English

ICS Sicherheitsprobleme verdrängt aber nicht gelöst

von VPNHaus | 20.11.2019 |Data Security, Endpoint Management, Internet of Things

Während Sicherheitsvorfälle à la Ransomware und DSGVO-Verstöße alltägliche Begleiterscheinungen von Online- und Offline-Medien geworden sind, schaffen es Vorkommnisse im Bereich der Industrieanlagen selten in die Schlagzeilen. Man könnte daraus schließen, dass das Problem keines ist. Allerdings deutet die Stille eher auf die Ruhe vor dem Sturm und auf ein gewisses Desinteresse bei den Redakteuren hin, als auf ein Patentrezept zur Abwehr von Attacken. So stellte die Control Systems Cyber Security Association International (CS2AI) vor ein paar Tagen Vorabergebnisse ihrer jährlichen Befragung zum Thema Cybersicherheit im ICS-Umfeld vor. Die Zahlen, die im Rahmen der 2019 ICS Cyber Security Conference von SecurityWeek publiziert wurden, waren reichlich ernüchternd. Die vermutlich drastischste Aussage war, dass etwa 1% der Incidents in den letzten zwölf Monaten zu Verletzungen und sogar zu Todesfällen geführt hat.

Nachdem die Befragung anonym durchgeführt wird, waren zumindest auf der Veranstaltung keine weiteren Details zu den Personenschäden verfügbar, möglicherweise enthält der vollständige Report weitere Daten. Aber auch die anderen Resultate führen nicht zu großem Vertrauen in die Maßnahmen und vor allem nicht in die Einstellung der Firmen. Die Experten auf der Sicherheitskonferenz bemängelten nach wie vor eine fehlende Wahrnehmung für Cyberattacken beim Management der Firmen. Die üblichen Argumente „Wir sind zu klein“, „Wir haben keine interessanten Daten“, „Wir sind nicht wichtig genug, um ein Ziel zu sein“, werden immer noch als Entschuldigung und Begründung gebraucht.

Selbst wenn man die Personenschäden außer Acht lässt, zeigt die Befragung, dass ICS Incidents Kosten verursachen. Ein Viertel der Studienteilnehmer gaben an, dass es zu Betriebsausfällen in Folge eines Incidents kam. Für die meisten Vorfälle (34%) waren Wechselmedien mit Schadsoftware verantwortlich – also USB-Sticks und mobile Festplatten. Offensichtlich haben die Unternehmen keine stringenten Richtlinien verabschiedet, die den Umgang mit solchen Medien regeln. Fast genauso viele Incidents wurden durch E-Mails mit Schadsoftware oder Phishing-Links ausgelöst. Dass in einer solchen Umgebung E-Mail-Empfang überhaupt möglich ist, zeugt von massiven Fehlern bei den grundlegendsten Sicherheitsvorkehrungen.

OT-Umgebungen sind nicht wie ein normales IT Rechenzentrum abzusichern, das ist schon richtig. Aber viele Maßnahmen aus der IT sind eben doch direkt oder mit kleinen Änderungen umsetzbar, gerade wenn es um die Prozessebene geht. Auf einem Produktionsserver ist nie ein Mail-Client installiert und auf einer Admin-Workstation ist kein Mail-Empfang möglich, zumindest nicht, wenn der Nutzer als Admin agiert. Die klassische Idee, ein Air-Gap, also eine physikalische Trennung zwischen zwei Netzen aufzubauen, hat vielleicht in der Vergangenheit funktioniert, wird aber mittlerweile durch die Vielzahl der Netzverbindungen der ICS-Komponenten torpediert. Spätestens wenn ein ICS-Hersteller zur Fernwartung auf einen Controller zugreifen will, ist er mittendrin im Produktionssegment. Und wenn die Alternative darin besteht, die Servicetechniker mit einem USB-Stick zu den Maschinen zu schicken, wird das Problem lediglich auf ein anderes Medium verlagert. Da wäre es schon sinnvoller, Anleihen bei der Militärtechnik zu nehmen und mit einer Datendiode zu arbeiten, einem Gerät, dass ebenfalls physikalisch trennt, aber eben nur in einer Richtung. So könnten Sensoren Werte in einen zentralen Data-Lake schreiben, wären aber aus Sicht des Datenspeichers nicht erreichbar.

Generell besteht ein Problem immer noch darin, dass so viele der verbauten Komponenten inhärent unsicher sind. Bei alten Controllern wurde ohnehin nicht an Sicherheit gedacht aber selbst neue Entwicklungen weisen immer wieder eklatante Schwachstellen auf. Weil das Patching in so einer Umgebung aber sehr schwierig ist, bleiben diese Schwachstellen lange Zeit angreifbar. Selbst die klassische IT kämpft damit, das Thema Patching in den Griff zu bekommen und hier hat Verfügbarkeit meist eine deutlich niedrigere Priorität als im OT-Umfeld. Doch auch dort gilt die alte Regel: Eine Schwachstelle wird erst dann zum Risiko, wenn sie ausgenutzt werden kann. Ohne Zugangswege wie ungeschützte USB-Ports, fehlende Segmentierung, direkte Wartungsverbindungen, unklare Richtlinien und ein mangelhaftes oder nicht vorhandenes Rollen- und Rechtekonzept bleibt die Schwachstelle ohne Risiko. Alle aufgezählten Angriffsvektoren können ohne oder mit sehr geringen finanziellen Mitteln abgestellt werden. Wie immer gilt: Wer seine Hausaufgaben erledigt hat, muss die Prüfung nicht fürchten.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK