Alte Betriebssysteme und Protokolle laden neue Gäste ein
Das industrielle IoT im Visier der Hacker
Schlecht geschützte Geräte und anfällige Protokolle erleichtern Cyberkriminellen Angriffe auf industrielle IoT-Umgebungen. Das liegt nicht nur an den oft älteren Betriebssystemen der Geräte, sondern auch an alten OT-Protokollen.
Das industrielle Internet der Dinge wächst. Die derzeitige Sicherheitslage schafft dabei leider günstige Rahmenbedingungen für Cyberattacken. Ein Forschungsteam von Palo Alto Networks hat in den vergangenen zwei Jahren IoT-Sicherheitsvorfälle analysiert. In einer Studie kommen die Forscher zu dem Ergebnis, dass Unternehmen anfälliger für neue gezielte IoT-Malware sowie für ältere Bedrohungen werden, die erneut auftauchen.
Unverschlüsselter IoT-Verkehr
Laut der Studie sind 57 Prozent der IoT-Geräte anfällig für mittelschwere oder schwere Angriffe. 98 Prozent des gesamten IoT-Geräteverkehrs laufen unverschlüsselt ab, wodurch prozesskritische Daten gefährdet sind. Angreifer verschaffen sich oft Zugang durch Phishing-Angriffe und richten eine Command-and- Control-Struktur (C2) ein, um den Netzwerkverkehr abzufangen. Da nicht alle IoT-Geräte gepatcht werden oder gepatcht werden können, setzen die Angreifer häufig auf Exploits über ältere Sicherheitslücken. Ebenfalls häufig sind – mitunter erfolgreiche – Versuche, sich über werksseitig vergebene Standardpasswörter zu den Geräten Zugang zu verschaffen. Exploits betreffen oft ältere Betriebssysteme, Somit stellen alte und bekannte Exploits immer noch eine Bedrohung für industrielle Umgebungen dar. Neben dem Problem mit veralteten Betriebssystemen verzeichneten die Forscher viele Schwachstellen in älteren OT-Protokollen. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Alte Protokolle, neue Umgebungen
In industriellen Umgebungen sind oft ICS/Scada-spezifische Protokolle – wie Modbus, Profinet, OPC oder IPPC – gefährdet. Diese wurden so konzipiert, dass sie auf Geräten hinter der Firewall ohne große Interferenzen mit anderen Systemen oder Benutzern laufen. Da der Netzwerk-Rand mit dem Übergang zu Cloud-Technologien verschwindet, treffen veraltete OT-Protokolle auf moderne hochgradig vernetzte Unternehmensumgebungen. Diese Schwachstellen machen sich Hacker zunutze. Die Forscher beobachteten ebenso seitliche Bewegungen der Angreifer im Netzwerk, was durch Phishing-Angriffe ermöglicht wird. Backdoors aus früheren Angriffen werden dabei oft übersehen oder nicht deaktiviert, was später Ransomware-Angriffe begünstigt. Die Forscher beobachten zudem einen Trend zur dezentralen Peer-to-Peer-C2-Kommunikation. Hierbei kommunizieren kompromittierte Geräte in einer lokalen Umgebung untereinander, gesteuert von einem Knoten über eine Serververbindung gesteuert. Dadurch verringern die Angreifer die auffällige externe C2-Kommunikation. Schwachstellen in IoT-Geräten wie Sicherheitskameras ermöglichen es Angreifern, Firewalls zu überwinden und in das fremde Netzwerk zu gelangen. Ist die Malware am Zielgerät angelangt, waren vielleicht schon andere Akteure am Werk. Der neueste Trend ist, das Cyberkriminelle versuchen, die Malware der Vorgänger zu beseitigen. Diese ist vielleicht leichter zu identifizieren und vergrößert so das Risiko der Eindringlinge, enttarnt zu werden. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Geräte sichtbar machen
Entscheidend für die IoT-Sicherheit ist eine bessere Sichtbarkeit und Konsistenz zwischen Netzwerk-, Endpunkt- und Cloud-Sicherheit. Dies gilt für die Identifizierung von Bedrohungen, die Umsetzung von Präventionsmaßnahmen sowie die Definition von Sicherheitsregeln und deren Durchsetzung. Dabei sind folgende Aspekte zu beachten:
- Funktions- und standortübergreifende Automatisierung: Es gilt Cyberangriffe möglichst schnell zu erkennen und gezielte Sicherheitsmaßnahmen in Echtzeit zu realisieren. Es ist wichtig, dass die Sicherheit hochgradig automatisiert ist, um nicht nur bekannte IoT-Angriffe zu verhindern, sondern durch die Analyse der zulässigen Verkehrsströme unbekannte Angriffe sichtbar zu machen.
- Vollständiger Einblick in die gesamte IoT-Umgebung: Es ist nicht möglich, sich vor Bedrohungen zu schützen, die man nicht sehen kann. Genauso wie die vollständige Sichtbarkeit der Anwendungen, Inhalte und Benutzer der erste Schritt zur Durchsetzung von Sicherheitsregeln im herkömmlichen IT-Netzwerk ist, gilt das Gleiche auch für IoT-Sicherheit. Darüber hinaus erfordern es neue Vorschriften und Anforderungen, dass Unternehmen eine bessere Sichtbarkeit vorweisen.
- Datenaustausch zwischen nativ integrierten Sicherheitsfunktionen: Eine komplexe Sicherheitsumgebung mit Funktionen, die nicht miteinander sprechen können, wirkt sich negativ auf die betriebliche Effizienz aus, erhöht Kosten und Personalbedarf bei der Netzwerkverteidigung. Nativ integrierte Funktionen arbeiten zusammen und teilen konsistente Informationen, um das IoT-Bedrohungspotenzial zu reduzieren.
Keine unbekannten Endpunkte
Der Einsatz gängiger Endpunkt- und Netzwerksicherheitslösungen wird den IoT-Sicherheitsanforderungen oft nicht gerecht. IT-Endpunktsicherheit ist für Geräte vorgesehen, auf denen Softwareagenten betrieben werden können, was von IoT-Geräten mit ihren spezifischen Betriebssystemen nicht unterstützt wird. sie werden daher von herkömmlichen Sicherheitsplattformen als unbekannte Endpunkte kategorisiert. Um IoT-Geräte zu schützen, muss aber deren Typ und reguläres Nutzungsprofil im Kontext industrieller Prozesse samt möglicher Risiken bekannt sein. Die Erfassung nur anhand von IP-Adressen und Betriebssystemen reicht dabei nicht aus. Ein ganzheitlicher IoT-Sicherheits-Ansatz erfordert daher für die gesamte potenzielle Angriffsfläche eine lückenlose, kontextbezogene Überwachung aus der Cloud heraus. KI-basierte Bedrohungserkennung kann dabei verdächtige Vorgänge in Echtzeit sichtbar machen. Sicherheitsfachkräfte sind dadurch in der Lage, Bedrohungen früh zu erkennen, damit kritische Aktivitäten nicht übersehen werden.
