:quality(80)/p7i.vogel.de/wcms/44/d2/44d227e198252c65e89838e46b41f7d8/0111366922.jpeg "Das Fraunhofer-Institut für Produktionstechnologie IPT hat ein konsteloses Konfigurations-Tool zu bieten. Es handelt sich quasi um eine Multi-Sensor-Plattform mit der Unternehmen ihre gewünschten Sensoriksysteme sehr einfach zusammenstellen können. Hier mehr dazu ... (Bild: Fraunhofer IPT)")
:quality(80)/p7i.vogel.de/wcms/b8/63/b863dd5cc588cbc7948d3cc6d5f4e1b0/0111699796.jpeg "Der 1961 in Oldenburg geborene Maschinenbauingenieur Holger Hanselka leitete das Karlsruher Institut für Technologie (KIT) und hat dies zurück in die Riege der Exzellenzuniversitäten geführt. Jetzt wird er nach Reimund Neugebauer der nächste Präsident der Frauhnofer-Gesellschaft. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/33/f8/33f8743906288382444971d4a35b2297/0111643582.jpeg "„Die Einführung von Prozessgeräteprofilen in EtherNet/IP ist ein wichtiger Schritt, um alle Anforderungen der Prozessindustrie zu erfüllen“, so Dr. Al Beydoun, Präsident und Geschäftsführer von ODVA. Jetzt können günstigere, ausfallsicherere Anlagen entwickelt werden. (Bild: ODVA)")
:quality(80)/p7i.vogel.de/wcms/aa/ca/aaca30b5788219fdc124e95709a2ab8a/0110020694.jpeg "In diesem Jahr wird der Best of Industry Award in 30 Kategorien vergeben. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/d2/37/d23704af47f1a8f9a6846efdce36b69f/0111392653.jpeg "(Bild: Protolabs)")
:quality(80)/p7i.vogel.de/wcms/21/f3/21f3ac3b8f8939075aaf4f23879f3900/0111574745.jpeg "Nahinfrarot anstelle von Ultraviolett: Chinesische Wissenschaftler haben einen neuen Schlicker für den 3D-Druck von Keramik entwickelt, der besonders schnell aushärtet. (Bild: LeonART - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/91/c991e153ef40c5388026e8709eb44efb/0110337719.jpeg "Jan Reckmeyer, Geschäftsführer bei Walter Reckmeyer Werkzeug- und Maschinenbau, spart pro 3D-Drucker ein CNC Bearbeitungszentrum ein. Der industrielle 3D-Druck steht für sein Unterenhmen daher für eine neue Flexibilität und die Wettbewerbsfähigkeit gegenüber dem Wettbewerb aus Fernost. (Bild: Mark 3D GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/83/6b835c6c6bb27b2b9e2e7dcaf8a23add/0111725120.jpeg "Wer will eine Business-App in wenigen Minuten, ohne viel Aufwand und ohne große IT-Kenntnisse erstellen? Diejenigen sollten sich den Smapifier von Smapone anschauen – eine auf KI und No Code basierende Möglichkeit, das zu schaffen (Symbolbild). (Bild: Smapone)")
:quality(80)/p7i.vogel.de/wcms/ad/a7/ada7ac7653f9f455a100873a42a10e22/0110426747.jpeg "Software bietet zahlreiche Möglichkeiten, die Leistung der Infrastruktur im Rechenzentrum zu steigern und gleichzeitig den ökologischen Fußabdruck zu verbessern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/73/96/73969e68ea0ee9cbc28309ec831c60d8/0110426724.jpeg "Screenshot der Einstiegsseite mit anonymisierten Daten. (Bild: Screenshot von Autorin)")
:quality(80)/p7i.vogel.de/wcms/fe/8d/fe8dc7ce63cecaebc42924ef66525a18/0111385441.jpeg "Raspberry Pi Global Shutter Camera: Bestens geeignet für schnelle Bewegtbildfotografie. (Bild: Raspberry Pi)")
:quality(80)/p7i.vogel.de/6emJkkGM771kzTDQR-8DatrLsuo=/500x500/gauntlet/13/99/1399957_1562861169.jpg "Dipl.-Inf. Klaus Mochalski")
OT-Security Keine Steuerungstechnik ist sicher
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
So sehr die Digitalisierung der Energie- und Industrieinfrastrukturen voranschreitet, so anfällig bleiben sie für Cyberrisiken. Das zeigen nicht zuletzt die Top-10-Anomalien, die 2022 in der Netzleit- und Fernwirktechnik von Energieunternehmen gefunden wurden. Ein Überblick.
Die Energieunternehmen halten mit der Digitalisierung und europaweiten Systemintegration ein zweischneidiges Schwert in der Hand. Auf der einen Seite werden Prozesse und die grenzübergreifende Zusammenarbeit vereinfacht sowie neue Geschäftsmodelle möglich. Auf der anderen Seite steigern zunehmende Vernetzung, Integration der Operational Technology (OT) in die IT, sowie der Ausbau des Smart Grid die Risikoexposition einer ohnehin schon stark vulnerablen kritischen Infrastruktur.
Vor allem das Smart Grid bietet Angreifenden potentiell Millionen von Zugangspunkten über öffentlich zugängliche Smart Meter, Ladestationen und Energiespeichersysteme. Erschwert wird die Situation durch die Eigenheiten der OT: Deren Fokus liegt auf Prozessstabilität, Verfügbarkeit und Arbeitsschutz, statt Informationssicherheit.
Entsprechend sind die wenigsten industriellen Komponenten für zusätzliche Sicherheitsfunktionen ausgelegt. In der Regel sind sie sozusagen insecure by design. Ganz nach dem Motto „Digitalisierung first, Bedenken second” wurden industrielle Komponenten mit der IT vernetzt. Oder sie wurden über Fernzugänge, versteckte Werkseinstellungen und (I)IoT-Funktionen von außerhalb erreichbar. Die Konsequenzen fallen den betreibenden Unternehmen nun auf die Füße.
:quality(80)/p7i.vogel.de/wcms/d9/a4/d9a4b7b64e6ba513737557cad7205177/0109854046.jpeg "Die NIS-2-Richtlinie wird viele Unternehmen treffen, deshlab gilt es jetzt, sich vorzubereiten. (Bild: frei lizenziert)")
Neue EU-Richtlinie
NIS-2: EU setzt Cybersicherheit auf die Agenden von Unternehmen
Durchschnittlich 18 Sicherheitslücken pro OT-Netzwerk
Die Ergebnisse von knapp zwei Dutzend Rhebo Industrial Security Assessments (RISSA), die 2022 vorrangig bei deutschen Energieunternehmen durchgeführt wurden (Abb. 1), zeigen durchweg Lücken in der industriellen Cybersicherheit. Beim RISSA wird die OT-Infrastruktur und -Kommunikation gezielt nach Risiken, Auffälligkeiten und Sicherheitsbedrohungen untersucht.
Pro Risikoanalyse wurden im Durchschnitt 18 Anomalietypen identifiziert. Einzelne Anomalien traten mehrfach in einem einzigen RISSA auf, werden in der Auswertung jedoch nicht einzeln gezählt, sondern zu Anomalietypen zusammengefasst. Somit liegt die absolute Anzahl an identifizierten Anomalien in den OT-Netzen in der Regel weit über dem aggregierten Durchschnittswert.
Auffällig ist, dass ein Großteil der Risiken und Anomalien Legacy-Probleme umfasst:
- Legacy-Protokolle: In 86,4 Prozent aller Risikoanalysen wurde Kommunikation über historische Protokolltypen gefunden, die keinerlei Authentifizierung oder Verschlüsselung erlauben. Angreifende haben die Möglichkeit, wertvolle Informationen aus der Infrastruktur auszulesen, die für den weiteren Verlauf eines Angriffs wertvoll sind.
- Nicht benötigte Protokolle: In 82 Prozent aller Fälle wurde die Nutzung von Protokollen entdeckt, die in der betroffenen OT-Infrastruktur keine Relevanz haben. Häufig handelt es sich dabei um Multicast-Nachrichten, mit denen Geräte standardmäßig versuchen, eigene Dienste und Softwareversionen zu bewerben. Nicht benötigte Protokolle stellen potentielle Angriffsvektoren dar und sollten daher abgeschaltet werden.
- Veraltete Authentifizierungsmethode: In 64 Prozent aller Fälle wurde eine Authentifizierungsmethode gefunden, die seit über zehn Jahren vom Hersteller als abgekündigt gilt. Deren Passwort-Hashes ließen sich schon vor Jahren über Grafikkarten binnen sechs Stunden knacken. In den letzten Jahren war die Implementierung dieser Methode auch für gehäufte Zero-Day-Lücken bei Systemen dieses Herstellers verantwortlich.
- Unverschlüsselte Übertragung sensibler Infrastrukturkommunikation: In 50 Prozent aller Fälle wurde Kommunikation gefunden, bei der Passwörter als Klartext übertragen werden. Für Angreifende mit Zugriff auf das OT-Netz stellt diese Schwachstelle eine wertvolle Quelle für laterale Bewegungen und Threat Propagation dar.
- Verwundbare Firmware, Software oder Betriebssysteme: In Summe fanden sich in fast allen OT-Netzen Systeme und Geräte, für die seit längerem Schwachstellen bekannt sind, die die Betreibenden aber noch nicht gepatcht oder ausgetauscht haben. Insbesondere veraltete Firmware auf Netzwerkkomponenten stellt ein flächendeckendes Problem dar.
- Gefährdende Fehlkonfigurationen: In einem Drittel aller Risikoanalysen wurden Fehlkonfigurationen detektiert, die Angreifende befähigen, sensible Informationen abzufangen oder Man-in-the-Middle-Angriffe zu starten. Zu den identifizierten Fehlkonfigurationen gehörten unter anderem Konfiguration via DHCP sowohl im Netzwerk, als auch bei Komponenten, die einen entsprechenden Server suchen, sowie Router-Advertisements bis hin zum Source Routing.
Diese Risiken können Angreifende zwar nur für sich nutzen, wenn sie bereits Zugriff auf das Netzwerk haben. Sie bilden jedoch ein wertvolles Arsenal, sich im Netzwerk lateral fortzubewegen, die Infrastruktur zu verstehen und den Zugriff auf die Kritische Infrastruktur zu festigen und zu vertiefen.
Weiterhin finden sich Auffälligkeiten, die aufgrund fehlender Sichtbarkeit in der OT bei der Prozessführung übersehen werden, jedoch Risiken für die Prozesssicherheit beherbergen:
- Verbindungsaufbau zum Internet: In der Hälfte aller Fälle fanden sich Geräte, die Verbindungen zu öffentlichen IP-Adressen aufbauten, beziehungsweise dies versuchten. Oftmals handelte es sich um DNS-Anfragen am eigenen DNS-Server vorbei. Jedoch fanden sich auch Systeme, die sich ohne administrative Kontrolle über das Internet ihre Updates holten. In vielen Fällen wurde der Versuch durch lokale Firewalls unterbunden. Jedoch fanden sich nicht für alle Verbindungsversuche Verbotsregeln. Erfolgreiche Verbindungen zu externen Netzen können nicht nur ein Informationsleck im eigenen Netzwerk darstellen. Sie können auch auf bereits etablierte Aktivitäten von Angreifenden hinweisen.
- Auffällige Veränderungen der Kommunikationsmuster: In 46 Prozent aller Fälle fanden sich unerwartete Änderungen in der OT-Kommunikation. Industrielle Kommunikation zeichnet sich durch wiederholende und deterministische Muster aus. Plötzliche Einbrüche, Peaks oder gar ein verändertes Verkehrsmuster können Hinweise sein auf aktive Eingriffe in das Verhalten eines Systems oder Geräts.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/63/7b/637bb8684aaae/quantum-cover.png "quantum cover")
Methodik: Von der Blackbox zur Sichtbarkeit
Für die Durchführung der Risikoanalyse wurde ein OT-Monitoring mit Anomalieerkennung an neuralgischen Punkten in der OT integriert. Die Installation erfolgt in der Regel über Switchports, die den Verkehr spiegeln. Alternativ sind auch Netzwerktaps oder Integrationen auf bestimmten OT-Komponenten möglich. Die Installation ist nach nur wenigen Minuten abgeschlossen, ohne in der OT selbst aufzutauchen oder diese zu beeinträchtigen. Nachfolgend wird die Kommunikation in der OT über einen Zeitraum von durchschnittlich 14 Tagen passiv aufgezeichnet. Diese Aufzeichnung bildet die Quelle für die detaillierte Auswertung durch OT-Expertinnen oder -Experten. Auf diesen Analysen beruhen auch die oben skizzierten Ergebnisse. Neben einer Liste aller Anomalien und Risiken werden auch alle aktiven Systeme und Geräte sowie deren Verbindungen und jeweilige Verbindungsqualität identifiziert und dokumentiert (Abb. 2).
In der Regel verbleibt das OT-Monitoring mit Anomalieerkennung nach der Risikoanalyse in der Netzleittechnik und wird direkt in den laufenden Betrieb übernommen. Die zuvor auf Basis der Risikoanalyse bereinigte OT-Kommunikation dient als Baseline für die Anomalieerkennung. In IEC 61850 Infrastrukturen kann zusätzlich die .scd-Datei importiert werden, um das Baselining der Anomalieerkennung zusätzlich zu beschleunigen.
Anomalien, die während der Risikoanalyse erkannt, aber noch nicht behoben wurden, können im OT-Monitoring auf den Status ‚Beobachten‘ gesetzt werden. Dadurch können die Verantwortlichen sie nachverfolgen und auch deren Auftrittshäufigkeit überwachen, bis eine Lösung gefunden ist.
Mit dem OT-Monitoring mit Anomalieerkennung wird im laufenden Betrieb eine kontinuierliche Überwachung der gesamten Kommunikation und die Echtzeit-Identifikation von Sicherheitsanomalien umgesetzt. Damit folgen Kritische Inf rastrukturen den Anforderungen, wie sie auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Orientierungshilfe zum “Einsatz von Systemen zur Angriffserkennung” empfohlen werden.
(ID:49434772)
:quality(80)/images.vogel.de/vogelonline/bdb/1942900/1942910/original.jpg "Der Eco Verband empfiehlt acht Maßnahmen zum Schutz vor möglichen Cyberattacken. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942200/1942278/original.jpg "Damit die Sicherheit bei der Digitalisierung von Industrieumgebungen von Anfang an mitgedacht wird, ist eine enge Zusammenarbeit zwischen den IT- und OT-Teams notwendig. (gemeinfrei)")