Es ist an der Zeit, den Schutz kritischer Infrastrukturen zu verbessern

In den letzten Jahren haben sich IoT-Geräte zu einem gängigen Zugangspunkt für das gesamte Netzwerk entwickelt und werden im Vergleich zu weit verbreiteten IT-Plattformen und Betriebssystemen oft übersehen. Denn häufig laufen auf IoT-Geräten vereinfachte Betriebssysteme, bei denen aus Energie- und Kostengründen Sicherheitsfunktionen entfernt wurden. Während sich OT-Systeme wie SCADA- und ICS-Geräte auf Lücken zwischen Wi-Fi, dem Internet und dem größeren IT-Cloud-Netzwerk verlassen konnten, ist dies nun nicht mehr der Fall. Deshalb müssen die Sicherheitsvorkehrungen entsprechend verstärkt werden.

Die Verbesserung des Cyberschutzes in OT- und IoT-Umgebungen erfordert einen vielschichtigen Ansatz, der in der Regel komplementäre Technologien, gut definierte Aufsicht und Prozesse sowie die notwendige Sicherheitshygiene umfasst. Allzu oft lassen überlastete Sicherheitsteams menschliches Versagen zu, um selbst die fortschrittlichsten Schutzmaßnahmen durch schwache Passwörter, falsch konfigurierte Netzwerke, Geräte oder Social Engineering zu gefährden. Denn viele Ransomware-Angriffe beginnen damit, dass ein unbedarfter Benutzer auf einen bösartigen E-Mail-Link in einem gut geschützten Netzwerk klickt.

Die Netzwerksegmentierung ist eine weitere Schlüsselkomponente einer Cyber-Abwehrstrategie, die die Ausbreitung von Malware auf kritische Anwendungen und OT-Prozesse verhindern soll. Für die Segmentierung von Netzen eignen sich verschiedene Technologien wie VLANs und Firewalls, je nach Umgebung und Richtlinienanforderungen. In OT-Netzwerken ist das Purdue-Modell eine Möglichkeit, Netzwerkzonen zu schaffen, die sich an Prozesselementen und Systemfunktionen orientieren. Allerdings gibt es viele Unternehmen mit völlig flachen Netzwerken (minimale Segmentierung), in denen Systeme mit geschäftskritischen Anwendungen und Prozessen nur wenig oder gar nicht isoliert sind.

Obwohl diese Strategien bekannt sind, stören Angriffe auf die Lieferkette weiterhin Tausende von Unternehmen – je nachdem, wie weit verbreitet eine gemeinsame Softwarekomponente ist und wie leicht eine Sicherheitslücke ausgenutzt werden kann.

Der erste öffentlichkeitswirksame Angriff auf die Lieferkette ereignete sich vor mehr als einem Jahr, als eine Schwachstelle von SolarWinds Dutzende von kritischen Netzwerkoperationen in verschiedenen Branchen und bei der Bundesregierung gefährdete. Seitdem hat sich die Aufmerksamkeit in diesem Bereich erhöht. Das liegt auch daran, dass immer mehr Bedenken, tatsächliche Schwachstellen und Sicherheitslücken im Open-Source-Code aufkommen.

Wenn Schwachstellen in Open-Source-Software bekannt werden, die von vielen Anwendungen genutzt wird, kann der Schaden genauso groß oder noch größer sein als bei Software von Einzelanbietern. Das hängt davon ab, wie weit verbreitet die Bibliothekskomponente ist.

Dies war der Fall, als im Dezember die Sicherheitslücke Log4Shell bekannt wurde. Log4Shell wurde in der Open-Source-Protokollierungsbibliothek Apache Log4j (ausgesprochen: log-forge) gefunden, die in kommerziellen Anwendungen und großen Online-Plattformen weit verbreitet ist. Aufgrund der Einfachheit dieses Exploits konnten Cyberkriminelle ihre Angriffe starten, noch bevor weltweit Patches und Abhilfemaßnahmen zur Verfügung standen. Eine der größten Ransomware-Gruppen war sogar dazu in der Lage, die Schwachstelle innerhalb einer Woche zu nutzen und einen Angriff auf VMware vCenter-Implementierungen auszuführen.

Der neueste OT/IoT-Sicherheitsbericht von Nozomi Networks Labs untersucht Cyberangriffstrends, Schwachstellen und Gegenmaßnahmen für das zweite Halbjahr 2022.

Laut der Studie ist die Zahl der gemeldeten Schwachstellen im Vergleich zum ersten Halbjahr 2021 um 21 % auf insgesamt 651 CVEs gestiegen. Die Zahl der betroffenen Lieferanten und Produkte ist jedoch im Vergleich zum zweiten Halbjahr 2020 zurückgegangen.

Für 2022 wird erwartet, dass sich die Angriffe nach Europa und in andere Länder verlagern, da die Bedrohungsakteure leichtere Ziele in Ländern anvisieren, in denen die Gefahr von Vergeltungsmaßnahmen der Regierung geringer ist. Während man weiterhin große Lösegeldzahlungen in Höhe von mehreren Millionen Dollar sehen wird, wird es wahrscheinlich auch eine größere Anzahl kleinerer Lösegeldzahlungen geben, bei denen verschiedene Erpressungstaktiken zum Einsatz kommen. Denn die Gefährder finden Wege, um die Wahrscheinlichkeit einer Auszahlung zu erhöhen und gleichzeitig unter dem öffentlichen Radar zu bleiben. Außerdem erwarten die Analysten von Nozomi Networks, dass es auch bei kleineren ICS-Zielen, einschließlich der Lebensmittelindustrie, zu Einbrüchen kommen wird. Diese verfügen über geringere Sicherheitsbudgets, stehen aber vor denselben Herausforderungen wie größere ICS-Installationen.

Es ist davon auszugehen, dass die Bedrohungsakteure ihre Taktiken weiterentwickeln und die Opfer ihre Reaktionen entsprechend anpassen werden. Regierungen und private Unternehmen werden wahrscheinlich offensiver vorgehen, wenn sich mehr Organisationen wehren. Die Strafverfolgungsbehörden werden ihre Bemühungen zur Wiederbeschaffung von Bitcoin verstärken und die Belohnungen für Informationen, die zur Festnahme von Cyberkriminellen führen, erhöhen. Auf privater Seite ist zu erwarten, dass immer mehr Unternehmen die Sache selbst in die Hand nehmen und Cyber-Detektive und White-Hat-Hacker engagieren, um Cyber-Angreifer aufzuspüren und auszuschalten.

Während es keinen Zweifel daran gibt, dass die Cyber-Bedrohungen weiter zunehmen und sich weiterentwickeln werden, setzen Analysten darauf, dass die Maßnahmen der Verteidiger reifen.

„Die Bedrohungsszenarien, die wir seit Jahren diskutiert haben – und auch die, die wir nicht diskutiert haben – sind real geworden. Gleichzeitig haben sich die IT- und OT-Organisationen weiter zusammengeschlossen und sind stärker geworden. Das Gleiche gilt für ihre Sichtweise und ihren Ansatz zur Cybersicherheit. Heutzutage ist die Cybersicherheit in der Industrie und bei kritischen Infrastrukturen eine Top-Priorität, die in immer mehr Fällen für den Erfolg notwendige Ressourcen fordert und erhält“, argumentiert Edgard Capdevielle, CEO von Nozomi Networks.

Eine weitere Nozomi-Studie ergab, dass die meisten Unternehmen endlich die notwendigen Schritte unternehmen, um ihre Sicherheitsvorkehrungen zu verbessern, indem sie ihre Überwachungs- und Bedrohungserkennungsfähigkeiten steigern.

Worauf müssen die ICS-Betreiber achten?

Die meisten Unternehmen verfügen über Überwachungsprogramme. Diese betrachten allerdings immer noch hauptsächlich die IT-Aspekte ihrer OT-Umgebungen. Hinzu kommt, dass sie ihre IT-Sicherheits- und OT-Telemetrie sowie Prozessdaten miteinander in Beziehung setzen müssen, um die potenziellen Auswirkungen auf Sicherheit und Betrieb wirklich zu verstehen. Darüber hinaus ist es notwendig, sich auf die Grundlagen zu konzentrieren. Viele Teilnehmer an dieser Studie hatten kein formelles Programm zur Identifizierung und Inventarisierung von Vermögenswerten. Ohne diesen grundlegenden Schritt können andere Sicherheitsinvestitionen ungültig sein, falsch eingesetzt werden, über oder unter dem tatsächlichen Bedarf liegen.