Trace Id is missing

Die Konvergenz von IT und OT

Neuer Cyber Signals-Bericht von Microsoft

Cyber Signals-Ausgabe 3: Cyber-Risiken für kritische Infrastrukturen nehmen zu

Die Verbreitung, Anfälligkeit und Cloud-Konnektivität von Internet-of-Things (IoT)- und Operational Technology (OT)-Geräten stellt eine schnell wachsende, oft unkontrollierte Risikofläche dar, die eine Vielzahl von Branchen und Unternehmen betrifft. Die rasante Zunahme des IoT bietet Angreifern mehr Einstiegspunkte und eine größere Angriffsfläche. Da OT-Geräte zunehmend mit der Cloud verbunden werden und sich die IT-OT-Lücke schließt, öffnet der Zugang zu weniger sicheren OT-Geräten die Tür für schädliche Infrastrukturangriffe.
Microsoft identifizierte ungepatchte, schwerwiegende Schwachstellen in 75 % der gängigsten Industrieregler in OT-Netzwerken von Kunden.1
Sehen Sie sich das digitale Cyber Signals Briefing an, in dem Vasu Jakkal, CVP von Microsoft Security, wichtige Experten für Bedrohungsintelligenz zu IoT- und OT-Schwachstellen befragt und erklärt, wie Sie sich schützen können.

Digitales Briefing: Die Konvergenz von IT und OT

Angreifer kompromittieren mit dem Internet verbundene Geräte, um Zugang zu sensiblen Netzwerken kritischer Infrastrukturen zu erhalten.

Im vergangenen Jahr hat Microsoft Bedrohungen beobachtet, die Geräte in fast jedem überwachten und sichtbaren Teil einer Organisation ausnutzen. Wir haben diese Bedrohungen bei traditioneller IT-Technik, OT-Controllern und IoT-Geräten wie Routern und Kameras festgestellt. Die zunehmende Präsenz von Angreifern in diesen Umgebungen und Netzwerken wird durch die Konvergenz und Vernetzung verstärkt, die viele Unternehmen in den letzten Jahren eingeführt haben.

Die International Data Corporation (IDC) schätzt, dass es bis 2025 41,6 Milliarden mit dem Internet verbundene IoT-Geräte geben wird, eine Wachstumsrate, die diejenige der traditionellen IT-Geräte übertrifft. Obwohl die Sicherheit von IT-Geräten in den letzten Jahren verbessert wurde, hat die Sicherheit von IoT- und OT-Geräten nicht Schritt gehalten, weshalb diese Geräte von Angreifern ausgenutzt werden.

Es ist wichtig, sich vor Augen zu halten, dass Angreifer verschiedenste Motive haben können, um andere Geräte als herkömmliche Laptops und Smartphones zu kompromittieren. Russlands Cyberangriffe auf die Ukraine sowie andere von Staaten gesponserte cyberkriminelle Aktivitäten zeigen, dass einige Länder diese Angriffe auf kritische Infrastrukturen dafür nutzen, um militärische und wirtschaftliche Ziele zu erreichen.

Zweiundsiebzig Prozent der Software-Exploits, die von „Incontroller“ verwendet werden, was die Cybersecurity and Infrastructure Security Agency (CISA) als eine neuartige Reihe von staatlich gesponserten, auf industrielle Steuerungssysteme (ICS) ausgerichtete Cyberangriffs-Tools beschreibt, sind jetzt online verfügbar. Eine solche Verbreitung begünstigt die Ausweitung der Angriffsaktivitäten anderer Akteure, da die Expertise und andere Hemmnisse für den Einstieg abnehmen.

Da die cyberkriminelle Wirtschaft wächst und auf OT-Systeme abzielende Schadsoftware immer verbreiteter und einfacher zu handhaben ist, haben auch Bedrohungsakteure immer mehr Möglichkeiten, groß angelegte Angriffe durchzuführen. Ransomware-Angriffe, die früher als Angriffsvektor auf die IT wahrgenommen wurden, betreffen heute auch OT-Umgebungen. Das hat der Angriff auf Colonial Pipeline gezeigt, bei dem OT-Systeme und der Pipeline-Betrieb vorübergehend stillgelegt wurden, während die zuständigen Teams daran arbeiteten, die Verbreitung der Ransomware im IT-Netzwerk des Unternehmens zu identifizieren und einzudämmen. Die Angreifer haben erkannt, dass die finanziellen Auswirkungen und der Erpressungsdruck, die mit der Abschaltung von Energie- und anderen kritischen Infrastrukturen verbunden sind, weitaus größer sind als in anderen Branchen.

Zu OT-Systemen gehört fast alles, was physische Betriebsabläufe unterstützt, und das in Dutzenden von vertikalen Branchen. Sie beschränken sich nicht nur auf industrielle Prozesse, sondern können alle speziellen oder computergesteuerten Geräte sein, wie z. B. HLK-Steuerungen, Aufzüge und Verkehrsampeln. Auch verschiedene Sicherheitssysteme fallen in die Kategorie der OT-Systeme.

Microsoft fand heraus, dass chinesische Bedrohungsakteure anfällige Heim- und Kleinbüro-Router ins Visier nehmen, um diese Geräte zu kompromittieren und ihnen einen neuen Adressraum zu geben. Dadurch werden die Angreifer weniger mit früheren Kampagnen in Verbindung gebracht und können von dort aus neue Angriffe starten.

Während die Verbreitung von IoT- und OT-Schwachstellen eine Herausforderung für alle Organisationen darstellt, sind kritische Infrastrukturen einem erhöhten Risiko ausgesetzt. Die Störung kritischer Dienste ist ein mächtiges Druckmittel, denn sie müssen nicht einmal zerstört werden.

Empfehlungen:

  • Zusammenarbeit mit Beteiligten:  Bilden Sie unternehmenskritische Ressourcen in IT- und OT-Umgebungen ab.
  • Gerätetransparenz:  Ermitteln Sie, welche IoT- und OT-Geräte für sich genommen kritisch sind und welche mit anderen kritischen Ressourcen verbunden sind.
  • Durchführung einer Risikoanalyse für kritische Ressourcen:  Konzentrieren Sie sich auf die geschäftlichen Auswirkungen verschiedener Angriffsszenarien, wie von MITRE vorgeschlagen.
  • Festlegen einer Strategie:  Gehen Sie die identifizierten Risiken an, indem Sie die Priorität von den geschäftlichen Auswirkungen abhängig machen.

IoT birgt neue Geschäftsmöglichkeiten – aber auch große Risiken

 

Im Zuge der Konvergenz von IT und OT zur Unterstützung der wachsenden Geschäftsanforderungen müssen bei der Risikobewertung und der Schaffung einer sichereren Beziehung zwischen IT und OT mehrere Kontrollmaßnahmen berücksichtigt werden. Nicht verbundene Geräte und Perimetersicherheit reichen nicht mehr aus, um moderne Bedrohungen wie ausgeklügelte Schadsoftware, gezielte Angriffe und böswillige Insider zu bekämpfen und abzuwehren. Die Zunahme von IoT-Schadsoftware-Bedrohungen spiegelt beispielsweise die Ausdehnung dieser Landschaft und das Potenzial wider, anfällige Systeme zu übernehmen. Bei der Analyse von Bedrohungsdaten aus dem Jahr 2022 in verschiedenen Ländern stellten die Forscher von Microsoft fest, dass der größte Teil der IoT-Schadsoftware, nämlich 38 Prozent, aus dem großen Netzwerk in China stammt. Infizierte Server in den USA brachten das Land mit 18 Prozent der beobachteten Schadsoftware-Verbreitung auf den zweiten Platz.

Versierte Angreifer nutzen verschiedene Taktiken und Ansätze in OT-Umgebungen. Viele dieser Ansätze sind in IT-Umgebungen üblich, aber in OT-Umgebungen noch effektiver, wie z. B. die Entdeckung ungeschützter, dem Internet zugewandter Systeme, der Missbrauch von Anmeldedaten von Beschäftigten oder die Ausnutzung des Netzwerkzugriffs für Drittanbieter und Auftragnehmer.

Die Konvergenz zwischen den Laptops, Webanwendungen und hybriden Arbeitsumgebungen der IT-Welt und den werks- und einrichtungsgebundenen Kontrollsystemen der OT-Welt führt zu gravierenden Risiken, da sie Angreifern die Möglichkeit bietet, Lücken zwischen ehemals physisch isolierten Systemen zu überwinden. IoT-Geräte wie Kameras und intelligente Konferenzräume werden so zu Risikokatalysatoren, da sie neue Wege in Arbeitsbereiche und andere IT-Systeme öffnen.

Im Jahr 2022 unterstützte Microsoft ein großes, weltweit tätiges Lebensmittel- und Getränkeunternehmen, das sehr alte Betriebssysteme für seine Werksabläufe verwendete, bei einem Zwischenfall mit Schadsoftware. Bei der routinemäßigen Wartung von Geräten, die später mit dem Internet verbunden waren, verbreitete sich die Schadsoftware über einen kompromittierten Laptop eines Auftragnehmers auf die Werkssysteme.

Leider ist dieses Szenario immer häufiger zu beobachten. Zwar kann eine ICS-Umgebung vom Internet isoliert werden, doch sobald ein kompromittierter Laptop an ein ehemals sicheres OT-Gerät oder -Netzwerk angeschlossen wird, ist es angreifbar. In den von Microsoft überwachten Kundennetzwerken sind 29 Prozent der Windows-Betriebssysteme mit Versionen ausgestattet, die nicht mehr unterstützt werden. Wir haben erlebt, dass Versionen wie Windows XP und Windows 2000 in verwundbaren Umgebungen liefen.

Da ältere Betriebssysteme oft nicht die für die Sicherheit von Netzwerken erforderlichen Updates erhalten und das Patchen in großen Unternehmen oder Produktionsstätten eine Herausforderung darstellt, ist die Transparenz von IT-, OT- und IoT-Geräten ein wichtiger erster Schritt, um Schwachstellen zu verwalten und diese Umgebungen zu sichern.

Eine Verteidigung, die auf Zero Trust, effektiver Durchsetzung von Richtlinien und kontinuierlicher Überwachung basiert, kann dazu beitragen, den potenziellen Schadensradius zu begrenzen und derartige Vorfälle in Cloud-Umgebungen zu verhindern oder einzudämmen.

Die Untersuchung von OT-Geräten erfordert ein ganz spezielles Wissen, und das Verständnis des Sicherheitsstatus von industriellen Steuerungen ist von entscheidender Bedeutung. Microsoft hat der Defender-Community ein Open-Source-Forensik-Tool zur Verfügung gestellt, mit dem Sicherheitsexpertinnen und -experten ihre Umgebungen besser verstehen und potenzielle Zwischenfälle untersuchen können.

Während die meisten bei kritischen Infrastrukturen an Straßen und Brücken, öffentliche Verkehrsmittel, Flughäfen sowie Wasser- und Stromnetze denken, hat die CISA kürzlich empfohlen, die Raumfahrt und die Bioökonomie ebenfalls dazu zu zählen. Sie verwies auf das Potenzial von Störungen in verschiedenen Sektoren der US-Wirtschaft, die sich nachteilig auf die Gesellschaft auswirken könnten. Da die Welt auf satellitengestützte Fähigkeiten angewiesen ist, könnten Cyberbedrohungen in diesen Sektoren globale Auswirkungen haben, die weit über das bisher Gesehene hinausgehen.

Empfehlungen

  • Neue und verbesserte Richtlinien implementieren: Richtlinien, die auf der Zero Trust-Methode und Best Practices beruhen, bieten einen ganzheitlichen Ansatz, um nahtlose Sicherheit und Governance für alle Ihre Geräte zu ermöglichen.
  • Eine umfassende und dedizierte Sicherheitslösung einführen: Ermöglichen Sie Transparenz, kontinuierliche Überwachung, Beurteilung der Angriffsfläche, Bedrohungserkennung und Reaktion.
  • Ausbilden und schulen:  Sicherheitsteams benötigen spezielle Schulungen für Bedrohungen, die von IoT/OT-Systemen ausgehen oder auf diese abzielen.
  • Prüfen, wie bestehende Sicherheitsmaßnahmen ergänzt werden können: Gehen Sie auf IoT- und OT-Sicherheitsbelange ein, um ein einheitliches IT- und OT/IoT-SOC für alle Umgebungen zu schaffen.

Erfahren Sie mehr darüber, wie Sie Ihr Unternehmen schützen können – mit den Erkenntnissen von David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research.

78-prozentiger Anstieg bei der Offenlegung hochkritischer Schwachstellen in industriellen Steuerungssystemen gängiger Hersteller von 2020 bis 2022.1

Microsoft identifizierte ungepatchte, schwerwiegende Schwachstellen in 75 % der gängigsten Industrieregler in OT-Netzwerken von Kunden.1

Über 1 Million öffentlich im Internet sichtbare verbundene Geräte laufen mit Boa, einer veralteten und nicht unterstützten Software, die in IoT-Geräten und Software Development Kits (SDKs) immer noch weit verbreitet ist.1
  1. [1]

    Methodik: Für Momentaufnahmedaten lieferten Microsoft-Plattformen wie Microsoft Defender for IoT, Microsoft Threat Intelligence Center und Microsoft Defender Threat Intelligence anonymisierte Daten über Geräteschwachstellen wie Konfigurationsstatus und Versionen sowie Daten über Bedrohungsaktivitäten auf Geräten und Komponenten. Darüber hinaus verwendeten Forschende Daten aus öffentlichen Quellen wie dem National Vulnerability Database (NVD) und der Cybersecurity & Infrastructure Security Agency (CISA). Die Statistik zu „ungepatchte, schwerwiegende Schwachstellen in 75 % der gängigsten Industrieregler in OT-Netzwerken von Kunden“ beruht auf Microsoft-Einsätzen im Jahr 2022. Steuerungssysteme in kritischen Umgebungen umfassen elektronische oder mechanische Geräte, bei denen Regelkreise zur Verbesserung von Produktion, Effizienz und Sicherheit eingesetzt werden.

Verwandte Artikel

Expertenprofil: David Atch

In unserem neuesten Expertenprofil sprachen wir mit David Atch, Head of IoT/OT Security Research bei Microsoft, über die wachsenden Sicherheitsrisiken der IoT- und OT-Konnektivität.

Cyberbedrohungen durch zunehmende IoT/OT-Konnektivität auf dem Vormarsch

In unserem neuesten Bericht untersuchen wir, wie die zunehmende IoT/OT-Konnektivität zu größeren und gravierenderen Sicherheitsrisiken führt, die organisierte Bedrohungsakteure im Cyberspace ausnutzen können.

Cyber Signals, 2. Ausgabe: Das Geschäftsmodell Lösegelderpressung

Erfahren Sie von Experten an vorderster Front Näheres zur Entwicklung von Ransomware-as-a-Service. Von Programmen und Payloads bis hin zu Access Brokern und Affiliates: Erfahren Sie mehr über die von Cyberkriminellen bevorzugten Tools, Taktiken und Ziele und erhalten Sie Ratschläge, wie Sie Ihr Unternehmen schützen können.

Microsoft Security folgen