Wechseldatenträger sind nach wie vor einer der häufigsten Angriffsvektoren in OT- (Operational Technology) und ICS- (Industrial Control System) Umgebungen. Eine kürzlich vom NIST (National Institute of Standards and Technology) herausgegebene Sonderveröffentlichung, NIST SP 1334, enthält praktische Empfehlungen für Organisationen, die OT- und ICS-Systeme betreiben. Das Dokument mit dem Titel "Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments" (Verringerung der Cybersicherheitsrisiken tragbarer Media in OT-Umgebungen) enthält Richtlinien zur Verringerung der Cybersicherheitsrisiken im Zusammenhang mit der Verwendung von Peripheriegeräten und Wechselmedien.
Laut einem ICS/OT-Cybersicherheitsbericht von SANS aus dem Jahr 2025 wurden 27 % der Angriffe durch kompromittierte Wechselmedien und transiente Geräte initiiert. In abgeschirmten Umgebungen werden tragbare Medien häufig zur Übertragung von Daten wie Firmware-Updates, Konfigurationsdateien und Protokollen verwendet. Dies erhöht das Risiko, dass Malware, Zero-Day-Exploits und Manipulationen in der Lieferkette bestehende Schutzmaßnahmen umgehen. NIST SP 1334 zielt darauf ab, OT-Betreibern und Herstellern zu helfen, die mit tragbaren Speichermedien, einschließlich USBs, SD-Karten und tragbaren Festplatten, in OT/ICS-Umgebungen verbundenen Risiken zu verwalten.
Warum es für OT-Umgebungen wichtig ist
Im Gegensatz zu IT-Umgebungen sind OT/ICS-Umgebungen in Bezug auf die Cybersicherheit häufig mit Herausforderungen und Einschränkungen konfrontiert, die auf die üblichen Anforderungen an Isolierung und Netzwerktrennung zurückzuführen sind. Die Anpassung der Cybersicherheitspraktiken an die NIST SP 1334-Richtlinien hilft Unternehmen, die Angriffsfläche zu verringern, ihre Defense-in-Depth-Schutzmaßnahmen zu unterstützen und die Nutzung und den Dateitransfer über tragbare Medien besser zu steuern.
Zu den häufigsten Herausforderungen für OT/ICS-Umgebungen gehören:
- Verwendung von Altsystemen: Viele OT-Geräte und -Systeme sind immer noch auf Altsysteme angewiesen, die keine modernen Cybersicherheitsmaßnahmen aufweisen und nicht mehr aufgerüstet werden können. Der Ersatz dieser Systeme kann kostspielig und unerschwinglich sein.
- Hohe Verfügbarkeitsanforderungen: Ausfallzeiten und Dienstunterbrechungen können zu physischen Schäden, Sicherheitsrisiken oder großen betrieblichen Verlusten führen.
- Betrieb von Umgebungen mit Luftschleusen: OT-Netzwerke sind oft abgetrennt, isoliert oder mit Luftschleusen versehen, wodurch netzwerkbasierte Verteidigungsmaßnahmen eingeschränkt werden.
- Unvermeidliche Verwendung von Media : Die Verwendung von Wechselmedien ist für Software-Updates, Diagnosen und Datenübertragung oft unvermeidlich.
Die wichtigsten Erkenntnisse aus NIST SP 1334
NIST SP 1334 legt den Schwerpunkt auf mehrschichtige Kontrollen in vier Schlüsselbereichen: verfahrenstechnische, physische, technische und Transportkontrollen.
Verfahrenskontrollen
Unternehmen sollten klare Richtlinien zur Regelung der Mediennutzung entwickeln. Dazu gehören der Erwerb unternehmenseigener Medien mit Hardware-Verschlüsselung (FIPS-zertifiziert), das Verbot nicht autorisierter Geräte und die Festlegung strenger Verfahren für die Bereitstellung, Bereinigung und Entsorgung von Medien. Die Protokollierung von Nutzungsdetails wie Benutzeridentität, Seriennummer des Geräts und Zeitstempel sowie die Schulung der Mitarbeiter in Bezug auf die Richtlinien sind ebenfalls wichtig.
Physikalische Kontrollen
Die physischen Kontrollen in den NIST SP 1334-Richtlinien umfassen die Aufbewahrung tragbarer Medien an einem physisch sicheren, zugangskontrollierten Ort sowie die Inventarisierung und Kennzeichnung genehmigter Medien mit Nutzungsdetails als grundlegenden Teil des Asset-Management-Programms zur Risikominimierung.
Technische Kontrollen
Unternehmen wird empfohlen, technische Kontrollen zum Schutz der Medien einzurichten. Zu diesen Kontrollen gehören die Deaktivierung unnötiger Ports, die Verwendung von Erlaubnislisten zur Einschränkung von Geräten und der Ausführung von Dateien, das Scannen von Medien vor und nach der Verwendung, die Neuformatierung von Geräten vor der Wiederverwendung, die Aktivierung des Schreibschutzes für schreibgeschützte Dateien, die Deaktivierung von Autorun, die Verwendung verschlüsselter Geräte und die Konfiguration von Warnmeldungen für Wechselmedienaktivitäten.
Transport- und Desinfektionskontrollen
Zusätzliche physische und logische Kontrollen sind erforderlich, um das Risiko des Medientransports zu mindern. Zu diesen Kontrollen gehören die Verwendung von Verschlüsselung oder verschlossenen Behältern für den sicheren internen Transport, die Durchführung einer Hash- oder Prüfsummenüberprüfung bei der Übertragung von Dateien zwischen verschiedenen Parteien und die Durchführung einer gründlichen Säuberung (wie in NIST SP 800-88, Revision 2 beschrieben) vor der Entsorgung der Medien.
Wie OPSWAT hilft, Angriffe auf Peripheriegeräte und Media zu verhindern
OPSWAT bietet eine Reihe von Lösungen für den Schutz kritischer OT-Umgebungen vor Bedrohungen durch Peripheriegeräte und Wechselmedien. Diese Lösungen unterstützen Unternehmen bei der Einhaltung gesetzlicher Richtlinien, einschließlich NIST, ISA/IEC 62443, NEI 18-08, NERC CIP, ISO27001, ANSSI, NIS2 und GDPR.
Schutz vor Bedrohungen durch Media an der Eintrittsstelle
MetaDefender Kiosk™ wurde entwickelt, um die anspruchsvollsten Umgebungen abzusichern. Es scannt und bereinigt Wechselmedien am Eintrittspunkt von Air-Gapped-Umgebungen und sichert so den Datenfluss in OT-Systeme. MetaDefender Kiosk hilft Unternehmen außerdem, die betriebliche Ausfallsicherheit zu erhöhen und das Risiko ungeplanter Ausfallzeiten, Produktionsunterbrechungen und Sicherheitsvorfälle zu verringern. MetaDefender Kiosk wurde als Teil der DeltaV Silver Alliance von Emerson anerkannt und hat seine Effektivität in verschiedenen Umgebungen und Anwendungsfällen bewiesen.
Pre-Run Endpoint Protection und Gerätekontrolle
MetaDefender Endpoint™ stärkt die Endpunktsicherheit und bietet fortschrittlichen Schutz für Betriebsumgebungen. Es scannt und erkennt aktiv Wechselmedien und Peripheriegeräte beim Einlegen, bevor sie für kritische Systeme zugänglich gemacht werden. Diese Funktion unterstützt Unternehmen bei der Erfüllung der in NIST SP 1334 beschriebenen Cybersicherheitsanforderungen für tragbare Speichermedien. Darüber hinaus können Benutzer die Daten von Wechselmedien sicher löschen und so die Anforderungen der Standards zur Mediensanierung erfüllen.
Überwachung des Schutzes von einer einzigen Glasscheibe aus
Wenn MetaDefender Endpoint und MetaDefender Kiosk in My OPSWAT™ Central Management integriert sind, unterstützen sie die zentrale Durchsetzung von Richtlinien zur Kontrolle des Gerätezugriffs, die Überwachung und Verwaltung der Nutzung tragbarer Medien sowie die Protokollierung von Aktivitäten.
Media als zusätzliche Verteidigungsschicht
OPSWAT bietet auch eine Reihe von Lösungen zur Verbesserung Ihrer Defense-in-Depth-Strategie. MetaDefender Endpoint Validation, OPSWAT Media Validation Agent und MetaDefender Media Firewall™ bieten eine zusätzliche Sicherheitsebene durch die Durchsetzung von Scan- und Bereinigungsrichtlinien.
MetaDefender Endpoint Validation und OPSWAT Media Validation Agent sind leichtgewichtige Tools, die auf den Endpunkten installiert werden und sowohl in Umgebungen mit Luftschnittstelle als auch in verbundenen Umgebungen funktionieren. Sie dienen als Kontrollpunkt, um sicherzustellen, dass nur von MetaDefender Kiosk gescannte Dateien geöffnet, kopiert, ausgewählt und vom Endpunkt abgerufen werden können.
MetaDefender Media Firewall ist eine Plug-and-Play-Hardwarelösung zum Schutz kritischer Hostsysteme vor Bedrohungen, die von Wechselmedien ausgehen. Sie arbeitet mit MetaDefender Kiosk als einfach zu bedienende, physische Schicht, um OT-Umgebungen abzusichern und zu garantieren, dass keine ungescannten Wechseldatenträger die Zugangspunkte passieren können. Diese Lösung hilft Unternehmen auch bei der Durchsetzung von Scan-Richtlinien, die mit den gesetzlichen Compliance-Standards übereinstimmen.
Branchenführende Core
MetaDefender Kiosk und MetaDefender Endpoint basieren auf weltweit bewährten, branchenführenden Technologien, darunter:
- Metascan™ Multiscanning: Erzielt mit 30+ Anti-Malware-Engines Erkennungsraten von bis zu 99,2 %.
- Deep CDR™: Rekursive Bereinigung von Dateien, um potenzielle Bedrohungen zu entfernen, ohne ihre Funktionalität zu beeinträchtigen, um unbekannte Bedrohungen zu verhindern, einschließlich Zero-Day-Exploits, mit Unterstützung von über 200 Dateitypen
- File-Based Vulnerability Assessment: Erkennt bekannte Schwachstellen mit mehr als 3.000.000 gesammelten Datenpunkten von aktiven Geräten und mehr als 30.000 zugehörigen CVEs mit Schweregradinformationen
- Proaktive DLP™: Nutzt KI-gestützte Modelle, um sensible Informationen wie PII, PHI, PCI in mehr als 110 Dateitypen zu finden und automatisch zu löschen.
- Herkunftsland: Erkennt die geografische Herkunft von Dateien, um eingeschränkte Standorte und Anbieter zu identifizieren und die Einhaltung gesetzlicher Vorschriften zu unterstützen
Schutz kritischer Infrastrukturen vor Angriffen auf Media
Entdecken Sie, warum Unternehmen mit kritischer Infrastruktur den Lösungen von OPSWATvertrauen, um ihre OT/ICS-Umgebungen gegen Bedrohungen durch Peripheriegeräte und Wechselmedien zu schützen. Vereinbaren Sie noch heute einen Termin für eine Demo, indem Sie mit einem unserer Experten sprechen.
