OT-Cybersicherheitstechnologie

Cybersicherheit für industrielle Netzwerke stärken

OT, Industrie
LinkedInRedditWhatsAppPocket

Industrielle Netzwerke rücken zunehmend ins Visier von Cyberangriffen, was die Betriebssicherheit gefährdet und weitreichende Folgen haben kann. Dieser Artikel beleuchtet moderne Bedrohungsszenarien und zeigt fundierte Strategien auf, um OT-Umgebungen resilienter und sicherer zu machen.

Industrielle Kontrollsysteme (ICS) und OT-Netzwerke sind das Rückgrat kritischer Infrastrukturen und bilden die Basis moderner Gesellschaften. Ihre Sicherheit ist daher von höchster Bedeutung. Umso bedenklicher ist es, dass in den letzten Jahren sich die Angriffe auf OT-Umgebungen nicht nur in ihrer Häufigkeit, sondern auch in ihrer Komplexität gesteigert haben. Im Jahr 2023 verzeichnete die Industrie eine 50%ige Zunahme an Ransomware-Angriffen, wobei der Fertigungssektor besonders betroffen war. Es wird immer wichtiger, aktuelle Bedrohungsszenarien zu verstehen und wirksame Schutzstrategien zu entwickeln.

Anzeige

Die Bedrohungslandschaft im Überblick

Cyberangriffe auf industrielle Netzwerke sind mittlerweile weit verbreitet und betreffen eine Vielzahl von Branchen unseres täglichen Lebens – darunter Energieversorgung, Wasserwirtschaft, Transport und Produktion. In den letzten Jahren waren vor allem geopolitische Spannungen ein wichtiger Katalysator für gezielte Cyberoperationen. Der Ukraine-Krieg ist ein prägnantes Beispiel, bei dem Angreifergruppen wie ELECTRUM gezielte Angriffe auf Energieunternehmen durchgeführt haben, um militärische und politische Ziele zu erreichen. 

Zusätzlich werden Hacktivistengruppen wie die CyberAv3ngers, die mit relativ einfachen Mitteln erhebliche Störungen verursachen konnten, von staatlichen Akteuren zur Verschleierung ausgerüstet und instrumentalisiert. Ihr Angriff auf Wasserwerke in Europa und Australien hat gezeigt, dass auch weniger technisch versierte Akteure in der Lage sind, operative Systeme zu stören.

Ein spezifischer Fall: FrostyGoop und seine Auswirkungen

Die Entdeckung der FrostyGoop-Malware war eine besonders alarmierende Entwicklung. Im Januar 2024 kam es zu einem Angriff auf ein Fernheizwerk in der Ukraine, bei dem Schwachstellen ausgenutzt wurden, um Einfluss auf Steuerungs- und Regeltechnik zu erlangen. Der Angriff führte zu einer zweitägigen Unterbrechung der Heizversorgung für über 600 Wohngebäude. Dies verdeutlicht, dass Angriffe auf OT-Systeme nicht primär auf digitale Schäden, sondern reale physische Konsequenzen haben bewirken wollen.

Anzeige

Diese Malware wurde im April 2024 von Dragos identifiziert und ist eine der wenigen OT-spezifischen Bedrohungen, die direkt auf Modbus-TCP-Kommunikation abzielen – ein standardisiertes Kommunikationsprotokoll, das weltweit in industriellen Systemen eingesetzt wird. FrostyGoop nutzte den weitverbreiteten Port 502, um auf die Holding Registers von OT-Geräten zuzugreifen und diese zu manipulieren. Diese Register enthalten kritische Konfigurations- und Betriebsdaten, wodurch solche Angriffe potenziell gravierende Auswirkungen haben können. Die Fähigkeit von Malware wie FrostyGoop, dieses Protokoll auszunutzen, zeigt, wie wichtig eine genaue Überwachung des Netzwerkverkehrs und die Implementierung proaktiver Schutzmaßnahmen sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Herausforderungen beim Schutz industrieller Netzwerke

OT-Umgebungen haben andere Anforderungen als IT-Systeme. Die Notwendigkeit, Anforderungen an Betriebssicherheit (Safet) sowie den Geschäftsbetrieb aufrechtzuerhalten und der Einsatz spezialisierter Systeme erschweren es, Sicherheitsmaßnahmen aus der IT einfach zu übertragen. Die größten Herausforderungen sind daher:

  • Veraltete Systeme: Viele OT-Komponenten sind mehrere Jahre (wenn nicht Jahrzehnte) alt und wurden ohne Berücksichtigung moderner Sicherheitsanforderungen entwickelt.
  • Unzureichende Patching-Strategien: Viele Unternehmen vermeiden regelmäßige Updates, weil das Patchen von Software zu Betriebsunterbrechungen führen kann. Dies verlängert die Zeit, in der Schwachstellen ausgenutzt werden können.
  • Fehlende Netzwerksegmentierung: IT- und OT-Netze sind oft nicht ausreichend voneinander getrennt, so dass Angreifende über unsichere Netze eindringen und sich Zugang zu wichtigen Kontrollsystemen verschaffen können.

Moderne Bedrohungstechniken und AkteurInnen

Die Bedrohungsszene wird von einer Vielzahl von Gruppen dominiert: von staatlich unterstützten Gruppen bis zu HacktivistInnen. Gruppen wie GANANITE und VOLTZITE verwenden ausgeklügelte Techniken zum Datendiebstahl und verdeckte Operationen, während weniger ausgeklügelte Gruppen auf einfache Angriffsmethoden wie öffentlich zugängliche Geräte und Phishing-Kampagnen setzen.

Ein zunehmend verbreiteter Ansatz ist „living off the land“ (LOTL). Dabei nutzen die Angreifenden bereits vorhandene Tools und Prozesse innerhalb eines Netzwerks, um ihre Aktivitäten zu tarnen. Diese Technik macht es schwer, Angriffe zu erkennen und zu bekämpfen, da sie auf legitimen Prozessen basiert.

Bewährte Schutzstrategien für OT-Umgebungen

Um der wachsenden Bedrohungslage zu begegnen, müssen Unternehmen umfassende Strategien entwickeln, die weit über reine IT-Sicherheitsmaßnahmen hinausgehen. Dazu hat Dragos mit dem SANS-Institut fünf Maßnahmen für die ICS/OT-Cybersicherheit identifiziert, die als Grundlage für den Schutz und die Vorbereitung auf zukünftige Gefahren dienen können:

  • Einen spezialisierten ICS/OT-Incident-Response-Plan entwickeln: Ein dedizierter Incident-Response-Plan sollte spezifische ICS-Bedrohungsszenarien berücksichtigen und regelmäßige Schulungen sowie Tabletop-Übungen einschließen. Dies hilft, die Reaktionsfähigkeit zu verbessern und Schwachstellen im Plan zu identifizieren.
  • Sicherer Fernzugriff: Ein sicherer Fernzugriff ist entscheidend, um OT-Umgebungen zu schützen. Multi-Faktor-Authentifizierung (MFA) und die Nutzung von Jumphosts mit spezialisierter Überwachung bieten zusätzlichen Schutz.
  • OT Netzwerktransparenz und -überwachung: Die Implementierung von Überwachungs-Tools, die speziell für OT-Umgebungen entwickelt wurden, ist unverzichtbar. Dadurch können verdächtige Aktivitäten erkannt werden, und die Verteidiger haben die Möglichkeit, auf Anomalien zu reagieren.
  • Verteidigungsfähige Architektur: Eine Netzwerksegmentierung trennt kritische Komponenten von weniger gesicherten Teilen des Netzwerks und erschwert es Angreifern, lateral zu migrieren. Darüber hinaus sollten alle unnötigen Dienste und Zugriffsprotokolle entfernt oder deaktiviert werden.
  • Risikobasiertes Schwachstellenmanagement: Eine umfassende Sicherheitsbewertung der Lieferkette ist notwendig, um Schwachstellen bei Drittanbietern zu identifizieren und zu beseitigen. Dies schließt die Überprüfung der Sicherheitspraktiken und der verwendeten Technologien aller Partner ein.

Zukunftsperspektiven: Nachhaltige Cybersicherheit

Die fortschreitende Digitalisierung wird OT-Umgebungen auch in Zukunft anfällig für Cyberbedrohungen machen. Unternehmen müssen daher ihre Strategien stetig anpassen und fortlaufend in Weiterbildung, Prozesse und Technologien investieren. Ein kontinuierlicher Dialog zwischen Führungskräften, Technikteams und externen SicherheitsexpertInnen ist unerlässlich, um auf neue Bedrohungen vorbereitet zu sein und langfristig die Resilienz zu stärken.

Die Sicherung industrieller Netzwerke erfordert einen umfassenden und koordinierten Ansatz, der alle Aspekte der Betriebstechnologie abdeckt. Unternehmen müssen ihre Reaktionspläne verfeinern, Netzwerke segmentieren, Fernzugriffe sichern und durchgängige Überwachung implementieren. Nur durch proaktive und nachhaltige Maßnahmen können Unternehmen den Schutz ihrer kritischen Infrastrukturen gewährleisten und den wachsenden Bedrohungen entgegentreten.


Kai-Thomsen

Kai

Thomsen

Director of Global Incident Response Services

Dragos

Kai Thomsen, Director of Global Incident Response Services bei Dragos, koordiniert das globale Team von ICS- und Threat-Hunting-Experten. Er verfügt über jahrelange Erfahrung in der fertigenden Industrie – darunter mehr als 6 Jahre bei der Audi AG und 14 Jahre in der Stahlindustrie.
Anzeige

Artikel zu diesem Thema

Was ist der Unterschied zwischen OT-Security und IT-Sicherheit?

Weitere Artikel

(Alb-)Traumjob IT-Security-Verantwortlicher!?
Fast 20 Prozent der Unternehmen führen keine Cybersecurity-Prüfungen durch
MSSP: Verlässliche Cyber-Sicherheitsberater setzen auf Zero Trust
Leitfaden zur BYOD-Sicherheit – Vier unverzichtbare Maßnahmen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.