Studie

Mangelhafte ICS-Security: Tausende Systeme weltweit ungeschützt

Laut jüngster Studie von OTORIO „führen“ die USA mit über 18.000 offengelegten ICS (industriellen Steuerungssystemen), während andere Industrieländer wie Kanada, Italien, Deutschland und Frankreich nicht weit dahinter liegen.

Es ist allgemein bekannt, dass OT-Netzwerke gefährdet und angreifbar sind. Selbst die Security-Experten von OTORIO waren jedoch von dem Ausmaß des Risikos, das sie bei einer kürzlich durchgeführten Untersuchung feststellten, überwältigt. Ziel der Untersuchung war es, den Zustand industrieller Steuerungssysteme (ICS), die über das Internet öffentlich zugängliche Schnittstellen verfügen, zu analysieren, unabhängig von Branche oder Standort. Das einzige Kriterium für die Untersuchung war, dass das von der identifizierten offenen Schnittstelle verwendete Protokoll ein typisches Protokoll für OT-Umgebungen sein musste. Die Ergebnisse sollten als Weckruf für jedes Unternehmen mit OT-Geräten verstanden werden.

Anzeige

Industrielle Steuerungssysteme sind kritisch und gefährdet

Industrielle Steuerungssysteme steuern fast jeden digitalisierten industriellen Betrieb auf der Welt. Von der Fertigung bis hin zu kritischen Infrastrukturen (KRITIS) umfassen ICS die Geräte, Systeme, Netzwerke und Steuerungen, die für den Betrieb und/oder die Automatisierung industrieller Prozesse verwendet werden. Damit besteht das Risiko, dass Unbefugte auf ein ICS zugreifen oder es manipulieren und sowohl die Geschäftskontinuität als auch die Sicherheit der Bevölkerung ernsthaft beeinträchtigen können.

Der Scan fand insgesamt 108.635 eindeutige offene IPs, die offenbar zu 10.114 Unternehmen gehörten. Alle gefährdeten Geräte verwendeten gängige ICS-Protokolle. Nordamerikanische Unternehmen hatten die meisten offenen IPs (31 Prozent), gefolgt von Europa (30 Prozent) und Asien (19 Prozent). Die exponierten IPs stammten von Unternehmen aus allen Branchen und Sektoren, darunter eine Vielzahl von Unternehmen aus den Bereichen Fertigung, Energie, Wasserversorgung, Transport und Schifffahrt.

Die Untersuchung konnte bestätigen, dass die überwiegende Mehrheit dieser IPs zu ICS-Geräten gehört (66.781 oder ca. 61 Prozent, die zu 7.230 Unternehmen gehören). Die Forscher waren auch in der Lage, Cloud-Geräte zu kartieren (fast 14 Prozent der exponierten IPs), was bedeutet, dass die Umstellung auf Cloud-Infrastrukturen zwar an Dynamik gewinnt, aber nicht ohne Risiko ist. IoT-Geräte machten nur 0,04 Prozent der exponierten IPs aus. Dies mag auf den ersten Blick überraschen, allerdings wurde bei der Untersuchung (aus ethischen Gründen) keine eingehende Analyse der Geräte vorgenommen, was dazu geführt haben könnte, dass mehr IoT-Geräte erfasst wurden. Insgesamt entfielen etwa 25 Prozent der aufgedeckten IPs auf nicht kategorisierte Geräte.

Anzeige

Eine exponierte Branche

Mit mehr als 18.000 exponierten Geräten haben die USA bei weitem die meisten exponierten Geräte, gefolgt von anderen Industrieländern wie Kanada, Italien, Frankreich, Spanien und Deutschland. Mit anderen Worten: Viele der weltweit führenden Industriemärkte sind gefährdet. Es ist wichtig zu beachten, dass 14 Prozent der IPs ohne genauere Nachforschungen keinem Land zugeordnet werden konnten, was die OTORIO-Forscher aus ethischen Gründen nicht getan haben. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vorschriften zur Cybersicherheit werden immer strenger

Die Bedrohung der Resilienz, also Widerstandsfähigkeit der Industrie durch die oben erwähnten Risiken wird von den Regierungen und Regulierungsbehörden nicht mehr unterschätzt. Tatsächlich gibt es eine lange Liste von Normen und Vorschriften, die sich direkt auf OT-Netzwerke beziehen, und jeden Monat kommen weitere hinzu. Von NIST-CSF, NERC-CIP und IEC 62443 in Nordamerika bis hin zur NIS-Richtlinie in der EU: Die Normen sind immer strenger und detaillierter, und die Strafen für die Nichteinhaltung der Vorschriften sind drastisch gestiegen.

In den USA hat das Heimatschutzministerium nach dem berüchtigten Angriff auf die Colonial Pipeline im Mai dieses Jahres eine Reihe von Cybersicherheitsrichtlinien für Eigentümer und Betreiber kritischer Pipelines herausgegeben. Und erst vergangenen Monat (Oktober 2021) warnte die US-Behörde für Cybersicherheit und Infrastruktur vor drohenden Cyberbedrohungen für den US-amerikanischen Wasser- und Abwassersektor und vor Bedrohungen für kritische Infrastrukturen durch Angriffe mit der Ransomware BlackMatter. In der US-Gesetzgebung wurden daher im Jahr 2021 mindestens 18 neue Gesetzesentwürfe zur Cybersicherheit eingebracht, um die Aufsicht über die vernetzte kritische Infrastruktur des Landes zu stärken.

Ungeschützte ICS, wie sie in der jüngsten Untersuchung von OTORIO gefunden wurden, stellen ein ernstes Risiko dar. Sie können von Hackern leicht ausgenutzt werden, um physische Anlagen wie Maschinen, Stromgeneratoren oder Wasseraufbereitungsanlagen direkt anzugreifen. Im Gegensatz zu Angriffen auf IT-Unternehmen, die zu Datendiebstahl oder Fehlfunktionen von Computersystemen führen können, bergen Angriffe auf ICS ein hohes Risiko. Dieses besteht darin, Menschenleben direkt zu gefährden, ganz zu schweigen von der Produktionskapazität, der Marke und dem gesamten Unternehmen.

Der Grund für diese Entwicklung: Die Industrie und die kritischen OT-Infrastrukturen haben sich von abgekapselten, eigenständigen Umgebungen zu einem hypervernetzten Ökosystem entwickelt. Dieser Trend ist auch den Cyberkriminellen nicht entgangen, die ihre Angriffe auf anfällige Industriesysteme ständig ausweiten – mittels Angriffen, die sich als äußerst lukrativ erwiesen haben.

Durch die Verwendung gestohlener Zugangsdaten und die Ausnutzung von Schwachstellen können Angreifer über die gefährdeten Geräte in das Betriebsnetz eindringen und unter anderem schwere Schäden verursachen:

  • Übernahme der vollständigen Kontrolle über ein Betriebsnetz
  • Unterbrechung oder sogar Stilllegung des Betriebs
  • Durchführung von Fernaktionen im Betriebsnetz
  • Verursachen von Segmentierungsfehlern
  • Abfangen und Stehlen sensibler Informationen
  • Nachahmung von Verwaltungsmaßnahmen
  • Verursachung von Fehlverhalten oder Absturz von Anwendungen
  • Löschung von Systemdateien

Was sollten ICS-Betreiber tun?

Die Tatsache, dass bei einer stichprobenartigen Überprüfung fast 70.000 ungeschützte ICS-Geräte entdeckt wurden, ist ein Warnsignal für die gesamte Branche. Unternehmen, die ICS-Geräte einsetzen, sollten sofort einen Domain-Scan der mit dem Internet verbundenen Geräte mit einer Suchmaschine wie Shodan durchführen. Die Regel ist einfach: Die ICS-Geräte sollten niemals über das Internet und nicht von ungeschützten Netzwerksegmenten oder Hosts aus zugänglich sein.

Forschungsmethodik:

Die Untersuchung basiert auf passiver Suche mittels einer öffentlich zugänglichen Suchmaschine. Die Suche beschränkte sich auf Geräte, die ein in OT-Netzen übliches Protokoll verwenden, z. B. Geräte mit einem geöffneten MODBUS-Port. Das Ergebnis dieser passiven Suche lieferte Informationen über den Gerätetyp, den geografischen Standort der IP-Adresse und die Branche. Wenn ein Teil der identifizierenden Daten fehlte (d. h. Typ, Standort oder Branche), haben die Forscher keine weiteren Überprüfungen vorgenommen und die exponierte IP-Adresse als „Sonstige“ markiert.

www.otorio.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.