Nozomi Networks - OT-Systeme immer häufiger durch Cyberattacken gefährdet

In Deutschland heißt es "Industrie 4.0", in Japan "Gesellschaft 5.0" und in China hat die Regierung den Plan "Made in China 2025" zur Entwicklung der produzierenden Industrie erstellt. Auch wenn diese Pläne für die Industrie 4.0 nicht identisch sind, liegt jedem von ihnen ein entscheidendes Konzept zugrunde: Die industrielle Fertigung und damit die Sicherheit der Betriebstechnik (OT) in einer digitalen Wirtschaft.

Leider gefährdet ein außerordentlicher Anstieg der Cyberangriffe die Produktivitäts- und Flexibilitätssteigerungen der neuen Fertigungssysteme. Daher ist es wichtig, Sicherheitsschwächen innerhalb von OT-Systemen zu identifizieren sowie zu entscheiden, was getan werden kann, um diese Schwachstellen zu schließen.

Jede dieser Fertigungsinitiativen betont, dass die Zukunft die Integration zwischen der digitalen und physischen Welt ist, in der Rohstoffe zu Waren verarbeitet werden. Industry 4.0 setzt voraus, dass die Integration auf einem hohen Maß an Automatisierung, intelligenter Fertigung und Optimierung von OT- und Logistiksystemen basieren wird. Dies kann beispielsweise durch die Ausweitung der Analyse großer Datenmengen, der Echtzeit-Datenerfassung und des maschinellen Lernens vorangetrieben werden.

So beeindruckend dies auch klingt, diese neue industrielle Revolution muss sich mit der außerordentlichen Zunahme von Cyberangriffen befassen, die OT-Systeme und die Automatisierung in der Fertigung durchgehende in Gefahr bringen.

Wie häufig geraten OT-Systeme ins Fadenkreuz von Cyberkriminellen?

Die Öffnung traditionell geschlossener OT-Umgebungen bedeutet, dass diese nicht mehr immun gegen traditionelle Bedrohungen sind, welche auf IT-Umgebungen abzielen. Obwohl Vorfälle selten öffentlich bekannt gegeben werden, bieten Berichte Dritter Einblicke in den Umfang und die Art der Bedrohungsaktivitäten.

Einer dieser Berichte, der „IBM X-Force Threat Intelligence Report Index 2020“ berichtete über einen erstaunlichen Anstieg von über 2000% bei Cyberangriffen, die auf OT-Umgebungen abzielen. Zu den gängigsten Techniken gehörten gezielte Angriffe auf bekannte Schwachstellen und Brute-Force-Passwort-Angriffe auf alte OT-Hardware und -Software.

Diese sehr gezielten Angriffe verstärken die Notwendigkeit, die Verfügbarkeit von Ressourcen zu schützen und eine Unterbrechung des Produktionsprozesses zu verhindern. Die Angreifer wissen, dass sie nur ein Element einer komplexen Lieferkette erfolgreich unterbrechen müssen, um die gesamte Produktionslinie zum Stillstand zu bringen.

In den meisten Fertigungsbetrieben sind spezialisierte OT-Netzwerke im Einsatz, doch alltägliche IT-Systeme sind oft der Dreh- und Angelpunkt, den die Angreifer nutzen, um bis zu OT-Umgebungen durchzubrechen.

IT- und OT-Netzwerke werden zunehmend miteinander verbunden. Verbundene Systeme sind aus betrieblicher Sicht sinnvoll, da sie es einem einzigen Team ermöglichen, Produktionssysteme ganzheitlich zu verwalten. Leider öffnet diese Konnektivität OT-Systeme ebenfalls für Angriffe.

Eines der bekanntesten Beispiele für einen erfolgreichen Cyberangriff die über IT-Systeme auf OT-Produktionssysteme ist die Schadsoftware „Triton“, welche auf anfällige IT-Systeme zielte, um schließlich 2017 den Betrieb in einer petrochemischen Anlage zu stören. „Triton“ war der erste OT-orientierte Angriff, der auf ein sicherheitsinstrumentiertes System (SIS) abzielte, eine kritische Komponente industrieller Prozesse. SIS ist die "letzte Front" der automatisierten Sicherheitsverteidigung für Industrieanlagen und soll Geräteausfälle und katastrophale Vorfälle wie Explosionen oder Feuer verhindern.

In einem anderen Beispiel deckte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2014 auf, dass ein Stahlwerk durch eine Cyberattacke beschädigt worden war, bei dem mit einer Speer-Phishing-Kampagne Zugangsdaten gestohlen wurden, um Zugang zum IT-Netzwerk des Unternehmens zu erhalten. Nachdem das Hauptnetzwerk kompromittiert worden war, zielte der Angriff auf die Kontrollsysteme des Werks. Dies führte zu Ausfällen, die die Hochöfen des Werks schwer beschädigten.

Erhöhen IoT-Geräten das Cyber-Sicherheitsrisiko in OT-Umgebungen?

Der Einsatz der IoT-Technologie in industriellen Umgebungen nimmt rasant zu, da Unternehmen aus Wettbewerbsgründen den Einsatz dieser kostengünstigen Geräte zur Verbesserung des Manufacturing Operations Management (MOM) begrüßen. IoT-Geräte liefern einen Mehrwert durch die genaue Überwachung einer Vielzahl von Prozessen in der Fertigung, wie bspw. Strömung, Feuchtigkeit, Licht, Druck, Nähe, Schall, Temperatur und Vibration.

Juniper Research prognostizierte kürzlich, dass es bis zum Jahr 2024 83 Milliarden IoT-Verbindungen geben wird. Über 70% davon werden im Industriesektor sein. Diese konvergierten OT/IoT-Umgebungen erhöhen nicht nur die Sicherheitsherausforderung, sondern verändern auch die Sicherheitskonzepte, da die IoT-Gerätesicherheit nicht Schritt gehalten hat. Beispielsweise haben viele der eingesetzten IoT-Geräte eine begrenzte Rechenleistung und sind daher nicht in der Lage, eigenständig einen Schutz vor Angriffen zu gewähren. Auch fehlt oftmals die Möglichkeit, die Firmware zu aktualisieren, so dass Millionen von älteren IoT-Geräten mit anfälligen Betriebssystemen ständig dem Risiko eines Angriffs ausgesetzt sind.

Was ist die Zukunft der Sicherheit in konvergierten OT/IoT-Umgebungen?

Die Umarmung von Automatisierung und autonomen Systemen in der Industrie 4.0 erfordert, dass Unternehmen in ihren OT-Fertigungsumgebungen dieselben Cyber-Verteidigungsschichten anwenden wie in ihren IT-Umgebungen.

Eine ständige Herausforderung für die IT- und OT-Sicherheitsteams besteht darin, zu wissen, welche Geräte sich in ihrem Netzwerk befinden. Dazu gehört auch die Fähigkeit, den Zustand ihres Netzwerks in Echtzeit zu überwachen, um das Verhalten der Geräte zu verstehen. Die frühzeitige Erkennung anomaler Aktivitäten kann Betriebsunterbrechungen aufgrund von Wartungsproblemen sowie Cyberattacken verhindern.

Außerdem ist im Zeitalter der Remote-Mitarbeiter die Echtzeit-Einsicht in die Anzahl der per Fernzugriff verbundenen Geräte und in das Verhalten der Remote-Systeme von entscheidender Bedeutung.

Ein weiterer wichtiger Aspekt der Herstellung von Cybersicherheit ist die Nutzung mehrerer Quellen von Bedrohungsinformationen, um die Fähigkeit zur Erkennung von Angriffen auf OT- und IoT-Systeme zu verbessern.

SOC-Teams müssen in der Lage sein, schnell zu reagieren, wenn anomales Verhalten in ihrem Netzwerk erkennen. Viele Angreifer bewegen sich vertikal, sobald sie ein System innerhalb eines Netzwerks kompromittiert haben, um schnell eine umfassende Systemaufklärung durchzuführen.

Um das Potenzial eines Cyberkriminellen, der eine bekannte Schwachstelle ausnutzt, zu verringern, ist die Kenntnis der anfälligen Systeme von grundlegender Bedeutung für bewährte Praktiken im Bereich der Cybersicherheit. Es sollte daher einen genau definierten Prozess der Schwachstellenbewertung und -behebung geben.

Was kann getan werden, um Cybersicherheitsrisiko in der Produktion zu minimieren?

Mit der erweiterten Angriffsfläche müssen sich Organisationen auf Angriffe vorbereiten, die auf ihre bisher ignorierten OT-Umgebungen in der Fertigung abzielen.

Diese OT-Altsysteme, die früher isoliert und proprietär waren, sind jetzt mit IT-Systemen verbunden, welche direkt mit dem Internet verbunden sind. Auf ihnen laufen Betriebssysteme und Anwendungen mit gut dokumentierten und leicht ausnutzbaren Schwachstellen.

Es ist wichtig, ein genaues Verständnis der Geräte in Ihrem Fertigungsnetzwerk zu entwickeln und eine genaue Übersicht über alle Geräte zu erstellen Des Weiteren müssen Fertigungssysteme kontinuierlich auf bösartiges und anomales Verhalten überwachen, das sich auf den Betrieb auswirken könnte. Zu guter Letzt müssen Bedrohungsinformationen und Schwachstellenbewertungen ergänzt werden, mit welchen die Cyber-Flexibilität deutlich erhöht werden kann – sprich die Fähigkeit, den Betrieb während und nach einem Cyberangriff fortzusetzen.