Categories: Sicherheit

Cyber-Schwachstellen und deren Auswirkungen auf industrielle Kontrollsysteme (ICS)

TXOne Networks, Anbieter von Sicherheitslösungen zum Schutz industrieller Kontrollsysteme (ICS) und dem industriellen Internet der Dinge (IIoT), hat einen Cybersecurity Report 2021 veröffentlicht, der sich auf die Schwachstellen von ICS-Umgebungen konzentriert. Der Schwerpunkt des Berichts liegt auf der Analyse der Common Vulnerabilities and Exposures (CVEs), den allgemeinen Schwachstellen und Gefährdungen von ICS-Umgebungen. Diese branchenspezifischen Schwachstellen werden jedes Jahr vom Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) identifiziert. Das ICS-CERT veröffentlicht Sicherheitshinweise (“Advisories”), wenn eine ICS-Schwachstelle bekannt wird.

Schwachstellen in systemkritischen Produktionsbereichen

Im Jahr 2021 haben sich die Methoden von Cyberkriminellen grundlegend geändert. Es gab mehr ausgefeilte und zerstörerische Angriffe auf Lieferketten als je zuvor. Eine Analyse der Schwachstellen in den ICS-CERT-Sicherheitshinweisen von 2017 bis 2021 zeigt einen enormen Zuwachs an Schwachstellen, die systemkritische Produktionsbereiche betreffen. So müssen 59,8 Prozent dieser 2021 in Sicherheitswarnungen identifizierten CVEs als kritisch oder hochriskant eingestuft werden.

“Unsere Analyse der 613 im Jahr 2021 identifizierten CVEs zeigt, dass potenzielle Aggressoren 88,8 Prozent davon ausnutzen könnten, um einen Cyberangriff durchzuführen und ICS-Anlagen sowie ihre Umgebung in wechselndem Maße zu stören”, so Terence Liu, CEO von TXOne Networks. “Für ICS-Umgebungen sind Cyberattacken ein erheblicher Grund zur Besorgnis, da sie Schäden oder Störungen in Bezug auf Finanzen, Sicherheit, Menschenleben, Umwelt und Ausrüstung verursachen.”

ICS haben abweichende Anforderungen an die Schutzziele

Das BSI warnt, dass „entgegen der klassischen IT haben ICS abweichende Anforderungen an die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Dies äußert sich beispielsweise in längeren Betriebszeiten und seltenen Wartungsfenstern. Zudem sind insbesondere die Echtzeitanforderungen zu nennen, die für die Steuerung häufig unerlässlich sind. Hinzu kommen Gewährleistungsansprüche. Etablierte Schutzmaßnahmen aus dem Büroumfeld sind dabei nur bedingt auf ICS übertragbar.“

Ein möglicher Weg, die Herausforderungen in der Cybersicherheit anzugehen, kann die OT-Zero-Trust Methode sein.Ein Kernprinzip von IT-Zero-Trust ist “never trust, always verify”. Diese Idee basiert auf der Sichtweise, dass ein Netzwerk für menschliche Anwender oder “Nutzer” konzipiert ist. Da in ICS-Umgebungen die Netzwerke jedoch in erster Linie von Produktionsanlagen und nicht von Personen genutzt werden, muss die dort verwendete Methodik an das OT Zero Trust-Konzept angepasst werden, um einen zuverlässigen Schutz zu bieten, der weder die Produktivität noch die Verfügbarkeit der Anlagen beeinträchtigt.

Der Cybersecurity Report 2021 von TXOne Networks “In-Depth Analysis of ICS Vulnerability with MITRE ATT&CK”kann hier runtergeladen werden

Roger Homrich

Recent Posts

Bitkom-Umfrage: Klimaschutz treibt Digitalisierung der Landwirtschaft

Sensoren analysieren die Bodengesundheit, KI hilft beim Düngen, IoT steuert die Bewässerung – 68% der…

1 Tag ago

Studie: Hoher News-Konsum senkt Arbeitsproduktivität

Adobe hat Manager und Mitarbeitende gefragt, ob negative politische Nachrichten ihre Produktivität beeinträchtigen. Die große…

2 Tagen ago

Leitlinien für Cyber-Security – Grundlagen für Neulinge

Die Erfahrung zeigt, dass manche Unternehmen noch immer kein Fachpersonal für Cyber-Security beschäftigen. Natürlich lässt…

2 Tagen ago

Studie: Angriffe auf Browser nehmen deutlich zu

Der Anstieg vom ersten zum zweiten Quartal liegt bei 23 Prozent. Cyberkriminelle interessieren sich vor…

3 Tagen ago

Turnstile: Cloudflare stellt Alternative zu Captchas vor

Turnstile arbeitet im Hintergrund und ersetzt Captchas vollständig. Für die Lösung einer Herausforderung benötigen Nutzer…

3 Tagen ago

Schmiergeld: US-Börsenaufsicht verhängt erneut Bußgeld gegen Oracle

Es geht um Verstöße gegen ein Anti-Korruptionsgesetz. Demnach zahlten Niederlassungen von Oracle in der Türkei,…

3 Tagen ago