Die Sphären der IT-Infrastruktur und der OT-Systeme wachsen zusammen und haben immer mehr Verknüpfungspunkte. Das erhöht auch die Gefahr, dass Angriffe „überschwappen“. © Monstera Production/Pexels
Je näher sich OT und IT kommen, desto größer ist auch die Gefahr, dass Cyberangriffe „überspringen“ können. Dass es sich dabei nicht um eine theoretische Bedrohung handelt, zeigen aktuelle Berichte.
Immer mehr wachsen die Bereiche IT und OT zusammen. Sie müssen auch zusammenwachsen, um den Ansprüchen der Digitalisierung zu genügen. Auf der anderen Seite ergeben sich dadurch aber auch neue Herausforderungen. Es reicht nicht, die Cybersicherheit dieser beiden Welten getrennt voneinander zu betrachten – denn die Grenzen verschwimmen und verschwinden zusehends. Mit allen damit verbundenen Vorteilen und Konsequenzen.
Gestiegene Verletzlichkeit
Eine dieser Konsequenzen ist die gestiegene Verletzlichkeit von OT-Systemen. Sie sind aus verschiedenen Gründen zu hochattraktiven Zielen geworden. Das zeigt beispielsweise der Bericht „Anatomy of 100 + Cybersecurity Incidents in Industrial Operations“ („Die Anatomie von mehr als 100 Cybersicherheitsvorfällen in Industriebetrieben“), der von Rockwell Automation veröffentlicht wurde.
Die vom Cyentia Institute durchgeführte globale Studie analysierte 122 Cybersecurity-Ereignisse, die eine unmittelbare Gefährdung von Betriebstechnologie (Operational Technology, OT) bzw. Industriesteuerungssystemen (Industrial Control Systems, ICS) mit sich brachten. Im Zuge dessen wurden für jeden Vorfall fast 100 Datenpunkte gesammelt und ausgewertet.
Aus der ersten Ausgabe des Berichts geht hervor, dass nahezu 60 Prozent der Cyberangriffe auf den Industriesektor von staatsnahen Akteuren durchgeführt werden. Das deckt sich mit anderen Branchenuntersuchungen, die zeigen, dass OT/ICS-Sicherheitsvorfälle an Umfang und Häufigkeit zunehmen. Sie haben in erster Linie kritische Infrastrukturen, wie Energieerzeuger, zum Ziel.
„Anlagen zur Energieerzeugung, kritischen Fertigung, Wasseraufbereitung und kerntechnische Anlagen gehören zu den kritischen Infrastrukturen, die in der Mehrzahl der gemeldeten Fälle angegriffen wurden“, so Mark Cristiano, Commercial Director of Global Cybersecurity Services bei Rockwell Automation. „Es ist zu erwarten, dass sich strengere Vorschriften und Standards für die Meldung von Angriffen auf die Cybersicherheit durchsetzen und dem Markt dadurch wertvolle Erkenntnisse über die Art und Schwere von Angriffen sowie die notwendigen Verteidigungsmaßnahmen zur Verfügung stehen werden.“
Zu den zentralen Erkenntnissen aus den analysierten Vorfällen gehört etwa, dass die Zahl der OT/ICS-Cybersicherheitsvorfälle der letzten drei Jahren bereits die Gesamtanzahl der zwischen 1991 und 2000 gemeldeten Vorfälle überschritten hat. Bei mehr als der Hälfte der OT/ICS-Vorfälle sind SCADA-Systeme (Supervisory Control and Data Acquisition) das Ziel der Angriffe (53 %), gefolgt von speicherprogrammierbaren Steuerungen (SPS) in 22 Prozent der Fälle.
Die Bedrohungsakteure nehmen dabei vor allem den Energiesektor ins Visier, auf den mit 39 Prozent mehr als dreimal so viele Angriffe verübt werden wie auf die nächsthäufig attackierten Branchen – die kritische Fertigung (11 %) und das Transportwesen (10 %).
„Klassisches“ Phishing ist nach wie vor die beliebteste Angriffstechnik (34 %), was unterstreicht, wie wichtig Cybersicherheitstaktiken wie Segmentierung, Air Gapping, Zero Trust und Schulungen zum Sicherheitsbewusstsein sind. Vor allem in Hinblick darauf, dass zwar mehr als 80 Prozent der Bedrohungsakteure von außerhalb des Unternehmens kommen, jedoch bei etwa einem Drittel der Vorfälle auch Insider eine ungewollte Rolle spielen.
Bei den untersuchten OT/ICS-Vorfällen kam es in 60 Prozent der Fälle zu einer Betriebsunterbrechung und in 40 Prozent zu einem nicht autorisierten Zugriff oder zur Offenlegung von Daten. Die durch Cyberangriffe verursachten Schäden reichen jedoch über das betroffene Unternehmen hinaus, da sie sich in 65 Prozent der Fälle auch auf die weiteren Lieferketten auswirken.
Es Beginnt oft in der IT
Die Untersuchung belegt, dass eine Stärkung der Sicherheit von IT-Systemen entscheidend für die Bekämpfung von Cyberangriffen auf kritische Infrastrukturen und Produktionsanlagen ist. Mehr als 80 Prozent der analysierten OT/ICS-Vorfälle begannen mit einer Kompromittierung von IT-Systemen, was eben auf die zunehmende Vernetzung von IT- und OT-Systemen und -Anwendungen zurückzuführen ist.
Das IT-Netzwerk ermöglicht die Kommunikation zwischen OT-Netzwerken und der Außenwelt und dient als Einfallstor für OT-Bedrohungsakteure. Der Einsatz einer geeigneten Netzwerkarchitektur ist für die Stärkung der Cybersicherheit eines Unternehmens daher entscheidend. Die alleinige Einrichtung einer Firewall zwischen IT- und OT-Umgebungen reicht nicht mehr aus. Da Netzwerke und Geräte täglich mit OT/ICS-Umgebungen verbunden werden, ist die Ausrüstung in den meisten industriellen Umgebungen Angreifern ausgesetzt. Ein starkes, modernes OT/ICS-Sicherheitsprogramm muss in der Verantwortung jedes Industrieunternehmens liegen, damit ein sicherer Betrieb und eine hohe Verfügbarkeit gewährleistet werden können.
„Die dramatische Zunahme von Cybersecurity-Vorfällen im Bereich OT und ICS macht es notwendig, dass Unternehmen unverzüglich Maßnahmen zur Verbesserung ihrer Cybersecurity ergreifen. Sie laufen sonst Gefahr, das nächste Opfer einer Sicherheitsverletzung zu werden“, betont Sid Snitkin, Vice President, Cybersecurity Advisory Services, ARC Advisory Group. „Die Bedrohungslandschaft für Industrieunternehmen entwickelt sich ständig weiter, und die Kosten einer Sicherheitsverletzung können für Unternehmen und kritische Infrastrukturen verheerend sein. Die Ergebnisse des Berichts unterstreichen die dringende Notwendigkeit für Unternehmen, ausgefeiltere Cybersicherheitsstrategien umzusetzen.“
Fortschreitende Konvergenz bereitet Probleme
Dies alles ist den Industrieunternehmen selbstverständlich bewusst, jedoch gibt es Hürden zu überwinden. So geht aus einem Report des Cybersicherheitsspezialisten Trend Micro hervor, dass unternehmensinterne Security Operation Center (SOCs) zwar ihre Fähigkeiten auf den OT-Bereich ausweiten. Fehlende Sichtbarkeit und mangelnde Kenntnisse der Mitarbeiter stellen jedoch erhebliche Hindernisse dar.
Laut der Studie des japanischen Anbieters verfügt mittlerweile die Hälfte der Unternehmen über ein SOC, das ein gewisses Maß an ICS/OT-Transparenz aufweist. Doch auch bei befragten Unternehmen, die über ein umfassenderes SOC verfügen, speist nur etwa die Hälfte (53 %) Daten ihrer OT-Umgebung für Erkennungszwecke ein.
Dieses Defizit zeigt sich auch in einem anderen Studienergebnis. Demnach ist die Erkennung von Cybervorfällen (63 %) die wichtigste Fähigkeit, die Befragte über IT- und OT-Silos hinweg integrieren wollen. Dem folgen die Bestandsaufnahme der vorhandenen Assets (57 %) sowie das Identitäts- und Zugangsmanagement (57 %). Ereignisse in IT- und OT-Umgebungen übergreifend und frühzeitig zu erkennen, ist für die Ursachenidentifikation und die Bedrohungsabwehr entscheidend.
Der Bericht betont die Bedeutung, die Endpoint Detection and Response (EDR) und das interne Network Security Monitoring (NSM) haben, indem sie Daten zu den Grundursachen von Cyberangriffen liefern. Allerdings wird EDR nur bei weniger als einem Drittel (30 %) der befragten Unternehmen sowohl auf Engineering-Systemen als auch Produktionsanlagen eingesetzt. NSM kommt auf der Ebene der physischen Prozesse und der grundlegenden Kontrolle in OT-Umgebungen noch seltener, bei weniger als zehn Prozent, zum Einsatz.
Abgesehen von den Lücken in der Sichtbarkeit zeigt die Studie außerdem, dass die Ausweitung von Security Operations (SecOps) auf IT- und ICS/OT-Umgebungen mit großen personellen und verfahrenstechnischen Herausforderungen verbunden ist. Vier der fünf größten Hindernisse, die von den Befragten genannt wurden, adressieren das Thema Personal:
• Schulung von IT-Mitarbeitern in OT-Security (54 %)
• Kommunikationssilos zwischen relevanten Abteilungen (39 %)
• Einstellung und Mitarbeiterbindung von Cybersecurity-Experten (38 %)
• Schulung von OT-Mitarbeitern in IT (38 %)
• Unzureichende Risikotransparenz zwischen IT- und OT-Bereichen (38 %)
Weitere Maßnahmen sind geplant
Auch veraltete Technologie bereitet Schwierigkeiten bei der Visibilität: Die technischen Einschränkungen von Altgeräten und Netzwerken (45 %) sowie IT-Technologien, die nicht für OT-Umgebungen konzipiert sind (37 %), kristallisieren sich, neben dem mangelnden OT-Wissen der IT-Mitarbeiter (40 %), als größte Probleme heraus.
In Zukunft wollen die Befragten ihre Anstrengungen für eine bessere Security-Konvergenz über IT und OT hinweg verdoppeln und so einen besseren Einblick in OT-Bedrohungen erlangen. Zwei Drittel (67 %) planen, ihr SOC zu erweitern, und diejenigen, die bereits EDR einsetzen (76 %), wollen dies in den kommenden 24 Monaten auch auf den ICS/OT-Bereich übertragen. Darüber hinaus planen 70 Prozent der Unternehmen, die bereits NSM-Funktionen eingeführt haben, eine Ausweitung dieser Technologie im gleichen Zeitrahmen.
„Die IT-OT-Konvergenz treibt in vielen Industrieunternehmen bereits die digitale Transformation voran. Um Risiken in diesen Umgebungen effektiv zu managen, müssen jedoch auch die IT- und OT-SecOps konvergieren“, rät Udo Schneider, IoT Security Evangelist bei Trend Micro, zum Abschluss. (RNF)
INFO-BOX
Methodik der Studie von Rockwell
Für den Bericht „Anatomy of 100 + Cybersecurity Incidents in Industrial Operations“ („Die Anatomie von mehr als 100 Cybersicherheitsvorfällen in Industriebetrieben“) beauftragte Rockwell Automation das Cyentia Institute mit der Analyse von Daten aus 122 Cybersecurity-Ereignissen weltweit, die sich zwischen 1982 und 2022 ereigneten. Das Team des Cyentia Institute sammelte und analysierte fast 100 Datenpunkte zu einzelnen Vorfällen, bei denen es zur direkten Gefährdung oder Störung von OT/ICS-Systemen kam. Die Ergebnisse wurden in einem Bericht zusammengefasst, um aufschlussreiche Erkenntnisse über aktuelle Cybersecurity-Aktivitäten im Bereich OT/ICS zu vermitteln.
Methodik der Studie von Trend Micro
Für den Report „Breaking IT/OT Silos With ICS/OT Visibility“ beauftragte Trend Micro das SANS Institute damit, 350 Mitglieder der SANS-Community zu befragen, die in kritischen Infrastrukturbereichen in den USA, Europa und Asien tätig sind. Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. Heute ist SANS der vertrauenswürdigste und bei weitem größte Anbieter von Cybersecurity-Schulungen und -Zertifizierungen für Fachleute in staatlichen und kommerziellen Einrichtungen weltweit.