KRITIS: Sicherheitsbedrohungen für kritische Infrastrukturen werden ignoriert
In dem Bericht „Better Safe than Sorry“ untersuchen die Forscher von Forescout die Entwicklungen bei exponierten Betriebstechnologien/ICS im Zeitraum von 2017 bis 2024 und warnen, dass die Bedrohungen für kritische Infrastrukturen (KRITIS) und die Gefahr eines Massenangriffs völlig außer Acht gelassen werden.
Trotz jahrzehntelanger Aufklärungsarbeit, neuer Vorschriften und wiederkehrender behördlicher Empfehlungen bleibt die Anfälligkeit von Betriebstechnologien (OT) und industriellen Steuerungssystemen (ICS), die über das Internet erreichbar sind, ein gravierendes Sicherheitsproblem für kritische Infrastrukturen (KRITIS). In diesem Kontext veröffentlicht Forescout,Anbieter von Cybersicherheitslösungen, jetzt seinen neuen Forschungsbericht Better Safe Than Sorry, für den über einen Zeitraum von sieben Jahren Daten zu OT/ICS-Geräten mit Verbindung zum Internet analysiert wurden. Die Studie wurde von Forescout Research – Vedere Labs durchgeführt, einem Team, das auf die Aufdeckung von Schwachstellen und Bedrohungen spezialisiert ist, die kritische Infrastrukturen betreffen.
In dem Bericht Better Safe Than Sorry untersuchen die Forscher von Forescout die realistischen Möglichkeiten für Massenangriffe auf OT/ICS-Geräte, die über das Internet zugänglich sind. Diese Geräte bieten Angreifern beste Voraussetzungen, um im Handumdrehen Chaos anzurichten: Sie brauchen dazu nichts weiter zu tun, als vor dem Hintergrund aktueller Ereignisse ein paar grundlegende Überlegungen anzustellen, andere Attacken nachzuahmen oder mithilfe neuer Off-the-Shelf-Tools oder leicht verfügbarer Hacking-Anleitungen akute Sicherheitslücken auszunutzen.
„Wenn diese Warnungen bekannt klingen, dann deshalb, weil sie bekannt sind. Das Potenzial für Massenangriffe ist hoch“, betont Elisa Costante, VP of Research bei Forescout Research – Vedere Labs. „Forescout appelliert daher an die Hersteller, Dienstanbieter und Aufsichtsbehörden, gemeinsam alles daran zu setzen, Angriffe auf kritische Infrastrukturen (KRITIS) zu verhindern, bei denen niemand verschont bleiben würde.“
Die wichtigsten Ergebnisse des Forschungsberichts für KRITIS
Nordamerika kommt bei der Behebung dieses Sicherheitsproblems voran, doch weltweit betrachtet bleibt noch viel zu tun. Die USA und Kanada konnten die Anzahl der exponierten Geräte im Untersuchungszeitraum deutlich reduzieren: die USA um 47 Prozent und Kanada um 45 Prozent. In anderen Top-10-Ländern stieg die Zahl der exponierten Geräte dagegen an:
- Spanien: 82 %
- Italien: 58 %
- Frankreich: 26 %
- Deutschland: 13 %
- Russland: 10 %
Proaktive, gezielte Benachrichtigungen sind dringend erforderlich. Die Hackerangriffe auf kompromittierte SPS von Unitronics sowie eine Kombination aus behördlichen Warnungen und Medienberichten bewirkten, dass die Zahl der über das Internet zugänglichen Unitronics SPS binnen zwei Monaten um 48 Prozent sank. Bemerkenswert ist dabei, dass die Zahl der exponierten Unitronics-Geräte in Israel bereits im Jahr 2022 zurückging, zeitgleich mit den ersten Berichten über Angriffe auf diese Geräte. In den USA hingegen begannen die Zahlen erst gegen Ende 2023 zu sinken, in Reaktion auf neuere Angriffe.
Robuste Strategien für das Risikomanagement sind unerlässlich. Bei vielen OT-Geräten und -Protokollen liegt die Ursache für die Internet-Anbindung in gängigen Praktiken von Systemintegratoren. Dazu zählt etwa die Bereitstellung von Fertigpaketen, die für die Asset-Eigentümer nicht durchschaubar sind und ungewollt zahlreiche Systeme über das Internet zugänglich machen. Die meisten Asset-Eigentümer sind sich nicht darüber im Klaren, dass solche Fertigpakete anfällige OT-Devices enthalten können. Dies unterstreicht, wie wichtig es für ein umfassendes Risikomanagement ist, über präzise, detaillierte Software- und Hardware-Stücklisten zu verfügen.
Fast die Hälfte bereits als anfällig gemeldeter Ports sind immer noch angreifbar. Im Zusammenhang mit den Angriffen auf SPS von Modicon und Wago untersuchten die Forscher von Forescout diese gefährdeten Geräte ein Jahr, nachdem einige davon der CISA gemeldet worden waren, ein weiteres Mal. Auf rund der Hälfte der gemeldeten SPS waren die problematischen Ports immer noch offen – ohne irgendwelche Änderungen oder Schutzmaßnahmen. 30 Prozent der Geräte waren nicht mehr aus dem Internet erreichbar, während die restlichen 20 Prozent zwar weiterhin erreichbar waren, der fragliche OT-Port jedoch geschlossen worden war. Einige FTP- und Web-Schnittstellen waren allerdings in manchen Fällen trotzdem noch anfällig.
Die gute Nachricht: Es gibt inzwischen weniger als 1.000 exponierte Geräte, auf denen Nucleus läuft, und nur noch rund 5.500, auf denen NicheStack läuft. Dies ist ein deutlicher Rückgang, seit die Forscher von Forescout im Rahmen ihres Project Memoria die Anfälligkeiten in diesen Stacks aufgedeckt haben.
„Immer wieder sehen wir, welch fatale Folgen es haben kann, wenn Bedrohungen für kritische Infrastrukturen – KRITIS – ignoriert werden“, so Costante weiter. „Die Frage ist nicht, ob solche Schwachstellen ausgenutzt werden, sondern nur wann. Deshalb sollten wir uns die Warnungen zu Herzen nehmen und proaktive Maßnahmen zum Schutz unserer Infrastrukturen ergreifen, bevor es zu spät ist.“
Forescout veröffentlicht den Bericht Better Safe Than Sorry auf der Hannover Messe. Der vollständige Bericht Better Safe Than Sorry kann jetzt heruntergeladen werden.
