, die Ausbildung und das Training sowohl der OT- als auch der IT-Mitarbeiter als Grundlage für eine effektive IT-Sicherheit der OT verstehen.

Über den Autor: Kai Thomsen ist ICS-Trainer beim SANS Institute und Director Global Incident Response Services bei Dragos.

(ID:47553251)