Kritische Ausfälle: Zahlreiche industrielle Steuerungssysteme betroffen

Viele Unternehmen sind bestrebt, die Vorteile einer Anbindung von Industrieanlagen an das Internet sowie die Konvergenz von Betriebstechnologien und IT-Systemen (OT-IT-Konvergenz) zu nutzen. Diese Entwicklung hat jedoch die Aufmerksamkeit von Bedrohungsakteuren auf sich gezogen. Insbesondere von denjenigen, die Schwachstellen in diesem Umfeld ausnutzen, um Angriffe und Erpressungsaktionen mit Gewinnabsicht durchzuführen.

Ein Bericht des auf industrielle Cybersicherheit spezialisierten Unternehmens Claroty hat ergeben, dass in der ersten Hälfte des Jahres 2021 637 Schwachstellen in industriellen Kontrollsystemen (ICS) gefunden wurden. Diese betreffen die Produkte von 76 Anbietern. Von dieser Gesamtzahl wurden fast 71 % als hochriskant oder kritisch eingestuft. Bei 65 % der Schwachstellen bestand die Möglichkeit, dass die Verfügbarkeit vollständig ausfällt.

Etwa 81 % der in diesem Zeitraum bekannt gewordenen Schwachstellen wurden von Quellen außerhalb der Hersteller entdeckt – darunter Forschungseinrichtungen, unabhängige Forscher und Mitglieder von Universitäten.

Die meisten Schwachstellen betrafen das Betriebsmanagement (23,5 %), grundlegende Kontrollsysteme (15,2 %) und Überwachungssysteme (14,8 %). Dem Bericht zufolge kann das Betriebsmanagement ein kritischer Schnittpunkt mit IT-Netzwerken sein. Zu diesen Systemen gehören Server und Datenbanken, die für den Produktionsfluss unerlässlich sind oder die Daten für die Systeme der Geschäftsbereiche sammeln. Zu den grundlegenden Steuerungssystemen gehören speicherprogrammierbare Steuerungen (SPS), Remote-Terminal-Einheiten (RTU) und andere Komponenten zur Anlagenüberwachung. Überwachungssysteme stellen die Schnittstelle zwischen Mensch und Maschine dar und umfassen Elemente, die Daten aus der Basissteuerung überwachen.

Darüber hinaus zeigen die Daten des Berichts, dass 61,4 % der Schwachstellen Angriffe von außerhalb der IT- oder OT-Netze ermöglichen. Dieser Prozentsatz ist gegenüber dem zweiten Halbjahr 2020 (71,5 %) gesunken. Andererseits sind die Schwachstellen, die über lokale Angriffsvektoren ausgenutzt werden können, von 18,9 % im zweiten Halbjahr 2020 auf 31,5 % angestiegen. Bei 72,1 % dieser Schwachstellen ist der Angreifer auf die Interaktion mit dem Benutzer angewiesen, z. B. durch Spam oder Phishing, um seine Maßnahmen zur Ausnutzung der Schwachstelle in die Tat umzusetzen.

Schadensbegrenzung und Abhilfemaßnahmen

Mehr als ein Viertel (25,6 %) der 637 in industriellen Kontrollsystemen gefundenen Schwachstellen wurden nicht oder nur teilweise behoben. In dieser Gruppe wurden fast 62 % der Schwachstellen in der Firmware gefunden. Mehr als die Hälfte (55,2 %) könnte zur Ausführung von Remote-Code führen und 47,9 % könnten Bedingungen für Angriffe vom Typ Denial-of-Service schaffen. Bei den anderen drei Vierteln der Schwachstellen, die behoben wurden, waren in 59,5 % der Fälle Softwarekorrekturen erforderlich.

Von den insgesamt 637 gefundenen Schwachstellen betrafen 6,5 % auslaufende Produkte, die nicht mehr unterstützt werden. In dieser Gruppe wurden 51,2 % in der Firmware gefunden.

Besorgnis der US-Regierung

Die jüngsten Cyberangriffe in den Vereinigten Staaten, einschließlich des Angriffs auf die Colonial Pipeline, die größte Ölpipeline des Landes, haben gezeigt, wie anfällig die industriellen Kontrollsysteme des Landes und die Cybersicherheit kritischer Infrastrukturen sind. Diese werden größtenteils vom privaten Sektor betrieben.

Vor diesem Hintergrund unterzeichnete Präsident Biden im Juli ein Memorandum, das sich mit der Cybersicherheit für kritische Infrastrukturen und den Bemühungen zur Bekämpfung der gegen sie gerichteten Bedrohungen befasst. Es handelt sich dabei um eine Zusammenarbeit zwischen der US-Regierung und der Gemeinschaft der kritischen Infrastrukturen. Damit soll die Einführung von Technologien erleichtert werden, die die Sichtbarkeit von Bedrohungen, Indikatoren, Erkennungs- und Warnsysteme gewährleisten.

Die Initiative begann Mitte April mit einem Pilotprojekt in einem Teilbereich der Elektrizitätswirtschaft, in dem mehr als 150 Versorgungsunternehmen fast 90 Millionen Privatkunden versorgen. Ein Plan für Gaspipelines ist in Arbeit, Maßnahmen für andere Sektoren werden später in diesem Jahr getroffen werden, so das Memorandum.

Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) unterhält ebenfalls eine Initiative, die darauf abzielt, gemeinsame Anstrengungen von Regierung und Industrie zu fördern, um die Cybersicherheit von industriellen Kontrollsystemen (ICS) zu verbessern. Die CISA hilft dabei, Schwachstellen zu identifizieren und zu veröffentlichen. Außerdem entwickelt sie Strategien, um die Auswirkungen potenzieller Vorfälle abzuschwächen und Risiken zu verringern.

Die CISA-Website enthält Warnmeldungen mit einer Zusammenfassung von Sicherheitsproblemen, Schwachstellen und Ausnutzungsmöglichkeiten. Zudem finden sich dort Warnungen vor Bedrohungen oder Aktivitäten, die sich auf Netzwerke von Unternehmen mit kritischer Infrastruktur auswirken können.