Dass industrielle Netzwerke wie Steuerungs-, Fernwirk- und Netzleittechnik notorisch unsicher sind, ist längst kein Geheimnis mehr. Jedoch beschränken sich die meisten Berichte dazu auf Mutmaßungen und generelle Warnungen.
Wir haben deshalb die Ergebnisse aus knapp zwei Dutzend Rhebo Industrial Security Assessments (RISSA) ausgewertet, die wir im Jahr 2022 vorrangig bei deutschen Energieunternehmen sowie einigen Industrieunternehmen durchgeführt haben.
Beim RISSA wird die Operational Technology (OT) bezüglich ihrer Netzteilnehmer, Kommunikation und Konfigurationen gezielt nach Auffälligkeiten und Sicherheitsbedrohungen untersucht. Hierfür wird das OT-Monitoring mit Anomalieerkennung Rhebo Industrial Protector per Switchport an einem zentralen Punkt in der OT integriert, ohne die OT selbst zu beeinträchtigen. Nachfolgend wird die Kommunikation in der OT über einen Zeitraum von rund 14 Tagen passiv aufgezeichnet. Anschließend analysieren Rhebo OT-Expert:innen die Kommunikation und dokumentieren:
- Anomalien, Risiken, Fehlkonfigurationen;
- die aktiven Systeme und Geräte sowie deren Verbindungen und jeweilige Verbindungsqualität (Abb. 1).
Pro Risikoanalyse wurden im Durchschnitt 18 Anomalietypen identifiziert. Einzelne Anomalien traten hierbei mehrfach in einem einzigen RISSA auf, so dass die absolute Anzahl an identifizierten Anomalien in der Regel weit über dem hier aggregierten Durchschnittswert liegt.
Keine Netzleittechnik ist sicher
Die Ergebnisse zeigen, dass ein Großteil der Risiken und Anomalien Legacy-Probleme umfasst (Abb. 1). Hinzu kommen Kommunikationsvorgänge von Geräten und Systemen, die häufig als standardmäßige Werkseinstellung und für die Betreibenden unwissentlich laufen. Auffällig sind auch immer wieder unplausible – und damit potenziell gefährliche – Veränderungen innerhalb der eigentlich stabilen, sich wiederholenden und deterministischen OT-Kommunikation.
Die Tabelle fasst die Top10 Anomalietypen zusammen und gibt Details zum Risiko, das von ihnen ausgeht.
| Anomalietyp | Risiko |
| Legacy-Protokolle | Die fehlenden Authentifizierungs- und/oder Verschlüsselungsfunktionen historischer Protokolltypen erlauben Angreifenden, wertvolle Informationen aus der Infrastruktur auszulesen, die für den weiteren Verlauf eines Angriffs genutzt werden können. |
| Nicht benötigte Protokolle | Geräte und Systeme kommunizieren über Protokolle, die in der betroffenen OT-Infrastruktur keine Verwendung mehr finden. In der Regel hat die Kommunikation der Geräte keine operative Relevanz, läuft jedoch aufgrund von Werkseinstellungen automatisiert weiter. Häufig handelt es sich um Multicast-Nachrichten, mit denen Geräte standardmäßig (ab Werk) versuchen, eigene Dienste und Softwareversionen zu bewerben. Nicht benötigte Protokolle stellen potentielle Angriffsvektoren dar und sollten abgeschaltet werden. |
| Veraltete Authentifizierungsmethode | Die betroffene Authentifizierungsmethode erhält seit über zehn Jahren vom Hersteller keinen Support mehr. Die Passwort-Hashes lassen sich in kurzer Zeit entschlüsseln. Weiterhin ist die Methode für gehäufte Zero-Day-Lücken bei Systemen dieses Herstellers verantwortlich. |
| Verwundbare Firmware, Software oder Betriebssysteme | Veraltete Firmware, Software und Betriebssysteme besitzen in der Regel nicht geschlossene Schwachstellen, die von Angreifenden ausgenutzt werden können. Insbesondere veraltete Firmware auf Netzwerkkomponenten stellt ein flächendeckendes Problem dar. |
| Verbindungsaufbau zum Internet | Erfolgreiche Verbindungen von OT-Komponenten zu externen Servern können ein Informationsleck im eigenen Netzwerk darstellen oder Angreifenden einen effektiven Zugriffspunkt bieten. |
| Unverschlüsselte Übertragung sensibler Infrastrukturdaten | Kommunikation, bei der Passwörter als Klartext übertragen werden, liefern Angreifenden wertvolle Informationen für laterale Bewegungen, Account-Übernahmen und Threat Propagation. |
| Auffällige Kommunikationsänderungen | Industrielle Kommunikation zeichnet sich durch wiederholende und deterministische Muster aus. Plötzliche Einbrüche, Lastspitzen oder gar ein verändertes Verkehrsmuster können Hinweise sein auf aktive Eingriffe in das Verhalten eines Systems oder Geräts. |
| Gefährdende Fehlkonfigurationen | Bestimmte Fehlkonfigurationen befähigen Angreifende, sensible Informationen abzufangen oder Man-in-the-Middle-Angriffe zu starten. Dazu gehört u.a. die Konfiguration via DHCP sowohl im Netzwerk, als auch bei Komponenten, die einen entsprechenden Server suchen. Weiterhin wurden Router-Advertisements und Source Routing identifiziert. |
Diese Risiken können Angreifende zwar nur für sich nutzen, wenn sie bereits Zugriff auf das Netzwerk haben. Sie bilden jedoch ein wertvolles Arsenal für Angreifende:
- sich im Netzwerk lateral fortzubewegen,
- die Infrastruktur zu verstehen,
- den Zugriff auf die Kritische Infrastruktur zu festigen und
- ihren Angriff zu vertiefen.
Mit einem RISSA werden diese bereits bestehenden Risiken binnen kürzester Zeit sichtbar und können von den Verantwortlichen behoben werden.
Von der Erstaufnahme zu kontinuierlicher Sicherheit
Um eine durchgängige Angriffserkennung in der OT zu ermöglichen, verbleibt Rhebo Industrial Protector nach der Risikoanalyse in der Regel in der OT und wird direkt in den laufenden Betrieb übernommen. Anomalien, die während der Risikoanalyse erkannt, aber noch nicht behoben wurden, können im OT-Monitoring auf “Beobachten” gesetzt werden. Dadurch können die Verantwortlichen sie nachverfolgen, bis eine Lösung gefunden ist.
Mit dem OT-Monitoring mit Anomalieerkennung wird im laufenden Betrieb eine kontinuierliche Überwachung der gesamten Kommunikation und die Echtzeit-Identifikation von Sicherheitsanomalien umgesetzt. Damit folgen die Energieversorgungsunternehmen den Anforderungen, wie sie auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Orientierungshilfe zum “Einsatz von Systemen zur Angriffserkennung” im Rahmen des IT-Sicherheitsgesetzes 2.0 empfohlen werden.
