OT-Risiken – Erkenntnisse aus Schwachstellenbewertungen 2023 #2: Die Top 10 Sicherheitsrisiken

Das Problem fehlender Sichtbarkeit in der OT haben wir bereits im ersten Teil dieser Trilogie angesprochen. Sie ist auch Hauptursache, weshalb selbst die offensichtlichsten Sicherheitslücken in OT-Netzen lange unerkannt bleiben.

Neben der fehlenden Sichtbarkeit verweisen die Top 10 auf zwei weitere Probleme, die für die OT spezifisch und typisch sind:

1. OT-Netze sind häufig gewachsene Strukturen, in denen zur Sicherstellung der Prozessstabilität auch unkonventionelle Lösungen und vor allem schnelle Lösungen umgesetzt werden. Diese Änderungen wurden insbesondere in der Vergangenheit nicht standardisiert dokumentiert. Zudem wurden in der in der Vergangenheit isolierten OT keine besonderen Sicherheitsvorkehrungen implementiert. Dadurch kann es passieren, dass internetfähige oder grundlegend unsichere Systeme in der Vergangenheit ohne Bedenken integriert wurden. Heute stellen sie durch die IT-/OT-Integration plötzlich ein enormes (aber meist unbekanntes) Sicherheitsrisiko dar.
2. Aufgrund der langen Lebenszyklen industrieller Infrastrukturen finden sich viele Legacy-Komponenten – also veraltete Systeme, Server, Protokolle – in der OT. Diese können häufig weder gepatcht, noch einfach ausgetauscht werden – entweder weil es keine Unterstützung seitens der Hersteller (mehr) gibt, oder weil eine Veränderung die Prozessstabilität in Gefahr bringt. Diese Legacy-Komponenten können im besten Fall noch in gesonderte Teilnetze bzw. Netzwerksegmente verschoben werden, um das von ihnen ausgehende Risiko und die Zugriffsmöglichkeiten auf diese zu begrenzen. Letztlich können und müssen sie jedoch kontinuierlich überwacht werden.

Die zehn häufigsten Sicherheitsrisiken in der OT 2023

Die Top 10 der Sicherheitsrisiken, die in Rhebo Industrial Security Assessments 2023 identifiziert wurden, spiegeln diese Grundprobleme der OT-Netze.

Unsichere Authentifizierungsmethoden waren auch schon 2022 in den Top 10 weit oben. Diese unterscheiden sich von der nicht verschlüsselten Passwortübermittlung dadurch, dass die Methode so alt ist, dass sie selbst bei bestehender Verschlüsselung längst mit einfachsten Mitteln geknackt werden kann.

Veraltete Betriebssysteme, Server, Firmware, Software und Protokolle können sowohl auf einem fehlenden Patch-Management beruhen, als auch auf Infrastrukturen, die 10-15 Jahre oder mehr in Betrieb sind – und somit viel Legacy vorweisen.

Auch Kommunikation und Kommunikationsversuche von OT-Systemen zu IP-Adressen außerhalb des Unternehmensnetzwerkes wurden sehr häufig detektiert. Oftmals sind Werkseinstellungen von Systemen und Fehlkonfigurationen Grund dieses Risikos. Sie bieten Angreifenden die Chance, Informationen über verwendete Systeme, Konfigurationen und – in Verbindung mit unverschlüsselter Passwortübermittlung – Zugangsdaten in der OT zu sammeln.

Detailansicht: Neue Hosts, Verbindungen und Kommunikation

Diese Kategorie umfasst drei Vorkommnisse, die ganz klassisch bei Angriffen auftauchen. Aus diesem Grund ist diese Oberkategorie eine der wichtigsten im laufenden Betrieb einer OT-Angriffserkennung. 

Neue Hosts können eingeschleuste Geräte in der OT oder auch entfernte Geräte, die nach einem erfolgreichen Netzwerkzugriff für den weiteren Angriff genutzt werden, darstellen (z. B. Command-and-Control Server).

Über diese neuen Hosts, aber auch über kompromittierte Geräte innerhalb der OT, werden nachfolgend neue Verbindungen zu weiteren Geräten in der OT aufgebaut. Dies dient der lateralen Bewegung, weiteren Informationssammlung sowie der Ausbreitung und Festsetzung im Netzwerk.

Innerhalb eines Angriffs erfolgt dann über die kompromittierten Geräte in der Regel auch neue Kommunikation, also die Verwendung neuer, vorher zwischen den zwei Hosts nicht genutzten Protokollen oder Funktionen.

Detailansicht: OT-untypische Kommunikationsmuster

OT-untypische Kommunikationsmuster liegen häufig an der Schnittstelle zwischen Sicherheit und Verfügbarkeit, also bösartiger Kommunikationsveränderungen und technischer Störungen im Netzwerk.

Unter diese Kategorie fallen üblicherweise Veränderungen des Kommunikationsverhaltens eines Hosts für eine bestimmte Verbindung oder bestimmte Protokolle. Diese Veränderungen können umfassen:

• sehr kurzfristiges, meist nur einmaliges Kommunizieren (siehe Abbildung unten),
• kurze, unregelmäßige Peaks oder Einbrüche,
• veränderte Frequenz der Kommunikation,
• komplette Kommunikationszusammenbrüche.

All diese Anomalien sind für die in OT-Netzen vorherrschende deterministische, sich wiederholende Kommunikation untypisch und sollten deshalb beobachtet und genauer analysiert werden.

In Teil 3 dieser Blogreihe analysieren wir die Top 5 der technischen Fehlerzustände, die wir in den Schwachstellenbewertungen der OT-Netze unserer Kunden identifiziert haben und welche die Prozessverfügbarkeit gefährden.