OT-Cybersicherheitslücken – eine vernachlässigte Bedrohung

OT-Cybersicherheitslücken - eine vernachlässigte Bedrohung

OT-Cybersicherheitslücken - eine vernachlässigte Bedrohung

Bei einem unserer Kunden aus der Industriebranche identifizierten wir kürzlich eine Schwachstelle auf SPS-basierten OT-Systemen, die ein veraltetes Betriebssystem verwendeten. Auch wenn die tatsächliche Schwachstelle nur einen geringen Umfang hatte, wären die Auswirkungen bei einem erfolgreichen Angriff verheerend gewesen. Heute möchten wir Ihnen von diesem Vorfall berichten und daraus wertvolle Maßnahmenempfehlungen ableiten.

In den letzten Jahren sind die Risiken schwerwiegender industrieller Cybervorfälle deutlich gestiegen. Industrieunternehmen sind zu Hauptzielen für Ransomware und ausgeklügelte Angriffe auf kritische Infrastrukturen geworden. Die Bemühungen um die digitale Transformation durch die Konnektivität mit Cloud-Diensten, Anbietern und Remote-Mitarbeitern eröffnen dabei neue Angriffswege. Auch IoT-Geräte erzeugen mehr Schwachstellen.

Während Industrieunternehmen in den letzten Jahren stark in Cybersicherheit investiert haben, konzentrierte sich jedoch der Großteil der Ausgaben auf die IT-Sicherheit. Die OT-Sicherheit wurde dabei stark vernachlässigt. Und das, obwohl die meisten OT-Systeme über Funktionen verfügen, die veraltete Bedrohungsumgebungen beinhalten. Fortschrittliche Angriffe und die digitale Transformation erfordern jedoch fortschrittlichere OT-Cybersicherheitsmaßnahmen, die Bedrohungen identifizieren und schnell auf verdächtiges Verhalten reagieren können.

Im OT-Bereich sollten Cybersicherheitsmanagementlösungen folgende Funktionen enthalten:

  • Automatisierung von zeitaufwändigen Aktivitäten wie Bestandsaufnahmen, Compliance-Berichte und Bewertungen von Schwachstellen-Hinweisen.
  • Echtzeit-Kontextualisierung von Sicherheitswarnungen z. B. über SIEM (Security Information and Event Management) und eine schnelle Prüfung potenzieller Sicherheitsbedrohungen. Echtzeit-Kontextualisierung bedeutet, dass die gesammelten Daten in Echtzeit mit Kontextinformationen angereichert werden. Kontext zu Benutzern, Assets, IP-Adressen, Geolokalisierung, Bedrohungsinformationen und Ergebnissen von Schwachstellenscans. Wird ein Alarm tatsächlich ausgelöst, helfen die Kontextinformationen den Schweregrad einzuschätzen. Echtzeit-Kontextualisierung nimmt einen Teil der Ermittlungsarbeit bei der Analyse von Sicherheitswarnungen ab, sobald sie generiert werden. Sie können IT-Sicherheitsteams mit relevanten Zusatzinformationen versorgen, die mit den Sicherheitswarnungen verbunden sind.
  • Schnelles Blockieren bekannter Bedrohungen und Erleichterung der Implementierung von „Kill-Chain“-Aktionen, um aktive Angriffe zu stoppen. Es empfiehlt sich ebenfalls die Vereinfachung der Isolierung kompromittierter Assets sowie die Wiederherstellung von Systemen
  • Kontinuierliche Analyse von Risiken basierend auf neuen Schwachstellen und Bedrohungen.
  • Unterstützung bei der Planung von Cybersicherheitsinvestitionen zur Bewältigung neuer Sicherheitsherausforderungen.

Die Certified Security Operations Center GmbH erarbeitet Lösungen zur Erkennung von Anomalien und Sicherheitsverletzungen, die Eindringlinge schnell erkennen und den Verteidigern, in diesem Fall Unternehmen, Zeit zum Reagieren geben, bevor Angreifer Schaden anrichten können. So auch in dem aktuell beschriebenen Fall. Wir bieten Lösungen, die anormales Verhalten innerhalb von Assets und der Netzwerkkommunikation erkennen können.

Unser Red-Team führt kontinuierlich Simulationen von Angriffen durch, um Wahrscheinlichkeitsschätzungen erfolgreicher Kompromittierungen zu generieren. Anfängliche Schätzungen werden auf nicht abgeschwächten Systemen durchgeführt, um eine solide Sicherheitsbasis zu erhalten. Die Simulation berücksichtigt alle vorhandenen Sicherheitskontrollen und hilft uns dabei unsere Sets an Regeln auf Richtigkeit zu prüfen.

Gerne möchten wir Ihnen für die Sicherheit Ihrer OT-Systeme folgende Handlungsempfehlungen geben:

  • Es sollten regelmäßig Risikoanalysen durchgeführt werden, um Gefahren zu erkennen und zu bewerten. Die Risikoanalyse sollte spezifisch für ein Unternehmen, eine Produktionsumgebung, ein System, eine Anlage oder eine Maschine durchgeführt werden.
  • Durch Authentifizierung und Autorisierung kann sichergestellt werden, dass nur berechtigte Mitarbeiter Zugriff auf Maschinen und Anlagen haben.
  • Segmentierung des Betreibernetzes in einzelne abgetrennte Segmente in der OT-Umgebung bzw. die Trennung des OT-Netzes vom Unternehmens- und externen Netzwerk.
  • Alle ICS- (Industrial Control System) Komponenten sollten auf ihre Sicherheit überprüft und das Netzwerkdesign entsprechend gestaltet werden, um die Ausnutzung von bekannten Schwachstellen einzudämmen.
  • Erarbeitung und Umsetzung von Sicherheitsrichtlinien und –Prozessen. Es müssen Rollen, Zuständigkeiten und Verantwortlichkeiten definiert werden. Zudem sollten Unternehmen regelmäßig Übungen zur Reaktion auf Vorfälle durchführen, um die organisatorische Effektivität zu testen.