Sicherheitsanomalien in der Operational Technology und ihre Folgen

Durch ein Rhebo Industrial Security Assessment erhalten Industrieunternehmen und Kritische Infrastrukturen eine vollständige Analyse ihrer industriellen Netzwerke. Alle verdächtigen und unsicheren Komponenten, Verbindungen und Vorgänge werden identifiziert. Die Verantwortlichen für Cybersicherheit erhalten damit die Grundlage, Gefährdungen umgehend zu beheben und die Steuerungstechnik zu sichern.

Die folgenden 5 Beispiele beschreiben typische Ergebnisse aus Rhebo Audits und den identifizierten Anomalien.

Welche technisch bedingten Anomalien die Produktivität gefährden, erfahren Sie hier.

Schadsoftware-Infektion verhindert

  • Analyse

    Rhebo Industrial Protector registrierte mehrfach Kommunikation über die Protokolltypen VNC, NetBIOS und SMB. Diese werden üblicherweise von Windows-Geräten zur Remote-Konfiguration und zum Freigeben von Dateien genutzt.

     

    Ihr Auftreten ist in industriellen Netzwerken in der Regel unerwünscht.

  • Sicherheitsrisiko

    Die Protokolle werden häufig von Schadsoftware verwendet (z. B. NotPetya und WannaCry). Haben die betroffenen Geräte direkt oder indirekt Zugang zum Internet, kann eine Kompromittierung und der Versuch einer Infektion vorliegen.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Reparatur

Unsichere Ports deaktiviert

  • Analyse

    Rhebo Industrial Protector registriert immer wieder Kommunikation über Ports, für die Sicherheitslücken bekannt sind. In verschiedenen Fällen korreliert diese Meldung mit verdächtigen Verhaltensmustern.

     

    Zum Beispiel fand sich in einem Fall Kommunikation über einen fragwürdigen Port, der vom Windows WBT Server für Remote Desktop Protocol (RDP) benutzt wird. Bei der Kommunikation wurden nur wenige Pakete übertragen, was für RDP-Verbindungen uncharakteristisch ist.

  • Sicherheitsrisiko

    Ports, für die Sicherheitslücken bekannt sind, werden regelmäßig von Trojanern und Schadsoftware zur Kommunikation genutzt. Die Charakteristik der beispielhaften Kommunikation (kurzzeitig und verschlüsselt) unterstützt zusätzlich die Vermutung bösartiger Kommunikation und einer Kompromittierung von Netzwerkkomponenten.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Reparatur
    • Vertrauensverlust

Prüfen Sie Ihre Steuerungstechnik auf Sicherheitslücken

Software-Sicherheitslücken geschlossen

  • Analyse

    Bei der Analyse wurde erkannt, dass Geräte über Software kommunizieren, für die in der vorliegenden Version gravierende Sicherheitslücken bekannt sind.

     

    Auffällig waren vor allem die genutzten Ports sowie die Zugriffsmuster.

  • Sicherheitsrisiko

    Die bekannten Sicherheitslücken ermöglichen Angreifenden u.a. das System zum Absturz zu bringen oder beliebigen Code (z. B. Malware) auszuführen. Die Systemsicherheit ist damit akut gefährdet.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Anlagenreparatur

Verdächtige Netzteilnehmer blockiert

  • Analyse

    Ein Gerät im Steuerungsnetz weist eine selbstständig zugewiesene Fallback-IP-Adresse auf.

     

    Diese Auffälligkeit kommt oft dann vor, wenn ein neues Gerät aus verschiedenen Gründen keine IP-Adresse vom autorisierten DHCP-Server erhält.

     

    Das Gerät ist offenbar im Netzwerk nicht bekannt.

  • Sicherheitsrisiko

    Es besteht die Gefahr, dass das Gerät mit bösartiger Absicht platziert wurde, um das Netzwerk auszuspionieren oder Malware zu installieren. Weiterhin können unbekannte Geräte mit ihrer Kommunikation die Funktionalität des Netzwerks beeinträchtigen und so zu Störungen oder Ausfällen führen.

     

    Auswirkungen:

    • Verluste durch Know-How-Diebstahl
    • Verlust durch Störung der Produktion
    • Vertrauensverlust

Versteckte Internetanfragen deaktiviert

  • Analyse

    Rhebo Industrial Protector registrierte sehr viele DNS-Anfragen zu Servern im Internet, die in den Adressbereichen verschiedener CDNs (Content Distribution Networks) liegen.

     

    Die angefragten Server liegen im Internet und es ist nicht ersichtlich, welcher Betreiber sich dahinter verbirgt.

  • Sicherheitsrisiko

    Es besteht die Gefahr, dass über solche Server Malware bzw. Ransomware im Netzwerk installiert wird. Weiterhin können Angreifende diesen Zugang für Industriespionage nutzen.

     

    Auswirkungen:

    • Verluste durch Know-How-Diebstahl
    • langfristig Kosten durch Downtime
    • Vertrauensverlust

Prüfen Sie Ihre Steuerungstechnik auf Sicherheitslücken