Cyberangriffe haben Erfolg, wenn es Schwachstellen in den angegriffenen Systemen gibt, die sich ausnutzen lassen. Das ist in der IT und in der OT der Fall. Doch die Art der Schwachstellen ist unterschiedlich in der Informationstechnologie und in der Betriebstechnologie. Ebenso kann das aus der IT bekannte Schwachstellenmanagement in der OT nicht einfach übernommen werden und zur Anwendung kommen. Andere Ansätze sind gefragt.
Überblick zu den IT-Schwachstellen
Die Suche nach Schwachstellen
Um in der eigenen IT-Infrastruktur nach vorhandenen Schwachstellen suchen zu können, bieten sich sogenannte Schwachstellen-Scanner an. Im einfachsten Fall ermitteln solche Scanner die Version der eingesetzten Hardware (Firmware) und Software und entnehmen aus Schwachstellen-Datenbanken dann die dazu bekannten Schwachstellen.
Fortgeschrittene Schwachstellen-Scanner können die Firmware und die Software auf Code-Ebene untersuchen, um dort Anzeichen (Signaturen) für Schwachstellen zu finden, ähnlich wie dies bei Malware-Scannern ist, die nach Schadprogrammen suchen.
Ein Beispiel: Der Open Vulnerability Assessment Scanner (OpenVAS) ist ein vollumfänglicher Schwachstellen-Scanner, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit benennt.
Datenbanken und Listen zu IT-Schwachstellen
Auch Sicherheitsverantwortliche selbst können in die bestehenden Listen und Datenbanken zu Schwachstellen Einsicht nehmen, nicht nur die Scanner-Werkzeuge können dies. Bekannte Listen und Datenbanken zu Schwachstellen der IT sind:
- Verwundbarkeitsdatenbank (https://vuldb.com/de/)
- CVE List von MITRE (https://cve.mitre.org/)
- CVE Details (https://www.cvedetails.com/)
- Warn- und Informationsdienst von CERT-Bund (https://wid.cert-bund.de/portal/wid/start)
In solchen Datenbanken und Listen findet man in der Regel ein eindeutiges Kennzeichen für die Schwachstelle, eine Beschreibung der Schwachstelle, eine Einstufung zur Schwere der Schwachstelle, mögliche Risiken bei Ausnutzung und Empfehlungen zur Behebung, falls bereits bekannt.
Einige der Übersichten zu Schwachstellen enthalten auch die bekannten Sicherheitslücken bei OT-Systemen.
Überblick zu den OT-Schwachstellen
Um Schwachstellen in OT-Systemen suchen zu können, müssen die eingesetzten Schwachstellen-Scanner auch die Besonderheiten der OT beherrschen. Das ist nicht bei jedem Schwachstellen-Scanner auf dem Markt der Fall.
Will man sich über die aktuell größten Schwachstellen in der OT informieren, empfiehlt sich zum Beispiel die Durchsicht von speziellen Listen wie „Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen“ der Allianz für Cybersicherheit.
In der aktuellen Liste finden sich als Hauptbedrohungen:
- Einschleusen von Schadsoftware über Wechseldatenträger und mobile Systeme
- Infektion mit Schadsoftware über Internet und Intranet
- Menschliches Fehlverhalten und Sabotage
- Kompromittierung von Extranet und Cloud-Komponenten
- Social Engineering und Phishing
- (D)DoS Angriffe
- Internet-verbundene Steuerungskomponenten
- Einbruch über Fernwartungszugänge
- Technisches Fehlverhalten und höhere Gewalt
- Soft- und Hardware-Schwachstellen in der Lieferkette
Auf den ersten Blick erscheinen diese Bedrohungen nahezu identisch mit denen in der IT, mit gewissen Unterschieden in der Reihenfolge der Bedrohungen, doch die konkreten Schwachstellen und deren Ausnutzung hängen davon ab, ob es sich um ein OT-System oder ein IT-System handelt und um welches System genau.
Unterschiede im Schwachstellenmanagement
Ein zentrales Ziel in der OT ist der störungsfreie Betrieb. Weder die Suche nach Schwachstellen noch die Installation einer möglichen Fehlerbehebung (Patch) darf die Betriebssicherheit mindern, also zu Ausfällen und Störungen im Betrieb führen.
Deshalb gilt es in der OT immer abzuwägen zwischen der Cybersicherheit und der Betriebssicherheit bei den OT-Systemen. Entscheidend ist, welches Risiko als höher und welche Folgeschäden als schwerer eingestuft werden, die der Cyberattacken oder die der Betriebsstörungen.
Im Gegensatz zur IT will man also in der OT nicht immer möglichst schnell einen Patch installieren, sondern es gilt, auf Wartungsfenster zu warten. Mitunter entscheidet man sich auch gegen das Einspielen eines Patches, wenn die Störung des Betriebs größer erscheint als das Risiko einer möglichen Cyberattacke, die die offene Schwachstelle ausnutzen könnte.
Virtual Patching anstelle von Patching
Gibt es aktuell keine Patches oder kann ein Patch erst einmal nicht installiert werden, kann das sogenannte Virtual Patching helfen. Die Idee hinter Virtual Patching ist, dass die Schwachstelle nicht behoben, aber gegen bösartige Zugriffe abgeschirmt wird. Bei Anwendungen, für die es keine Patches gibt, kommt in der Regel für das virtuelle Patchen eine Application Firewall zum Einsatz. Damit lässt sich genau regeln, wer wie auf die zu schützende Applikation zugreifen kann.
Weiterführende Links
Beschreibung des BSI zum Open Vulnerability Assessment System (OpenVAS) https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Tools/OpenVAS/OpenVAS_node.html
OpenVAS https://www.openvas.org/index-de.html
Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen, Allianz für Cybersicherheit https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_005.pdf