:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fünf IT-Sicherheits-Empfehlungen für OT Was tun, wenn patchen nicht möglich ist?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Industrielle Steuerungssysteme (ICS) sind immer öfter in Gefahr. Zu Beginn des Jahres machte ein Cyberangriff auf die Wasserversorgung des kleinen Ortes Oldsmar in Florida Schlagzeilen. Ein unbekannter Hacker hatte sich Zugriff auf das IT-Kontrollsystem für die Wasseraufbereitung der Stadt verschafft und drohte die Qualität des Trinkwassers zu manipulieren.
Im Falle von Oldsmar konnte der anwesende Mitarbeiter diesen Vorfall live verfolgen und sofort wieder zurücksetzen. Auslöser war wohl letztlich ein nur mit einem Standardpasswort geschützter Teamviewer-Account. Nach den letzten verfügbaren Informationen muss sich der Eindringling bereits vorher im Netzwerk des Wasserversorgers befunden und von dem Account gewusst haben und auf ihn zugreifen zu können.
Die US-Regierung unter Joe Biden in den USA reagierte auf den Vorfall und brachte entsprechende Maßnahmen für mehr Sichtbarkeit und ein besseres Monitoring auf den Weg. In einer koordinierten Anstrengung zwischen dem Department of Energy ("DOE"), der Cybersecurity and Infrastructure Security Agency ("CISA") und der Energiewirtschaft legte der Plan vier Schwerpunktbereiche fest:
- Verbesserung der Mechanismen für Erkennung, Schadensbegrenzung und forensische Aktivitäten;
- konkrete Meilensteine für die Industrie, um Situationsbewusstsein und Reaktionsfähigkeiten in kritischen industriellen Kontrollsystemen (ICS) und operativen Technologienetzwerken (OT) zu entwickeln;
- Verstärkung der allgemeinen Cybersicherheit in Informationstechnologienetzwerken kritischer Infrastrukturen; und
- Programme zur freiwilligen Teilnahme der Industrie, um Technologien einzusetzen, die die Sichtbarkeit von Bedrohungen in ICS- und OT-Systemen erhöhen.
Die zunehmende Digitalisierung industrieller Prozesse führt darüber hinaus zu mehr Verbindungen zwischen Anlagennetzen und Unternehmens-IT. Auch ein Ausfall der Unternehmens-IT kann so zu Störungen in Anlagennetzen führen, beispielsweise weil wichtige Logistiksysteme nicht verfügbar sind und so eine auftragsbezogene Steuerung der Anlagenprozesse nicht mehr möglich ist. Jüngstes Exempel für einen solchen Vorfall ist die Ransomware-Attacke auf die Colonial Pipeline in den USA, über die 40 Prozent der Gaslieferungen an die Ostküste der Vereinigten Staaten laufen. Zwar waren die OT-Systeme der Pipeline nicht betroffen, aber ohne funktionierende Logistiksysteme ist ein Betrieb der Pipeline nicht sinnvoll möglich und zusätzlich machte die Ausbreitung der Ransomware in der Unternehmens-IT eine weitgehende Abschottung des Anlagennetzes notwendig, um eine weitere Ausbreitung der Schadsoftware in dieser kritischen Infrastruktur zu verhindern.
In ihrem aktuellen „ICS Cybersecurity Year in Review“-Report hat die auf ICS-Security spezialisierte Firma Dragos die Aktivitäten von insgesamt 15 Threat Groups, also Cyberkriminelle Gruppierungen, untersucht, wobei vier der Gruppen erst letztes Jahr entdeckt wurden. Eine dieser neuen Gruppen ist STIBNITE und zielt speziell auf Windturbinenunternehmen ab, die in Aserbaidschan Strom erzeugen. Basierend auf den aktuellen Erfassungsbemühungen scheint sich die Aktivität ausschließlich auf dieses Land zu beschränken. Bei regionalen Konflikten wie in diesem Fall zwischen Armenien und Aserbaidschan richten sich die Auseinandersetzungen auch gegen kritische Infrastrukturen. Der Lieferant, der Betreiber und die Instandhaltungsfirma der Windturbinen sind alle in der Ukraine ansässig. STIBNITE nutzte eine gemeinsame Command-and-Control-Infrastruktur (C2) für mehrere Angriffe, die Ende 2020 stattfanden und aktualisierte seine Malware-Funktionen, um der Entdeckung zu entgehen, nachdem Berichte über ihre Aktivitäten veröffentlicht wurden. Die Gruppe verwendet bei seinen Einbrüchen die Remote-Access-Malware PoetRAT, um Informationen zu sammeln, Screenshots zu erstellen, Dateien zu übertragen und Befehle auf den Systemen der Opfer auszuführen. Sie verschaffte sich über gefälschte Webseiten sowie Phishing-Kampagnen, die Varianten bösartiger Microsoft Office-Dokumente verwendet, Zugriff auf die Windturbinen.
Zusammenfassend lässt sich feststellen, dass für die Angriffe auf ICS von den „Threat Groups“ vor allem gehackte Nutzerkonten, infizierte E-Mail-Anhänge von Spearphishing-E-Mails, Skripte, Schwachstellen in Standard Application Layer-Protokolle und außerdem Schwachpunkte in der Supply Chain genutzt werden.
Safety vs. Security
Immer mehr IT wird für den Fernzugriff, beispielsweise zur Fernwartung auf OT-Systeme eingeführt. Aus den ehemals abgeschlossenen Insellösungen werden miteinander vernetzte Gesamtlösungen, die wie mit einer Kette miteinander verbunden sind. Maßnahmen zu deren Absicherung gegen Hackerangriffe sind schwierig, denn klassische IT-Sicherheitskonzepte lassen sich nicht eins zu eins auf die Industrie- und KRITIS-Umgebungen abbilden. Dennoch gilt, dass IT-Sicherheit in der OT immer noch nicht ernst genug genommen wird und dies muss sich ändern. Angreifer werden, wie wir an den eingangs erwähnten Beispielen gesehen haben, immer besser und professioneller darin, in die Systeme einzudringen und verstehen die Prozesse immer besser, um sie auch in ihrem Sinne manipulieren zu können.
Die wichtigste Anforderung an die OT-Verantwortlichen, ist primär für den sicheren und stabilen Betrieb zu sorgen. Die IT-Sicherheit erfordert jedoch vor allem schnelle Eingriffe und Unterbrechungen des laufenden Betriebs. Oftmals dauern das Ausschalten und Anfahren der Anlagen jedoch sehr lange, so dass triftige Gründe angeführt werden müssen, um eine solche Unterbrechung zu rechtfertigen. Hier kann nur ein umfassendes Security Monitoring, ausgewertet von erfahrenen Experten, helfen, die weniger wichtigen von den wirklich wichtigen Sicherheitsvorfällen zu trennen.
Fünf IT-Sicherheits-Empfehlungen für OT
Um Sicherheitsvorfälle zu vermeiden, sollten IT-Sicherheitsverantwortliche und OT-Verantwortliche die folgenden fünf Empfehlungen zur Erhöhung der IT-Sicherheit in OT beherzigen:
- Sichtbarkeit in OT-Netzwerken erhöhen: Sichtbarkeit umfasst Netzwerk-Monitoring, Protokollierung und die Pflege eines Collection Management Frameworks (CMF). Die Protokollierung und Überwachung von OT-Systemen ist für die Erkennung und Reaktion auf Vorfälle unerlässlich und liefert darüber hinaus verwertbare Daten zu Geräteleistung, Betrieb und Zuverlässigkeit. Die Analyse des Netzwerkverkehrs sollte auf der Grundlage der Überlegungen zu den Netzwerken und ihren Risiken priorisiert werden.
- Identifizierung und Priorisierung der wichtigsten Assets: Unter Assets sind die Anlagen gemeint, die die Kontrolle über die Komponenten ausüben, die für den sicheren Betrieb des industriellen Prozesses am wichtigsten sind. Beispiele hierfür sind HMIs, Engineering- und Operator-Workstations, Gateways und Steuerungen. Die Priorisierung der Anlagen, die im Falle einer Kompromittierung größere Auswirkungen auf das Unternehmen haben könnten, ist ein Schlüsselprinzip des Risikomanagements.
- Erhöhung der Incident Response-Fähigkeiten: Die Fähigkeit zur Reaktion auf Vorfälle ist notwendig, um den möglichen Schaden zu minimieren und einen sicheren Betrieb wiederherzustellen. Viele Organisationen verfügen über einen unternehmensweiten Plan zur Reaktion auf IT-Vorfälle, der die Maßnahmen zur Reaktion auf ICS-Vorfälle nicht berücksichtigt oder in hohem Maße missversteht.
- Netzwerk-Segmentierung: Die Netzwerksegmentierung sollte kontinuierlich kontrolliert werden, um sicherzustellen, dass sie nicht umgangen wird.
- Sicheres Credential-Management: Dazu gehören von IT und OT gemeinsam genutzte Konten, Standardkonten und Anbieterkonten. Active Directories, die von Office- und ICS-Netzwerken gemeinsam genutzt werden ist einer der häufigsten Befunde, der entschärft werden sollte. Angreifer versuchen, Konten zu kompromittieren und als Mittel für den Zugriff auf kritische ICS zu nutzen.
Die Empfehlungen decken sich mit den Ergebnissen einer regelmäßig durchgeführten Umfrage des SANS Institutes unter den ehemaligen Teilnehmern seiner ICS-Trainings, die in einer Studie veröffentlicht werden. Die Befragten gaben bei den wichtigsten Initiativen zur Erhöhung der IT-Sicherheit ihrer ICS-Umgebungen die folgenden Themen an. Mehr als 45 Prozent wollten zunächst die Transparenz über ihre Assets und Konfigurationen von Steuerungssystemen erhöhen. 37 Prozent wollten eine Sicherheitsbewertung oder Audits von Steuerungssystemen und Steuerungsnetzwerken durchführen. Mehr Engagement bei der Mitarbeitersensibilisierung in Sachen Security Awareness-Schulungen für Mitarbeiter aus der IT und aus der OT gaben knapp 30 Prozent an. Tools zur Anomalie-Erkennung und Threat Hunting fielen auf den vierten Platz mit 28 Prozent. Und auf dem fünften Rang fiel die bessere Vernetzung zwischen der IT und OT.
Fazit
Die Studie des SANS Institutes stellt zumindest einen steigenden Reifegrad bei der Identifizierung potenzieller Risiken sowie der Erkennung und Behebung von Sicherheitsvorfällen fest. Der Mensch ist laut den 338 befragten ICS-Experten die wichtigste Schwachstelle. Wichtig ist, dass sich der Sicherheitsansatz nicht allein auf die Technologie stützt, sondern die Mitarbeiter einbeziehen sollte. Ähnlich wie beim Schutz von IT-Umgebungen geht es bei der OT darum, die drei Risikokategorien People, Process and Technology in den Griff zu bekommen. Dieser gemeinsame Nenner von IT und OT gilt als Grundlage für eine Verbesserung des Reifegrades der IT-/OT-Sicherheit. Beide Welten müssen zum Wohle der IT-Sicherheit zusammenschmelzen und das Sicherheitsbewusstsein, die Ausbildung und das Training sowohl der OT- als auch der IT-Mitarbeiter als Grundlage für eine effektive IT-Sicherheit der OT verstehen.
Über den Autor: Kai Thomsen ist ICS-Trainer beim SANS Institute und Director Global Incident Response Services bei Dragos.
(ID:47553251)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927800/1927818/original.jpg "Das Scan-Tool „Trend Micro Portable Security 3 Pro“ passt sich flexibel in die täglichen Sicherheitsroutinen kritischer Unternehmens-IT-Infrastrukturen ein und hilft industrielle Kontrollsysteme (ICS) abzusichern. (ipopba - stock.adobe.com)")