iconimage - Fotolia
So lässt sich die XIoT-Sicherheitslücke schließen
Das Verständnis der Gefährdungslage des XIoT für eine angemessene Risikobewertung und -minderung ist von entscheidender Bedeutung für den Schutz von Anlagen und Leben.
Nach mehr als 20 Jahren der Vernetzung von Geräten mit dem Internet sind wir an einem Punkt angelangt, an dem unsere physische Welt in hohem Maße von ihren digitalen Komponenten abhängig ist. Wir haben jetzt direkte Verbindungen zu Prozesssteuerungssystemen und intelligenten Sensoren in industriellen Umgebungen, zu medizinischen Bildgebungsgeräten und Patientenüberwachungssystemen in Gesundheitseinrichtungen und zu anderen Geräten, die in intelligenten Stromnetzen und Gebäudemanagementsystemen verwendet werden.
Selbst unsere grundlegendsten Bedürfnisse wie Nahrung und Wasser hängen von cyberphysischen Systemen (CPS) und den angeschlossenen Geräten ab, die zusammengefasst als erweitertes Internet der Dinge (XIoT) bezeichnet werden. Viele dieser vernetzten Geräte wurden jedoch nicht mit Blick auf die Sicherheit entwickelt. Dies ist im Rahmen der technologischen Innovationen leider nicht unüblich, sodass es Jahre, wenn nicht Jahrzehnte dauern wird, bis eine neue Generation von vernetzten Geräten mit stärker integrierten Sicherheitsfunktionen und -prozessen entsteht.
Die Bedrohungslage des erweiterten Internet der Dinge (XIoT)
Um die kritische Infrastruktur und damit Menschenleben zu schützen, muss man die Gefährdungslage des XIoT kennen. Nur so lässt sich eine angemessene Risikobewertung und -reduzierung umsetzen. Einige Schlüsselereignisse aus der letzten Zeit haben dies deutlich vor Augen geführt:
- Industroyer2, eine Variante der Industroyer-Malware aus dem Jahr 2016, wurde bei einem vereitelten Angriff auf einen ukrainischen Stromversorger eingesetzt.
- Im Jahr 2022 wurde eine Suite von Angriffswerkzeugen namens Incontroller (auch bekannt als Pipedream) entdeckt. Dabei wurde festgestellt, dass sie Komponenten enthält, die speziell für den Angriff auf bestimmte Industrieanlagen und die Unterbrechung von Prozessen entwickelt wurden.
- Unter dem Namen OT:ICEFALL wurden 56 Schwachstellen aufgedeckt, die Geräte von zehn XIoT-Anbietern betreffen.
In der IT gibt es seit Jahrzehnten eine aktive Sicherheitsforschungs-Community und Programme zur Offenlegung von Schwachstellen durch die Hersteller, um die Identifizierung von Schwachstellen und die Ergreifung von Abhilfemaßnahmen zu beschleunigen. Dieses Modell wurde erst vor kurzem auf den Bereich der cyber-physischen Systeme und des XIoT übertragen. Immer mehr Sicherheitsforscher wenden sich nun gezielt diesem Bereich zu – auch aufgrund der Erkenntnis, dass sich industrielle Umgebungen schnell verändern und immer häufigeren und stärkeren Angriffen ausgesetzt sind.
„In industriellen Umgebungen, in denen viele der mit dem Internet verbundenen Anlagen Legacy-Systeme sind, stellen Abhilfestrategien oft die einzige Option dar, die Ingenieuren der Betriebstechnologie (OT) und Sicherheitsteams zur Verfügung steht.“
Galina Antova, Claroty
Neue Untersuchungen zu XIoT-Schwachstellen haben ergeben, dass in der ersten Hälfte des Jahres 2022 die von Herstellern selbst offengelegten Sicherheitslücken zum ersten Mal die der unabhängigen Forschungsinstitute übertrafen. Während sich die Anzahl der Schwachstellen, die intelligente Geräte, Netzwerkkomponenten und Kameras betreffen, im Vergleich zu den vorangegangenen sechs Monaten fast verdoppelt hat, haben die Anbieter 91 Prozent der veröffentlichten Schwachstellen vollständig oder teilweise behoben. Dies ist insofern von Bedeutung, als die überwiegende Mehrheit der veröffentlichten XIoT-Schwachstellen entweder kritisch oder von hohem Schweregrad war.
Wie sich die Risiken reduzieren lassen
In industriellen Umgebungen, in denen viele der mit dem Internet verbundenen Anlagen Legacy-Systeme sind, stellen Abhilfestrategien oft die einzige Option dar, die Ingenieuren der Betriebstechnologie (OT) und Sicherheitsteams zur Verfügung steht. Das Risiko von Unterbrechungen und Ausfallzeiten bei der Implementierung einer neuen Sicherheitsmaßnahme, eines Patches oder eines System-Upgrades kann ein absolutes No-Go sein. Selbst wenn ein Patch während eines Wartungsfensters geplant ist, sollten die folgenden grundlegenden Sicherheitsmaßnahmen ergriffen werden, um das Risiko zu minimieren:
- Netzwerksegmentierung: Eine physische Netzwerksegmentierung zwischen IT- und OT-Netzwerken verringert die Wahrscheinlichkeit, dass ein Angriff vom IT- auf das OT-Netzwerk übergreift, kann jedoch ein langwieriges und kostspieliges Unterfangen sein. Eine kostengünstige und effiziente Alternative ist die virtuelle Segmentierung innerhalb der OT-Umgebung, um festzulegen, wie eine „normale“ Kommunikation aussieht, und um zonenspezifische Richtlinien zu erstellen. Auf diese Weise können Sicherheitsteams vor lateralen Bewegungen gewarnt werden, wenn Angreifer versuchen, eine Präsenz aufzubauen, Zonen zu überspringen und sich in der Umgebung zu bewegen. Dabei sollte eine Mikrosegmentierung für XIoT-Geräte vorgenommen werden, um noch kleinere Gruppen von Assets zu erlangen, mit denen diese Geräte kommunizieren können. Auf bestimmten Ebenen des Netzwerks ist es allerdings nicht möglich, den Datenverkehr zu blockieren, da dies auch den physischen Prozess stoppt und Sicherheitsprobleme verursachen kann. Dennoch kann diese Art der Segmentierung die Überwachung des Netzwerks und die Zugriffskontrolle verbessern und die Reaktionszeit erheblich verkürzen, was Kosten spart und Ausfallzeiten reduziert, falls ein Angreifer dort Fuß gefasst hat.
- Sicherer Fernzugriff: Parallel zur Segmentierung umfasst der sichere Fernzugriff nicht nur die Trennung kritischer Zonen vom Rest des IT- und OT-Netzwerks, sondern auch die Sicherung von Remote-Sitzungen durch zusätzliche Verschlüsselungs-, Authentifizierungs- und Autorisierungsfunktionen. Strenge Kontrollen über Benutzer, Geräte und Sitzungen ermöglichen es den Sicherheitsverantwortlichen, verbundene Geräte zu identifizieren, den Zugriff auf Geräte und Prozesse granular zu steuern und bei nicht vertrauenswürdiger Kommunikation und nicht vertrauenswürdigem Verhalten im Netzwerk alarmiert zu werden und Sitzungen bei Bedarf zu beenden. Passwort-Vaulting und Multifaktor-Authentifizierung (MFA) bieten zusätzliche Sicherheitsebenen, um die Wiederverwendung von Passwörtern und die gemeinsame Nutzung zu verhindern.
- Cloud-Risikomanagement: Um Prozesse effizienter zu gestalten, verbinden Unternehmen XIoT-Geräte und -Systeme mit dem Internet und verwalten sie über die Cloud. Schwachstellen, die sich auf in der Cloud verwaltete OT-Geräte und Verwaltungskonsolen in der Cloud auswirken, entgehen jedoch häufig der Aufmerksamkeit von Anlagenbetreibern und Security-Teams. Sicherheitsverantwortliche sollten die Cloud-Unterstützungsprotokolle von XIoT-Geräten überprüfen und Sicherheitsmechanismen wie Verschlüsselung und Zertifikate zum Schutz des Datenaustauschs verwenden. Authentifizierungs- und Identitätsverwaltungsmechanismen wie MFA, starke Anmeldeinformationen und granulare benutzer- und rollenbasierte Zugriffskontrollrichtlinien helfen dabei, unbefugten Zugriff auf Geräte und Systeme zu verhindern. Da Cloud-Anbieter mit einem Modell der geteilten Verantwortung arbeiten, ist es außerdem von entscheidender Bedeutung, dass die Zuständigkeiten zwischen dem Unternehmen und seinen Cloud-Anbietern klar geregelt sind.
In Anbetracht der überwältigenden wirtschaftlichen Vorteile werden die Vernetzungen mit intelligenten Technologieanlagen und -geräten in allen Arten von Unternehmen weiter zunehmen. Gleichzeitig haben es Angreifer zunehmend auf Schwachstellen in diesen Anlagen und Geräten abgesehen. Glücklicherweise gibt es an mehreren Fronten erhebliche Fortschritte, um XIoT-Sicherheitslücken schnell zu schließen und die Risikominderung zu vereinfachen. Unternehmen sollten alle verfügbaren Ressourcen nutzen, um die Risiken für ihre geschäftskritischen Abläufe zu bewerten und anzugehen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.