OT-Risiken – Erkenntnisse aus Schwachstellenbewertungen 2023 #1

Kein Licht in der Blackbox

14.4.2024
5 min

In den Medien wird in regelmäßigen Abständen vor der drohenden Cybergefahr für industrielle Netze, oder OT (für Operational Technology), gewarnt. In ebenso regelmäßigen Abständen beschwichtigen Stimmen die heraufbeschworene Notlage kritischer Infrastrukturen und industrieller Unternehmen mit dem Hinweis, dass es bislang nur eine handvoll direkter Angriffe auf OT-Netze gab. Während diese Stimmen rückblickend durchaus Recht haben, stellt jedoch der Blick nach vorn schon längst nicht mehr die Frage, ob die eigene OT angegriffen wird, sondern nur noch wann.

In den folgenden drei Blogposts unserer Serie “OT-Risiken – Erkenntnisse aus Schwachstellenbewertungen” geben wir Einblicke in den wahren Risikozustand vieler OT-Netze. Die Ergebnisse stammen aus mehreren Dutzend OT-Schwachstellenbewertungen und Risikoanalysen. Dieses Rhebo Industrial Security Assessment führen wir bei unseren Kunden sowohl vor Einführung des netzwerkbasierten OT-Angriffserkennungssystems Rhebo Industrial Protector, als auch wiederholt im Rahmen von Service Level Agreements unter Rhebo Managed Protection durch.

Dabei wird Rhebo Industrial Protector binnen weniger Minuten in das zu untersuchende OT-Netz integriert. Nachfolgend schneidet das passive OT-Monitoring zehn bis 14 Tage bei Normalbetrieb der OT die Kommunikation mit. Im Anschluss wird dieser Mitschnitt (pcap) durch unsere Expert:innen genauestens auf bestehende OT-Risiken in Bezug auf sowohl die Cybersicherheit, als auch die Verfügbarkeit untersucht.

Aus unserer Sicht geben die Ergebnisse eher den Mahnern recht, als den Beschwichtigern. Daran hat sich seit unserer letztjährigen Auswertung nichts geändert.

Blick in die Black-Box OT

Der erste Blick in die OT zeigt, dass die Struktur und Variabilität zumindest im Durchschnitt verhältnismäßig übersichtlich ist. Die hauptsächlich verwendeten Protokolle liegen mit einer Anzahl von etwas mehr als 30 weit unter der Menge, die aus der IT bekannt ist. Auch die Anzahl unterschiedlicher Hersteller bleibt, wenn auch mit durchschnittlich 16 nicht zu vernachlässigen, administrierbar.

Die Anzahl von Hosts (also einzelnen Geräten und Systemen) hängt stark von der Größe der untersuchten Infrastruktur ab. Je nach Größe der Infrastruktur wurden zwischen knapp 40 und über 520 Geräte identifiziert, im Durchschnitt sind das 178 pro OT-Netz. In einer Ausnahme (die als Ausreißer nicht im Durchschnitt berücksichtigt wurde) fanden sich aber auch über 6.000 Geräte in einem einzigen OT-Netz.

Auf den ersten Blick hält sich die Komplexität der OT-Netze insgesamt in Grenzen. Sie ist somit nicht das Problem, vor dem Sicherheitsbeauftragte stehen. Fehlende Sichtbarkeit, fehlende oder vernachlässigte Sicherheitsrichtlinien und die oft lückenhafte Dokumentation in OT-Netzen bergen das eigentliche Risiko, ganz unabhängig davon, wie viele Geräte, Hersteller und Protokolle im Netz vorherrschen. Denn nicht selten haben wir bei Rhebo Industrial Security Assessments Geräte, Protokolle und Kommunikation in der OT gefunden, von denen die Verantwortlichen nichts wussten.

Sicherheitsrisiken überwiegen

Die Frage, warum nicht das “ob” sondern das “wann” die entscheidende Perspektive bei der OT-Cybersicherheit ausmacht, verdeutlicht die Anzahl an Risiken bzw. Anomalien, die wir in OT-Netzen fanden.

Durchschnittlich wurden 26 verschiedene Anomalietypen im Rahmen der Rhebo Industrial Security Assessments identifiziert. Anomalietypen beschreiben hierbei Kategorien von entdeckten Auffälligkeiten. So wurde beispielsweise in dem Fall, dass “unsichere Firmware” in einem OT-Netz gefunden wurde, diese für die vorliegende statistische Auswertung nur ein Mal gezählt, auch wenn mehrere, auch unterschiedliche unsichere Firmwares gefunden wurden. Die Anzahl der Einzelanomalien liegt somit noch einmal weitaus höher.

Der überwiegende Teil der identifizierten Anomalietypen kann mit 74 % dem Bereich der Cybersicherheit zugeordnet werden. Die übrigen 26 % bilden Aspekte der Netzwerkqualität und Netzwerkverfügbarkeit ab – also Anomalietypen, die zu Netzwerkausfällen und Prozessfehlern führen können.

Im zweiten Teil dieser Trilogie beleuchten wir die Sicherheitsrisiken, welche die Mehrheit der in OT-Netzen versteckten Auffälligkeiten bilden.

Teil 3 wirft abschließend einen Blick auf die Verfügbarkeitsrisiken.

Aktuelle Posts