ArtikelSecurity

Die Zahl der Cyberbedrohungen nimmt zu, doch auch die Sicherheit rüstet intelligent auf

Autor/Redakteur: Will Roth, VP für DACH, Osteuropa und die baltischen Staaten bei Nozomi Networks/gg

Die Zahl der Bedrohungen durch Cyberkriminelle ist in den letzten Jahren deutlich gestiegen. Gleichzeitig sind immer weniger Firmen sowie Privatleute gewillt, sich diesem Risiko auszusetzen und greifen vermehrt auf Sicherheitsprogramme zurück. Dabei ist von besonderer Bedeutung, gerade die Schnittstelle zwischen der IT und den Produktionssystemen, der OT, zu verbessern. Denn adressierten die Cyberkriminellen in der Vergangenheit primär die IT-Systeme, geraten OT-Lösungen, die häufig nicht mit dem Fokus „digitale Sicherheit“ entwickelt wurden, immer mehr ins Fadenkreuz der Angreifer. Und auch die zunehmende Vernetzung und Auslagerung von digitaler Intelligenz (Stichwort IoT) trägt zu dieser Veränderung der Bedrohungslandschaft bei.

Quelle: Nozomi Networks

OT/IoT-Cybervorfälle lassen sich dabei in drei Hauptkategorien unterteilen:

  • Opportunistisch
  • gezielt
  • unbeabsichtigt

DDoS- und andere Attacken

Am häufigsten öffentlich gemeldet wurden opportunistische Angriffe. Hierbei waren Überflutungen des Datenverkehrs über DDoS-Versuche am beliebtesten in IoT-Netzwerken. Dabei geht es in der Regel darum, durch eine viel zu hohe Zahl an Anfragen Websites (zum Beispiel Firmenauftritte, Online-Shops oder Web Services) durch Überlastung zu blockieren. Das allein kostet Unternehmen bereits viel Geld, doch besonders perfide ist, dass die Kriminellen das Chaos rund um die DDoS-Attacken nutzen wollen, um Malware in die Unternehmens-IT zu implementieren. Dafür nutzen die Angreifer allgemeine Schwachstellen sowie Sicherheitslücken für den Erstzugriff aus und probieren, Malware-Stränge unabhängig von Netzwerkdomänen sowie Zielsystemen einzupflegen.

Auf Platz zwei folgt die Kategorie der Remote-Access-Trojaner (RAT). Eine weitere häufig erkannte Malware-Kategorie in Unternehmens- und IT-Domänen ist nach wie vor „Ransomware“. Bei der Analyse von domänenübergreifender Malware sind es wiederum „Phishing“-Warnungen.

Ein ebenfalls weit verbreiteter Angriffstyp sind gezielte Angriffe auf eine bestimmte, gut recherchierte Opferorganisation, einen bestimmten Standort oder sogar beides. Hierbei wird auf „bewährte“ Techniken, wie Brute-Force-Versuche, zurückgegriffen, mit denen Bedrohungsakteure die Sicherheit aushebeln. Zusätzlich weiten sie ihre Aufklärungsbemühungen aus, um die Schwere der potenziellen Angriffe, Störungen und/oder Schäden zu erhöhen.

Der am geringsten auftretende Cybervorfall ist der Unbeabsichtigte, oftmals menschliches Versagen oder Angriffe, die OT und IoT betreffen. Diese gelangen jedoch nur selten an die Öffentlichkeit, kommen aber immer noch recht häufig vor. Gleichzeitig werden sie immer kostspieliger, da die Interoperabilität von OT und IT mit Informationen über den Zusatz der Produktionssysteme (Auslastung, Materialverbrauch, Verschleiß und vielem mehr) weiterhin die Aufgaben und Geschäftsentscheidungen von Unternehmen bestimmt.

Seit Anfang des Jahres wurden weiterhin aufsehenerregende Cyberattacken von verschiedenen Arten von Bedrohungsakteuren beobachtet, vor allem von Ransomware-Banden. Besonders betroffen sind die Sektoren Fertigung, Energie, Gesundheitswesen, Wasser und Abwasser. Auch Regierungs- und städtische Dienste werden gerne unterbrochen.

Internationale Schutzmaßnahmen schreiten voran

Dementsprechend haben Regierungen auf der ganzen Welt in der ersten Jahreshälfte 2023 auch an der Verbesserung der Gesetzgebung zur Cybersicherheit und der Politik für kritische Infrastrukturen auf nationaler Ebene gearbeitet. Die Nationale Cybersicherheitsstrategie der USA und ihr anschließender Umsetzungsplan, die NIS-2-Richtlinie der Europäischen Union und das Gesetz über die Sicherheit kritischer Infrastrukturen in Australien sind hier besonders hervorzuheben.

Erkenntnisse aus der Praxis

Auf Basis von Telemetriedaten aus OT- und IoT-Umgebungen, die eine Vielzahl von Anwendungsfällen und Branchen auf der ganzen Welt abdecken, ergibt sich eine große Anzahl von Netzwerk-Scanning-Anzeigen in Wasseraufbereitungsanlagen, Klartext-Passwort-Warnungen in der Baustoffindustrie, Programmübertragungsaktivitäten in Industriemaschinen, OT-Protokoll-Paketinjektionsversuche in Öl- sowie Gasnetzwerken und noch vielen mehr.

Die am häufigsten ausgelösten Kundenwarnungen variieren je nach Branche. Während in Wasseraufbereitungsanlagen mehr allgemeine Netzwerk-Scanner-Warnungen auftraten, die typischerweise mit autorisiertem Scannen oder dem Sondieren von Bedrohungsakteuren in Verbindung gebracht werden, traten bei Kunden in der Öl- und Gasindustrie eher Warnmeldungen im Zusammenhang mit OT-Protokoll-Packet-Injection  auf. Dabei wird ein korrektes Protokollpaket in einem falschen Kontext injiziert, zum Beispiel wird eine korrekte Protokollnachricht in der falschen Reihenfolge gesendet. Insgesamt gibt es in vielen Sektoren ähnliche Warnmeldungen, wie beispielsweise schlechte Verwaltung von Anmeldeinformationen, Identifizierung von Klartextpasswörtern und TCP-Flood-Warnungen. Selbst wenn IT-Angriffe nicht in OT-Systeme eindringen, werden OT-Netzwerke und -Prozesse allzu oft durch Angriffe auf die IT-Systeme behindert, auf die Firmen sich verlassen.

Schutz durch AI und KI

Mit einer reinen Analyse des Geschehenen ist es jedoch nicht getan. Vielmehr müssen Maßnahmen ergriffen werden, welche sofort greifen, aber auch die Chance auf Nutzung in Zukunft umfassen.

Bedrohungsakteure streben weiterhin nach dem größten ROI für ihre Bemühungen in Form von finanziellen Gewinnen oder produzierten Unterbrechungen. Opportunistische Angriffe bleiben bestehen, während maßgeschneiderte OT- und IoT-Bedrohungsaktivitäten ein deutliches Risiko für Eigentümer und Betreiber von Prozessen darstellen, die wenig bis gar keine Ausfallzeiten tolerieren. In einer Welt, in der die zunehmende Technologieabhängigkeit mit inhärenten Risiken einhergeht, haben der wachsende Automatisierungsgrad und die Einführung von maschinellem Lernen sowie künstlicher Intelligenz die Aufmerksamkeit von Cyberangreifern wie -verteidigern auf sich gezogen.

Hierfür eignen sich Generative KI-Modelle sowie Asset Intelligence (AI) am besten, insbesondere zur Unterstützung von Cybersecurity-Verteidigern. Leider sind sie jedoch auch für Bedrohungsakteure ein wertvolles Werkzeug.

In Bezug auf die Verteidigung der eigenen Sicherheit konzentriert sich Asset Intelligence zunächst auf die Reduzierung von Alarmen. Dank der Leistungsfähigkeit von KI und maschinellem Lernen beobachtet es nun kontinuierlich Veränderungen in OT- und IoT-Netzwerken und zeigt Anomalien im Verhalten von Anlagen auf, die auf Cyber-Bedrohungen und Unregelmäßigkeiten bei der Wartung zurückzuführen sind.

Der Prozess der Anlagenuntersuchung nutzt die Möglichkeiten der künstlichen Intelligenz (KI), analysiert Protokolle und überwacht Ports. Wenn eine unbestätigte Anlage diesen Kriterien entspricht, werden Details wie Typ, Hersteller und Produktnamen entsprechend ausgefüllt. Hierfür stellt das System in einer Datenbank die Werte von bestätigen sowie unbestätigten Anlagen gegenüber und analysiert die Bedeutung dieser Abweichung. Idealerweise findet der Vergleich von Soll- und Ist-Werten in einer umfassenden AI-Datenbank statt, welche über eine Fülle von Zusatzinformationen verfügt.

Durch den Einsatz neuer KI-Modelle können zudem Asset-Intelligence-Datenbanken schnell erweitert und ausgebaut werden. Diese Funktion ermöglicht nicht nur ein besseres Verständnis der Assets vor Ort, sondern rationalisiert und verkürzt in vielen Fällen auch die Bereitstellungszeit.

Aufrüsten, nicht nachrüsten

OT- und IoT-Geräte sind weiterhin hoch gefährdet, wobei viele davon als kritisch beziehungsweise leicht ausnutzbar gelten. Die am stärksten gefährdeten Branchen sind nach wie vor das verarbeitende Gewerbe sowie Energie und Wasser oder Abwasser. Die Branchen Lebensmittel und Landwirtschaft sowie Chemie rücken in die Top fünf auf und verdrängen damit die Branchen Transport und Gesundheitswesen. Im Idealfall erhalten Kunden eine detaillierte Analyse und die nächsten Handlungsschritte. Somit müssen sie weniger Zeit damit verbringen, Warnungen selbst zu analysieren. Das spart nicht nur Zeit, sondern schont auch die Mitarbeiter.