So verwundbar sind industrielle Netzwerke

Cyber-Sicherheitsexperten sind sich einig, dass der Angriff auf die Wasseraufbereitungsanlage in Oldsmar im US-Bundesstaat Florida leicht zu verhindern gewesen wäre. Dies ist ein Warnsignal hinsichtlich der Sicherheit kritischer Infrastrukturen.

Am 5. Februar dieses Jahres wurde Oldsmar mit einem Cyberangriff konfrontiert, der zu einer drastischen Änderung der chemischen Zusammensetzung bei der Wasseraufbereitung führte. Weniger als fünf Minuten war der Angreifer im System. Der Anlagenbetreiber konnte die chemische Änderung sofort rückgängig machen.

Abgezielt hatte die Cyber-Attacke auf das chemische Gleichgewicht des Wassers. Vermutlich, um die rund 15.000 Einwohner der Stadt zu vergiften. Der Gehalt von Natriumhydroxid (auch bekannt als Ätznatron) stieg dabei von 100 Teilen pro eine Million auf 11.100 Teile pro Million an. Eine Dosis, die Komplikationen wie Reizungen, Brennen, Erbrechen und sogar den Tod verursachen kann, wie der Betreiber der Anlage mitteilte. Er machte die während des Angriffs verursachten Veränderungen sofort rückgängig.

Der Angriff ist ein klares Beispiel dafür, wie Menschenleben durch ein Eindringen in kritische Infrastrukturen in Gefahr gebracht werden können – und er zeigt, wie wichtig eine intelligente Echtzeit-Überwachung kritischer Infrastrukturen ist. So hätte eine Netzwerküberwachung mit Anomalie-Erkennung den Login am Morgen des Vorfalls als verdächtig und potenziell gefährlich gemeldet.

Obwohl durch den Vorfall kein Schaden entstanden ist, zeigt er einmal mehr, wie verwundbar industrielle Netzwerke sind. Er zeigt auch, wie schnell und einfach eine kritische Infrastruktur, die Tausende von Menschen versorgt, das Ziel einer Störung werden kann.

Eine Analyse des Nozomi Networks Labs Teams kam zu dem Ergebnis, dass der Angriff auf Oldsmar offenbar recht einfach war. Wenn ein wenig versierter Angreifer mit ein paar Mausklicks den Prozess einer Massenvergiftung in Gang setzen konnte, was könnte dann erst ein durchschnittlicher oder hochversierter Angreifer anrichten?

Die wahrscheinlichste Hypothese ist, dass der Angreifer durch eine Fernzugriffssoftware namens TeamViewer in das System eindringen konnte. Laut der CSO-Publikation hatte die Software bereits in der Vergangenheit Probleme mit Sicherheitsmängeln. Sie war aber die erschwinglichste Option, um dem Home-Office-Bedarf inmitten der Covid-19-Pandemie gerecht zu werden. Aus der Ferne verschaffte sich der Angreifer wahrscheinlich mit gestohlenen oder verlorenen Anmeldedaten Zugang zu einem Industrial Controls System (ICS).

Wäre TeamViewer nicht installiert gewesen, hätte der Angriff vermutlich nicht stattgefunden. Es war diese Anwendung, die den Angreifern den Zugang zu SCADA-Anlagen ermöglichte. Diese Anlagen waren über das Internet zugänglich. Dies ist eine der wertvollsten Lektionen, die man aus dem Vorfall lernen sollte: Industrielle Kontrollsysteme (ICS) und SCADA-Anlagen sollten isoliert laufen und vom restlichen Computernetzwerk geschützt werden.

Wenn ICS- oder SCADA-Systeme dem Internet ausgesetzt sind, müssen zusätzliche Kontrollen implementiert werden, um das Risiko zu minimieren. Wird eine Fernzugriffssoftware verwendet, sollte diese einen einseitigen Ansatz nutzen, um den Handlungsspielraum des Benutzers auf die Anzeige des entfernten Geräts zu beschränken. Darüber hinaus muss eine Firewall installiert werden. Der Anschluss jeglicher Technologie an das Internet ohne Firewall ist der sicherste Weg in die Katastrophe.

Oldsmar zeigt den verwundbaren Zustand vieler ICS-Installationen

Es ist bekannt, dass wir in der unvorhersehbaren Zukunft mit dieser Art von Fernzugriffs- und Lieferkettenrisiken leben müssen. Daher stellt sich die Frage, wie wir die Auswirkungen der Risiken reduzieren können.

Zunächst einmal sollte die Echtzeit-Erkennung von Angriffen nicht dem Rätselraten eines aufmerksamen Bedieners überlassen werden. Auch wenn nachfolgende Sicherheitsebenen den massiven Anstieg der Chemikalie wahrscheinlich eher früher als später gemeldet hätten: Es ist zu bezweifeln, dass die Manipulationen rechtzeitig verhindert und das Schlimmste somit abgewendet worden wäre, wenn der Angreifer etwas raffinierter gewesen wäre.

Der Vorfall unterstreicht die Notwendigkeit einer durchgängigen Angriffserkennungssoftware, die in der Lage ist, Veränderungen in kritischen Infrastrukturnetzwerken in Echtzeit zu erkennen und zu melden, betont Klaus Mochalski, CEO von Rhebo, in einem Artikel für den Blog von Paessler.

Darüber hinaus hätte ein industrielles Endpunktschutzsystem die Fähigkeit, bestimmte Operationen direkt an ferngesteuerten Anlagen automatisch zu verhindern.

In Fällen wie diesem sind Schutzmechanismen am Rande der Infrastruktur besonders wichtig. „Sie werden wirksam, wenn der erste Zugriff auf das System erfolgt. Denn sie ermöglichen es, Angriffe zu stoppen, bevor sie zu weit kommen. Und sie helfen auch, eine Seitwärtsbewegung des Angriffs zu verhindern”, kommentiert Mochalski.

Durch eine Kombination aus proaktivem Abwehrschutz und verbesserter Sichtbarkeit beziehungsweise Netzwerküberwachung können sich Manager kritischer Infrastrukturen besser gegen Einbruchsversuche positionieren.

Die Erstellung und kontinuierliche Aktualisierung eines Inventars aller Netzwerkressourcen ermöglicht es Sicherheitsteams, in Echtzeit Einblick in Geräte, Verbindungen, Kommunikation und Protokolle des Netzwerks zu erhalten. So können Netzwerkprobleme, die die Zuverlässigkeit gefährden, besser überwacht, identifiziert und behoben werden.

Nicht ohne Grund legen Unternehmen seit vergangenem Jahr mehr Wert auf die Erkennung von Bedrohungen bei kritischen Infrastrukturdiensten. Tatsächlich wird für dieses Jahr erwartet, dass die Ausgaben für Cybersicherheit in diesem Bereich 105 Milliarden US-Dollar übersteigen, wobei der asiatisch-pazifische Raum die Ausgaben anführt, so ABI Research.

Im Juli 2020 zeigte eine Studie von CyberNews auf, wie einfach es für einen Angreifer wäre, über unsichere industrielle Kontrollsysteme (ICS) in die kritische Infrastruktur der USA einzudringen. So könnte dies beispielsweise durch Suchmaschinen oder spezielle Tools geschehen, durch die Angreifer alle offenen Schnittstellen scannen und die Kontrolle aus der Ferne übernehmen.

„Ähnliche Angriffe könnten auch in Großbritannien und in ganz Europa passieren”, sagt Scott Nicholson, Direktor für Cybersicherheit und Datenschutzexperte bei Bridewell Consulting sowie Berater des britischen National Cyber Security Center (NCSC).

In seinem kürzlich veröffentlichten Bericht “CNI Cyber Report: Risk and Resilience” schreibt Bridewell, dass es eine große Lücke zwischen der wahrgenommenen Bedrohung durch einen Cyberangriff und der tatsächlichen Bedrohung von kritischen nationalen Infrastrukturen (CNI) gibt. Obwohl 78 % der 250 von ihm befragten Organisationen zuversichtlich sind, dass ihre Betriebstechnologie („Operational Technology“, OT) gegen Cyber-Bedrohungen geschützt ist ­– 28 % sogar sehr zuversichtlich –, scheint dies nicht der Realität zu entsprechen. Tatsächlich haben 86 % der Unternehmen in den letzten 12 Monaten Cyber-Angriffe auf ihre OT-/ICS-Umgebungen festgestellt, wobei fast ein Viertel (24 %) zwischen einem und fünf erfolgreiche Angriffe erlebte.

Die Branchen mit den meisten erfolgreichen Angriffen waren Wasser- und Transportwesen. Aber auch die Segmente Luftfahrt, Chemie und Energie sind ständige Ziele.

5 Schritte zum Schutz kritischer Infrastrukturen vor Angriffen

1. Sicherer Fernzugriff – ein Fernzugriff ist oft der einfachste Weg für Angreifer, ein Netzwerk zu infiltrieren. Manager müssen ihn mit Endpunktschutz, guter Passwortverwaltung und sicheren Authentifizierungsmethoden sowie dem Einsatz von Firewalls absichern.
2. Investieren Sie in eine Bestandsaufnahme – sehen Sie nicht alle Geräte im Netzwerk, ist es unmöglich, dieses zu sichern oder zu segmentieren, um eine größere Ausfallsicherheit zu erreichen. Durch die Pflege eines Echtzeit-Inventars aller Netzwerk-Assets erhalten Sicherheitsteams einen genauen Einblick in die Geräte, Verbindungen, Kommunikation und Protokolle.
3. Identifizieren und beheben Sie Schwachstellen – Industrielle Netzwerke enthalten Tausende von OT- und IoT (Internet of Things)-Geräten verschiedener Hersteller. Leider sind die meisten nicht auf das Sicherheitsniveau ausgelegt, das für eine kritische Infrastrukturumgebung erforderlich ist. Tools, die mithilfe der National Vulnerability Database (NVD) Systemschwachstellen identifizieren, können dabei helfen, die gefährdeten Geräte zu bestimmen, Prioritäten zu setzen und Firmware-Updates zu empfehlen.
4. Überwachung von Anomalien – Automatisierte Lösungen zur Erkennung von Netzwerkanomalien nutzen künstliche Intelligenz, um Anomalien anhand der tatsächlichen Parameter zu erkennen, die zur Steuerung des industriellen Prozesses verwendet werden.
5. Sicherstellung der Integration von OT- und IT-Netzwerken – OT weiß, wie man Produktionsziele erreicht und die Anlage sicher am Laufen hält, während IT Netzwerk- und Cybersicherheitsprobleme lösen kann. Die Kombination der beiden kann zu einer größeren Ausfallsicherheit führen und blinde Flecken und Sicherheitsrisiken rund um stark vernetzte industrielle Steuerungssysteme reduzieren. Dennoch wird auch die OT dedizierte Sicherheitstools benötigen.