Die veraltete Infrastruktur der Betriebstechnologie (OT) und der industriellen Kontrollsysteme (ICS) stellt Industrieunternehmen weiterhin vor große Sicherheitsherausforderungen. Viele veraltete Systeme wurden nie für die vernetzten Umgebungen von heute konzipiert, unterstützen aber immer noch kritische Abläufe in den Bereichen Fertigung, Versorgung, Transport und Energie.
Nachfolgend finden Sie 11 versteckte OT-Angriffswege, die häufig durch veraltete Umgebungen entstehen, sowie die praktischen Kontrollen, die Unternehmen implementieren können, um das Risiko schnell zu verringern.
Viele Industrieumgebungen arbeiten noch immer mit nicht unterstützten Betriebssystemen, die keine Sicherheitsupdates mehr erhalten. Diese Systeme sind oft tief in die Produktionsprozesse eingebettet, da ihr Austausch teure Betriebsstilllegungen oder eine Neuvalidierung kritischer Systeme erfordern würde.
Bedrohungsakteure zielen aktiv auf diese Anlagen ab, da die Schwachstellen gut dokumentiert sind und Exploit-Tools weithin verfügbar sind. Sind diese Systeme erst einmal kompromittiert, können Angreifer in Betriebsumgebungen ein stabiles Standbein aufbauen.
Industrieunternehmen sollten der Netzwerkisolierung von nicht unterstützten Systemen Vorrang einräumen, strenge Segmentierungsrichtlinien einführen und virtuelles Patching verwenden, wenn direkte Updates nicht möglich sind. Eine kontinuierliche Überwachung des Datenverkehrs zu und von älteren Anlagen kann ebenfalls dazu beitragen, verdächtige Aktivitäten frühzeitig zu erkennen.
Der Fernzugriff von Drittanbietern hat sich zu einem der häufigsten Einbruchsstellen in OT-Umgebungen entwickelt. Anbieter benötigen häufig Zugang für Diagnose, Wartung und Support, aber ältere Umgebungen verlassen sich häufig auf dauerhafte VPN-Verbindungen, gemeinsame Anmeldedaten oder schlecht überwachte Remote-Desktop-Dienste.
Angreifer haben es zunehmend auf Zulieferer und Auftragnehmer abgesehen, da diese häufig vertrauenswürdigen Zugang zu kritischen Umgebungen gewähren und dabei die üblichen Sicherheitskontrollen umgehen.
Industrieunternehmen sollten eine Verwaltung des privilegierten Zugriffs einführen, MFA für alle Fernverbindungen durchsetzen und zeitlich begrenzte Zugriffssitzungen mit vollständiger Aktivitätsprotokollierung verwenden. Außerdem sollten die Fernzugriffswege nach Möglichkeit von den kritischen operativen Systemen getrennt werden.
Viele ältere industrielle Steuersysteme waren ursprünglich auf serieller Kommunikation aufgebaut, bevor Ethernet in Betriebsumgebungen üblich wurde. Im Zuge der Modernisierung von Unternehmen wurden Seriell-zu-Ethernet-Konverter eingeführt, um eine Brücke zwischen der alten und der neuen Infrastruktur zu schlagen.
Im Laufe der Zeit gerieten viele dieser Geräte in Vergessenheit oder wurden aus den offiziellen Sicherheitsverzeichnissen gestrichen. Da sie sich oft unauffällig in der Umgebung befinden, können sie versteckte Angriffspfade direkt in industrielle Steuerungen und Feldgeräte schaffen.
Eine umfassende Bestandsaufnahme und Kartierung von OT-Netzwerken ist entscheidend für die Identifizierung von alten Kommunikationsbrücken. Sobald diese Geräte identifiziert sind, sollten sie in streng kontrollierten Netzwerkzonen isoliert und auf abnormales Verkehrsverhalten überwacht werden.
Viele veraltete OT-Umgebungen arbeiten immer noch mit einer minimalen internen Segmentierung. In der Vergangenheit waren diese Netzwerke eher auf Zuverlässigkeit und Einfachheit im Betrieb ausgelegt als auf die Widerstandsfähigkeit gegenüber Cybersecurity.
Das Ergebnis ist, dass Angreifer, sobald sie sich Zugang zu einem einzelnen Gerät verschafft haben, relativ leicht in die gesamte Betriebsumgebung vordringen können. Dies vergrößert die Angriffsfläche und die Gefährdung in OT-Umgebungen erheblich.
Eine starke Segmentierung ist nach wie vor eine der effektivsten Methoden zur Verringerung des Betriebsrisikos. Die Trennung von OT- und IT-Umgebungen, die Isolierung kritischer Systeme und die Einschränkung des Ost-West-Verkehrs können die Möglichkeiten von Angreifern, sich in industriellen Netzwerken zu bewegen, drastisch reduzieren.
Technische Workstations gehören oft zu den wertvollsten Systemen in industriellen Umgebungen. Sie verfügen in der Regel über erhöhte Berechtigungen, direkten SPS-Zugriff und sensible Betriebskonfigurationen.
Leider werden diese Systeme häufig von den regelmäßigen Wartungszyklen ausgeschlossen, da die Möglichkeiten für Patches aufgrund von Ausfallzeiten begrenzt sind. Einige arbeiten mit veralteter Antivirensoftware, uneingeschränktem USB-Zugang und minimaler Überwachung weiter.
Anwendungszulassungslisten, Endpunktüberwachung und Richtlinien zur Beschränkung von Wechseldatenträgern sollten bei technischen Systemen Vorrang haben. Organisationen sollten auch die Internetverbindung von diesen Arbeitsplätzen auf ein Minimum reduzieren, wo immer dies möglich ist.
USB-Geräte werden in industriellen Umgebungen nach wie vor häufig für Diagnosen, Updates und die Übertragung von Betriebsdateien verwendet. Wechselmedien sind jedoch nach wie vor einer der einfachsten Mechanismen, um Malware in OT-Umgebungen einzuschleusen.
In vielen älteren Umgebungen gibt es immer noch keine einheitliche Verwaltung von Wechselmedien, keine Scan-Kontrollen oder Übertragungsverfahren zwischen IT- und OT-Systemen.
Spezielle USB-Sanierungsstationen, Richtlinien für autorisierte Geräte und strenge Übertragungsverfahren können das Risiko, dass Malware über Wechselmedien in Produktionsumgebungen eindringt, erheblich verringern.
Mensch-Maschine-Schnittstellen-Systeme werden gelegentlich bei der Fehlersuche aus der Ferne, bei vorübergehenden Zugriffsvereinbarungen mit Anbietern oder bei schlecht verwalteten betrieblichen Änderungen dem Internet ausgesetzt.
Bedrohungsakteure suchen aktiv nach ungeschützten HMI-Systemen, da sie einen direkten Einblick in industrielle Abläufe und in einigen Fällen die Möglichkeit zur Manipulation von Prozessen bieten können.
Die Überwachung der externen Angriffsfläche und die regelmäßige Bewertung der Gefährdung sind unerlässlich, um OT-Anlagen mit Internetanschluss zu identifizieren, bevor Angreifer sie entdecken.
Viele Industriegeräte werden jahrelang mit den Standard-Anmeldedaten des Herstellers betrieben, da eine Änderung dieser Daten Auswirkungen auf die Support-Vereinbarungen der Hersteller haben oder bestehende Integrationen stören könnte.
Diese Zugangsdaten sind oft online öffentlich zugänglich und werden häufig bei Angriffen auf Schwachstellen in industriellen Steuerungssystemen verwendet.
Industrieunternehmen sollten strukturierte Prozesse zur Verwaltung von Zugangsdaten einführen, privilegierte Konten regelmäßig wechseln und die Authentifizierungsaktivitäten in OT-Umgebungen kontinuierlich überwachen.
Die Verwaltung des Lebenszyklus von Anlagen und das Patchen sind nach wie vor eine der größten Herausforderungen für die Cybersicherheit in der Betriebstechnik. Viele SPS und Steuerungen arbeiten kontinuierlich mit begrenzten Wartungsfenstern, so dass Firmware-Updates nur schwer sicher zu planen sind.
Infolgedessen betreiben Industrieunternehmen oft über längere Zeiträume hinweg Systeme mit bekannten Schwachstellen, die sich ausnutzen lassen.
Anstatt breit angelegte Patching-Programme für alle Anlagen durchzuführen, sollten die Unternehmen bei der Behebung der Schwachstellen Prioritäten setzen, die sich an der Ausnutzbarkeit, der Betriebskritikalität und den Gefährdungspfaden orientieren.
Protokolle wie Modbus, DNP3 und ältere OPC-Implementierungen wurden nie mit Blick auf moderne Cybersicherheitsanforderungen entwickelt. Den meisten fehlen Verschlüsselung, Authentifizierung und Integritätskontrollen völlig.
Angreifer, die auf diese Kommunikationskanäle zugreifen können, können Befehle abfangen, den industriellen Datenverkehr manipulieren oder Betriebsabläufe unbemerkt stören.
Industrielle Intrusion Detection Systeme, Deep Packet Inspection und OT-aware Netzwerküberwachung können den Einblick in verdächtige Protokollaktivitäten und abnormale Kommunikation verbessern.
Viele industrielle Umgebungen enthalten undokumentierte Systeme, temporäre Einsätze und nicht verwaltete Anlagen, die sich den formalen Governance-Prozessen entziehen. Diese Schattenanlagen entziehen sich häufig vollständig dem Schwachstellenmanagement, der Überwachung und den Sicherheitsüberprüfungen.
Ohne vollständige Transparenz können Unternehmen die Schwachstellen von industriellen Steuerungssystemen nicht genau einschätzen oder das wahre Ausmaß der Herausforderungen beim Risikomanagement von Altsystemen nicht erkennen.
Kontinuierliche Bestandserkennung und zentralisierte OT-Transparenz sind unerlässlich, um nicht verwaltete Systeme zu identifizieren, bevor Angreifer sie ausnutzen.
Die Sicherung von betrieblichen Technologieumgebungen erfordert Fachwissen, das sowohl den industriellen Betrieb als auch moderne Cybersecurity-Bedrohungen versteht. Die OT-Sicherheitsdienste von Integrity360 helfen Unternehmen, verborgene Risiken zu erkennen, die Segmentierung zu stärken, die Sichtbarkeit zu verbessern und das Betriebsrisiko in komplexen OT- und ICS-Umgebungen zu verringern.
Von Industrial 360 Audits und OT Penetrationstests bis hin zu OT Incident Response, technischem Support und Ransomware Resilience Assessments bietet Integrity360 maßgeschneiderte Dienstleistungen speziell für Industrieunternehmen.
Mit mehr als 40 OT-Sicherheitsberatern, über 250 jährlich durchgeführten OT-Penetrationstests und Erfahrung in der Unterstützung von Unternehmen auf fünf Kontinenten hilft Integrity360 Industrieunternehmen, verborgene Angriffspfade aufzudecken, bevor es Angreifer tun.
Wenn Ihr Unternehmen über veraltete industrielle Kontrollsysteme und OT-Sicherheitsrisiken besorgt ist, ist es jetzt an der Zeit zu handeln.
Wenden Sie sich an Integrity360, um Ihre OT-Umgebung zu bewerten, kritische Schwachstellen zu identifizieren und die Widerstandsfähigkeit Ihres Betriebs zu stärken.