Sicherheitsanomalien in der Operational Technology und ihre Folgen
Durch ein Rhebo Industrial Security Assessment erhalten Industrieunternehmen und Kritische Infrastrukturen eine vollständige Analyse ihrer industriellen Netzwerke. Alle verdächtigen und unsicheren Komponenten, Verbindungen und Vorgänge werden identifiziert. Die Verantwortlichen für Cybersicherheit erhalten damit die Grundlage, Gefährdungen umgehend zu beheben und die Steuerungstechnik zu sichern.
Die folgenden 5 Beispiele beschreiben typische Ergebnisse aus Rhebo Audits und den identifizierten Anomalien.
Welche technisch bedingten Anomalien die Produktivität gefährden, erfahren Sie hier.
Schadsoftware-Infektion verhindert
-
Analyse
Rhebo Industrial Protector registrierte mehrfach Kommunikation über die Protokolltypen VNC, NetBIOS und SMB. Diese werden üblicherweise von Windows-Geräten zur Remote-Konfiguration und zum Freigeben von Dateien genutzt.
Ihr Auftreten ist in industriellen Netzwerken in der Regel unerwünscht.
-
Sicherheitsrisiko
Die Protokolle werden häufig von Schadsoftware verwendet (z. B. NotPetya und WannaCry). Haben die betroffenen Geräte direkt oder indirekt Zugang zum Internet, kann eine Kompromittierung und der Versuch einer Infektion vorliegen.
Auswirkungen:
- Verlust durch Produktionsausfall
- Versorgungsausfall durch Blackout
- Kosten für Systemwiederherstellung und Reparatur
Unsichere Ports deaktiviert
-
Analyse
Rhebo Industrial Protector registriert immer wieder Kommunikation über Ports, für die Sicherheitslücken bekannt sind. In verschiedenen Fällen korreliert diese Meldung mit verdächtigen Verhaltensmustern.
Zum Beispiel fand sich in einem Fall Kommunikation über einen fragwürdigen Port, der vom Windows WBT Server für Remote Desktop Protocol (RDP) benutzt wird. Bei der Kommunikation wurden nur wenige Pakete übertragen, was für RDP-Verbindungen uncharakteristisch ist.
-
Sicherheitsrisiko
Ports, für die Sicherheitslücken bekannt sind, werden regelmäßig von Trojanern und Schadsoftware zur Kommunikation genutzt. Die Charakteristik der beispielhaften Kommunikation (kurzzeitig und verschlüsselt) unterstützt zusätzlich die Vermutung bösartiger Kommunikation und einer Kompromittierung von Netzwerkkomponenten.
Auswirkungen:
- Verlust durch Produktionsausfall
- Versorgungsausfall durch Blackout
- Kosten für Systemwiederherstellung und Reparatur
- Vertrauensverlust
Software-Sicherheitslücken geschlossen
-
Analyse
Bei der Analyse wurde erkannt, dass Geräte über Software kommunizieren, für die in der vorliegenden Version gravierende Sicherheitslücken bekannt sind.
Auffällig waren vor allem die genutzten Ports sowie die Zugriffsmuster.
-
Sicherheitsrisiko
Die bekannten Sicherheitslücken ermöglichen Angreifenden u.a. das System zum Absturz zu bringen oder beliebigen Code (z. B. Malware) auszuführen. Die Systemsicherheit ist damit akut gefährdet.
Auswirkungen:
- Verlust durch Produktionsausfall
- Versorgungsausfall durch Blackout
- Kosten für Systemwiederherstellung und Anlagenreparatur
Verdächtige Netzteilnehmer blockiert
-
Analyse
Ein Gerät im Steuerungsnetz weist eine selbstständig zugewiesene Fallback-IP-Adresse auf.
Diese Auffälligkeit kommt oft dann vor, wenn ein neues Gerät aus verschiedenen Gründen keine IP-Adresse vom autorisierten DHCP-Server erhält.
Das Gerät ist offenbar im Netzwerk nicht bekannt.
-
Sicherheitsrisiko
Es besteht die Gefahr, dass das Gerät mit bösartiger Absicht platziert wurde, um das Netzwerk auszuspionieren oder Malware zu installieren. Weiterhin können unbekannte Geräte mit ihrer Kommunikation die Funktionalität des Netzwerks beeinträchtigen und so zu Störungen oder Ausfällen führen.
Auswirkungen:
- Verluste durch Know-How-Diebstahl
- Verlust durch Störung der Produktion
- Vertrauensverlust
Versteckte Internetanfragen deaktiviert
-
Analyse
Rhebo Industrial Protector registrierte sehr viele DNS-Anfragen zu Servern im Internet, die in den Adressbereichen verschiedener CDNs (Content Distribution Networks) liegen.
Die angefragten Server liegen im Internet und es ist nicht ersichtlich, welcher Betreiber sich dahinter verbirgt.
-
Sicherheitsrisiko
Es besteht die Gefahr, dass über solche Server Malware bzw. Ransomware im Netzwerk installiert wird. Weiterhin können Angreifende diesen Zugang für Industriespionage nutzen.
Auswirkungen:
- Verluste durch Know-How-Diebstahl
- langfristig Kosten durch Downtime
- Vertrauensverlust