Aktuelle Hinweise des Federal Bureau of Investigation (FBI) und der Cybersecurity and Infrastructure Security Agency (CISA) weisen auf eine dringende und sich weiterentwickelnde Bedrohung für OT-Umgebungen hin. In einer gemeinsamen Warnmeldung wiesen die Behörden darauf hin, dass mit dem Iran verbundene Angreifer aktiv mit dem Internet verbundene SPSen (speicherprogrammierbare Steuerungen) in kritischen Infrastruktursektoren der USA ausnutzen, darunter Wasser- und Abwassersysteme, Energieversorgung und staatliche Einrichtungen. Die Warnmeldung AA26-097A verdeutlicht ein Muster , das viele in der Branche schon lange vermutet haben, das nun aber in realen Vorfällen beobachtet wird: Diese Akteure verlassen sich nicht mehr auf Software-Schwachstellen oder Zero-Day-Exploits, um industrielle Umgebungen zu beeinträchtigen. Stattdessen nutzen sie legitime Zugriffspfade, native Industrieprotokolle und Standard-Engineering-Tools, um direkt mit Steuerungssystemen zu interagieren.
Offenliegende Steuerpfade, keine Sicherheitslücken
Nicht ungepatchte Sicherheitslücken, sondern ungeschützte Kontrollpfade stellen das Hauptrisiko für OT-Umgebungen dar. Herkömmliche Strategien, die auf der Erkennung von Sicherheitslücken, dem Patchen von Systemen und der Überwachung böswilliger Aktivitäten basieren, sind nach wie vor wichtig, doch die neueste Sicherheitsempfehlung macht deutlich: Wenn ein Angreifer Zugang zu Ihrer OT-Umgebung erhält, kann er sich darin frei bewegen.
In mehreren beobachteten Fällen gelang es Angreifern, über standardmäßige industrielle Kommunikationsports wie 44818, 2222, 102 und 502 eine direkte Verbindung zu SPS-Geräten mit Internetanbindung herzustellen. Mithilfe weit verbreiteter Engineering-Software bauten sie gültige Sitzungen mit diesen Geräten auf und interagierten mit ihnen, als wären sie autorisierte Bediener.
Die Unterscheidung zwischen „zugänglich“ und „anfällig“ stellt einen grundlegenden Wandel dar. Es geht nicht mehr nur darum, ob ein System anfällig ist, sondern ob es zugänglich ist. Wenn auf ein Steuerungssystem über ein Netzwerk zugegriffen werden kann, lässt es sich auch bedienen. Und wenn es bedient werden kann, kann es auch gestört werden.
Wie moderne OT-Angriffe durchgeführt werden
Das in der Sicherheitsempfehlung beschriebene Angriffsmuster verläuft nach einem einfachen Schema:
- Erster Zugriff: Anbindung von SPSen oder OT-Systemen an externe Netzwerke, entweder direkt oder über Fernzugriffswege wie VPNs oder Jump-Hosts
- Interaktion über legitime Kanäle: Von dort aus nutzen Angreifer legitime Engineering-Tools wie Studio 5000 Logix Designer, um Verbindungen zum Gerät herzustellen. Einsatz von Engineering-Workstations, Hersteller-Tools oder nativen Protokollen (z. B. Modbus, EtherNet/IP)
- Ausführung:
- Anpassung der Steuerungslogik
- Hochladen/Herunterladen von Projektdateien
- Ausgabe von Befehlen an physikalische Prozesse
- Auswirkungen: Betriebsstörungen, Sicherheitsrisiken und mögliche finanzielle Verluste
Was diesen Ansatz so effektiv macht, ist, dass er viele herkömmliche Sicherheitskontrollen umgeht. Auf Protokoll- oder Tool-Ebene gibt es nichts, was von Natur aus „bösartig“ ist und eine Erkennung auslösen könnte.
Herkömmliche Steuerungsmethoden reichen nicht mehr aus
Die meisten OT-Umgebungen stützen sich heute auf eine Kombination aus Firewalls, VPNs, Segmentierungsstrategien und Fernzugriffskontrollen. Diese Maßnahmen sind zwar notwendig, weisen jedoch gewisse Einschränkungen auf:
- Firewalls sind auf eine korrekte Konfiguration und Regelverwaltung angewiesen; sie lassen zudem von Haus aus die erforderlichen Protokolle zu.
- VPNs und Fernzugriff sind auf die Integrität der Anmeldedaten angewiesen
- Erkennungs-/Überwachungssysteme werden erst aktiv, nachdem bereits eine Verbindung hergestellt wurde
In den von der CISA beschriebenen Szenarien mussten die Angreifer diese Sicherheitsmaßnahmen nicht im herkömmlichen Sinne umgehen. Sie nutzten lediglich die bereits bestehenden Zugriffsmöglichkeiten.
Aus diesem Grund legt die Empfehlung großen Wert darauf, unnötige Risiken zu vermeiden und die Netzwerksegmentierung zu verschärfen.
Kombination von Segmentierung und deterministischer Isolierung
Segmentierung gilt schon seit langem als bewährte Vorgehensweise, doch nicht jede Segmentierung ist gleich.
Eine logische Segmentierung, die durch Software und Richtlinien durchgesetzt wird, kann Risiken verringern, beseitigt sie jedoch nicht vollständig. Fehlkonfigurationen, der Missbrauch von Zugangsdaten oder indirekte Zugriffspfade können nach wie vor zu unbeabsichtigten Verbindungen zwischen IT- und OT-Umgebungen führen.
In Umgebungen mit hohem Risiko ist eine deterministische Isolierung erforderlich.
Beseitigung des Angriffswegs durch Einwegkommunikation
Ein sicherer Ansatz besteht darin, den eingehenden Zugriff gänzlich zu unterbinden.
Datendioden gewährleisten eine hardwarebasierte Einwegkommunikation zwischen Netzwerken. Dadurch können Betriebsdaten zu Überwachungs-, Analyse- oder Compliance-Zwecken aus der Kontrollumgebung herausgeleitet werden, während es technisch unmöglich ist, dass Daten, Befehle oder Verbindungen zurück in die Umgebung gelangen.
Im Zusammenhang mit den von der CISA beschriebenen Angriffsmustern hat dies direkte Auswirkungen:
- Es können keine Fernbefehle an die SPS gesendet werden
- Es können keine Engineering-Tools eine Verbindung von externen Netzwerken herstellen
- Es können weder Malware noch unbefugter Datenverkehr in die Kontrollumgebung gelangen
Hier geht es nicht darum, böswillige Aktivitäten zu erkennen oder zu blockieren. Es geht darum, den Weg dorthin gänzlich zu beseitigen.
Anpassung an die Empfehlungen der CISA
Die Leitlinien der CISA zur Risikominderung legen den Schwerpunkt auf drei zentrale Maßnahmen:
- OT-Ressourcen aus dem direkten Internet-Verkehr entfernen
- Verstärkte Trennung zwischen IT- und OT-Netzwerken
- Einschränkung und Kontrolle des Fernzugriffs
Einweg-Kommunikationsarchitekturen setzen diese Empfehlungen mit einem höheren Sicherheitsniveau um, indem sie gewährleisten, dass kritische Steuerungssysteme nicht erreichbar sind, selbst wenn vorgelagerte Netzwerke kompromittiert werden.
OT Security neu denken: Von der Abwehr zum Design
In der Empfehlung AA26-097A wird dargelegt, dass sich defensive Annahmen parallel zu den Bedrohungen, auf die sie abzielen, weiterentwickeln müssen. Wenn Angreifer Schwachstellen nicht mehr ausnutzen müssen, reicht es nicht mehr aus, sich ausschließlich auf Erkennung und Prävention zu konzentrieren. Der Schwerpunkt muss auf architektonische Kontrollmaßnahmen verlagert werden, die ganze Risikoklassen beseitigen. Eine solche Maßnahme besteht darin, OT-Systeme für externe Netzwerke unzugänglich zu machen.
Sicherheit hat oberste Priorität
Die jüngste Warnung der CISA unterstreicht eine Tatsache, die Unternehmen nicht länger ignorieren können:
- Exposition ist gleichbedeutend mit Risiko in OT-Umgebungen
- Da Angreifer zunehmend legitime Zugriffsrechte und native Funktionen ausnutzen, besteht die wirksamste Abwehr nicht nur in einer besseren Überwachung oder strengeren Richtlinien, sondern darin, unnötige Verbindungen gänzlich zu unterbinden.
- Die Gestaltung von OT-Umgebungen, die von vornherein unzugänglich sind, ist längst keine theoretische Best Practice mehr. Sie entwickelt sich zu einer praktischen Notwendigkeit, um die Betriebsresilienz sicherzustellen.
