Anomalien in Steuerungsnetzen und ihre Folgen

Beim Rhebo – Industrie 4.0 Stabilitäts- und Sicherheitsaudit erhalten Industrieunternehmen und Betreiber Kritischer Infrastrukturen eine vollständige Analyse ihres Industrial Control Systems (ICS) und aller verdächtigen Vorgänge (Anomalien). Betreiber von ICS haben damit eine Grundlage, ihre Netzwerke gezielt zu optimieren und Anomalien umgehend zu beheben.

Die folgenden 5 Beispiele beschreiben typische Anomalien, welche die Cybersicherheit von ICS gefährden und zu Datenverlusten oder Downtimes führen können.

Welche technisch bedingten Anomalien die Produktivität gefährden, erfahren Sie hier.

Anomalie: Verwundbare Software

  • Analyse

    Bei der Analyse wurde erkannt, dass Geräte über Software kommunizieren, für die in der vorliegenden Version gravierende Sicherheitslücken bekannt sind.

     

    Auffällig waren vor allem die genutzten Ports sowie die Zugriffsmuster.

  • Sicherheitsrisiko

    Die bekannten Sicherheitslücken ermöglichen Angreifern u.a. das System zum Absturz zu bringen oder beliebigen Code (z. B. Malware) auszuführen. Die Systemsicherheit ist damit akut gefährdet.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Anlagenreparatur

Anomalie: Gehäufte DNS-Anfragen

  • Analyse

    Rhebo Industrial Protector registrierte sehr viele DNS-Anfragen zu Servern im Internet, die in den Adressbereichen verschiedener CDNs (Content Distribution Networks) liegen.

     

    Die angefragten Server liegen im Internet und es ist nicht ersichtlich, welcher Betreiber sich dahinter verbirgt.

  • Sicherheitsrisiko

    Es besteht die Gefahr, dass über solche Server Malware bzw. Ransomware im Netzwerk installiert wird. Weiterhin können Hacker diese Zugang für Industriespionage nutzen.

     

    Auswirkungen:

    • Verluste durch Know-How-Diebstahl
    • langfristig Kosten durch Downtime
    • Vertrauensverlust

Prüfen Sie Ihr ICS auf Sicherheitslücken

Anomalie: Fallback-IP-Adressen

  • Analyse

    Ein Gerät im Steuerungsnetz weist eine selbstständig zugewiesene Fallback-IP-Adresse auf.

     

    Diese Auffälligkeit kommt oft dann vor, wenn ein neues Gerät aus verschiedenen Gründen keine IP-Adresse vom autorisierten DHCP-Server erhält.

     

    Das Gerät ist offenbar im Netzwerk nicht bekannt.

  • Sicherheitsrisiko

    Es besteht die Gefahr, dass das Gerät mit bösartiger Absicht platziert wurde, um das Netzwerk auszuspionieren oder Malware zu installieren. Weiterhin können unbekannte Geräte mit ihrer Kommunikation die Funktionalität des Netzwerks beeinträchtigen und so zu Störungen oder Ausfällen führen.

     

    Auswirkungen:

    • Verluste durch Know-How-Diebstahl
    • Verlust durch Störung der Produktion
    • Vertrauensverlust

Anomalie: Verwendung der Protokolle VNC, NetBIOS und SMB

  • Analyse

    Rhebo Industrial Protector registrierte mehrfach Kommunikation über die Protokolltypen VNC, NetBIOS und SMB. Diese werden üblicherweise von Windows-Geräten zur Remote-Konfiguration und zum Freigeben von Dateien genutzt.

     

    Ihr Auftreten ist in industriellen Netzwerken in der Regel unerwünscht.

  • Sicherheitsrisiko

    Die Protokolle werden häufig von Schadsoftware verwendet (z. B. NotPetya). Haben die betroffenen Geräte direkt oder indirekt Zugang zum Internet, kann eine Kompromittierung und der Versuch einer Infektion vorliegen.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Reparatur

Anomalie: Kommunikation auf verdächtigen Ports

  • Analyse

    Rhebo Industrial Protector registriert immer wieder Kommunikation über Ports, für die Sicherheitslücken bekannt sind. In verschiedenen Fällen korreliert diese Meldung mit verdächtigen Verhaltensmustern.

     

    Zum Beispiel fand sich in einem Fall Kommunikation über einen fragwürdigen Port, der vom Windows WBT Server für Remote Desktop Protocol (RDP) benutzt wird. Bei der Kommunikation wurden nur wenige Pakete übertragen, was für RDP-Verbindungen uncharakteristisch ist.

  • Sicherheitsrisiko

    Ports, für die Sicherheitslücken bekannt sind, werden regelmäßig von Trojanern und Schadsoftware zur Kommunikation genutzt. Die Charakteristik der beispielhaften Kommunikation (kurzzeitig und verschlüsselt) unterstützt zusätzlich die Vermutung bösartiger Kommunikation und einer Kompromittierung von Netzwerkkomponenten.

     

    Auswirkungen:

    • Verlust durch Produktionsausfall
    • Versorgungsausfall durch Blackout
    • Kosten für Systemwiederherstellung und Reparatur
    • Vertrauensverlust

Prüfen Sie Ihr ICS auf Sicherheitslücken