[datensicherheit.de, 12.08.2025] Sicherheitsforscher von „Team82“, der Forschungsabteilung eines Spezialisten für die Sicherheit sogenannter cyber-physischer Systeme (CPS), Claroty, haben nach eigenen Angaben vier Schwachstellen in Video-Überwachungsprodukten von Axis Communications entdeckt. „Werden diese kombiniert, erhalten Angreifer Zugriff auf Systemebene im internen Netzwerk und sind in der Lage, Kameras zu kontrollieren.“ Feeds könnten gekapert, beobachtet und/oder abgeschaltet sowie Remote-Code auf den Geräten ausgeführt werden. Mittlerweile habe Axis Communications alle Schwachstellen gepatcht und rate den Nutzern dringend, „AXIS Camera Station Pro“, „AXIS Camera Station 5“ bzw. „AXIS Device Manager“ zu aktualisieren.

Abbildung: Claroty

„Team82“: „Man-in-the-Middle“-Setup (MiTM) in einer „Axis Remoting“-Umgebung, welches Angreifern ermöglicht, eine MiTM-Verbindung zwischen Client und Anwendung herzustellen

Wie jede vernetzte Infrastruktur kann Schutz per Video-Überwachung durch Angreifer konterkariert werden

Die moderne Gebäudesicherheit sei ohne digitale Überwachung kaum mehr vorstellbar: „Videosysteme schützen Unternehmen, Flughäfen, Schulen und öffentliche Einrichtungen.“

• Diese böten den Sicherheitsteams zwar einen Überblick über die Aktivitäten, doch wie bei jeder vernetzten Infrastruktur könne dieser Schutz durch einen entschlossenen Angreifer zunichtegemacht werden.

„So warnten erst kürzlich verschiedene internationale Sicherheitsdienste vor der Kompromittierung von Überwachungskameras durch russische Hacker.“

„Team82“ hat in Überwachungssystemen von Axis Communications 4 Schwachstellen gefunden

„Team82“ habe nun die Überwachungssysteme des schwedischen Sicherheitsanbieters Axis Communications untersucht und vier Schwachstellen gefunden.

• „Werden diese von Cyberkriminellen kombiniert, können sie auf den zentralen ,Axis Device Manager’-Server und auf die ,Axis Camera Station’ zugreifen. Während im ,Axis Device Manager’ (ADM) die genutzten Kameras zentral verwaltet werden, erlaubt ,Axis Camera Station’ den Zugriff auf die Kameras und deren Feeds.“

Angreifer hätten so nicht nur Zugriff auf alle Überwachungsbilder der Kameras, sondern können auf diesen Kameras auch Code ausführen.

Axis Communications hat zeitnah Patches und Updates bereitgestellt

Mithilfe von Internet-Scan-Diensten wie „Censys“ und „Shodan“ konnten die Sicherheitsforscher laut „Team82“ Tausende „Axis Device Manager“ und „Axis Camera Stations“ identifizieren, die mit dem Internet verbunden sind und betroffene „Axis Remoting“-Dienste offenlegen.

• Viele dieser Server ließen sich bedeutenden Unternehmen, Behörden, medizinischen und Bildungseinrichtungen zuordnen. „Allein in Deutschland finden sich 360 entsprechende Server.“ Die so gewonnenen Informationen könnten von Angreifern missbraucht werden, um spezifische Ziele zu identifizieren.

„Team82“ spricht Axis Communications Dank für die schnelle Reaktion auf die Offenlegung aus – das Unternehmen habe zeitnah Patches und Updates bereitgestellt, welche nun dringend von allen Nutzern installiert werden sollten.

Weitere Informationen zum Thema:

CLAROTY, TEAM82, Noam Moshe, 06.08.2025
Turning Camera Surveillance on its Axis

AXIS COMMUNICATIONS
Wir sind Axis: Als Branchenführer im Bereich Videosicherheit entwickeln und liefern wir innovative Netzwerklösungen zur Verbesserung der Personen- und Gebäudesicherheit, Betriebseffizienz sowie Business Intelligence für unsere Kunden überall auf der Welt

datensicherheit.de, 04.08.2025
Überwachungskameras: Wenn Sicherheitstechnik zum -risiko wird / Überwachungstechnik kann als Einfallstor für Kriminelle dienen – laut einer aktuellen Bitsight-Recherche senden weltweit rund 40.000 Kameras Bilder ungeschützt ins Netz

datensicherheit.de, 15.06.2025
ESET warnt vor Folgen: Tausende Überwachungskameras weltweit offen im Netz / Weltweit sind laut ESET rund 40.000 Überwachungskameras offen im Internet zugänglich – schlecht gesichert und manchmal sogar ohne Passwort

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 19.09.2017
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht / Forscher der Ben-Gurion-Universität warnen vor Missbrauch

[datensicherheit.de, 12.02.2025] „Mehr als jedes zehnte OT-Gerät in den Bereichen Produktion, Transport und Logistik sowie natürliche Ressourcen verfügt über bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerability / KEV)“ – so eine zentrale Erkenntnis des aktuellen Reports „State of CPS Security 2025“ von Claroty zur Sicherheit sogenannter Cyber-Physischer Systeme (CPS), für den demnach knapp eine Million OT-Geräte analysiert wurde. Claroty-Sicherheitsforscher hätten dabei über 110.000 KEVs entdeckt, von denen mehr als zwei Drittel (68%) von Ransomware-Gruppen ausgenutzt würden.

Abbildung: Claroty

Der komplette OT-Report „State of CPS Security 2025“ mit vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen steht zum Download bereit (s.u.)

Claroty-Report zeigt auch Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt sind, welche mit bösartigen Domänen kommunizieren

„Sicherheitsverantwortliche stehen vor großen Herausforderungen bei der Priorisierung von Schwachstellen. Sie müssen hierfür die Zusammenhänge zwischen Schwachstellen und Angriffsvektoren wie Ransomware oder unsicherem Fernzugriff erkennen, um die Risiken proaktiv und effizient zu minimieren.“

Dies gelte umso mehr, da Aktivitäten staatlich unterstützter Angreifer immer weiter zunähmen. Deshalb zeige dieser Report auch die Bedrohungen auf, denen Kritische Sektoren durch OT-Anlagen ausgesetzt seien, „die mit bösartigen Domänen kommunizieren, einschließlich solcher aus China, Russland und dem Iran“.

Aktuelle OT-Bedrohungen im Überblick

Die wichtigsten Ergebnisse des Reports lt. Claroty:

• Bei den 940.000 analysierten Geräten seien 110.000 KEVs identifiziert worden. Zwölf Prozent der Geräte seien also über Schwachstellen angreifbar. Hiervon sei fast jedes zweite (40%) zudem unsicher mit dem Internet verbunden.
• Zwölf Prozent der untersuchten Unternehmen verfügten über OT-Assets, welche mit bösartigen Domains kommunizierten. „Dies zeigt, dass es sich um eine reale Bedrohung handelt!“
• In der Produktion fänden sich prozentual die meisten Schwachstellen (13%), gefolgt von natürlichen Ressourcen (7%) sowie Transport und Logistik (2%).

OT-Infrastrukturen grundsätzlich schwer zu schützen

OT-Infrastrukturen seien aufgrund ihrer Art grundsätzlich schwer zu schützen, kommentiert Thorsten Eckert, „Regional Vice President Sales Central“ von Claroty. Er führt hierzu weiter aus: „Angreifer können Schwachstellen ausnützen und damit nicht nur Technik, sondern auch die Umwelt und Menschenleben gefährden!“

Durch die zunehmende Vernetzung infolge der Digitalen Transformation würden die Herausforderungen noch weiter zunehmen. Deshalb müssten Sicherheitsverantwortliche umdenken: „Weg von einem klassischen Schwachstellen-Management hin zu einem modernen ,Exposure Management’!“, rät Eckert abschließend. Nur damit seien sie in der Lage, die wachsende Anzahl von Schwachstellen in ihren Infrastrukturen zu priorisieren und gezielt zu adressieren.

Weitere Informationen zum Thema:

CLAROTY, Team82
Report: State of CPS Security: OT Exposures 2025 / Team82’s analysis of the riskiest operational technology (OT) exposures putting critical infrastructure organizations in the crosshairs of adversaries

datensicherheit.de, 19.12.2024
OT-Prognose 2025: Schutz industrieller Systeme entscheidend / OT-Sicherheit fokussiert auf Aufrechterhaltung physischer Prozesse und Vermeidung von Ausfällen

datensicherheit.de, 03.12.2024
Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen / Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 04.09.2023] 78 Prozent der Einrichtungen weltweit waren 2022 laut der „Global Healthcare Cybersecurity Study 2023“ von Claroty Opfer von Beeinträchtigungen ihrer Cyber-Sicherheit: „Drei von vier Gesundheitseinrichtungen in Deutschland (73%) wurden im letzten Jahr zum Opfer von Cyber-Vorfällen. Dabei waren ,nur’ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen.“ Die Mehrzahl der Vorfälle (57%) betraf demnach cyber-physische Systeme (CPS) – wie vernetze medizinische Geräte oder die Gebäudetechnik. Für den zugrundeliegenden Report wurden laut Claroty weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cyber-Sicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.

Abbildung: Claroty

Claroty gab Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) in Auftrag

Gesundheitseinrichtungen stehen vor zahlreichen Herausforderungen

Die sogenannte Healthcare-Branche habe im Bereich der Cyber-Sicherheit mit vielen Herausforderungen zu kämpfen – schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften.

Claroty-Studie zeigt, dass das Gesundheitswesen volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden benötigt

Yaniv Vardi, „CEO“ von Claroty, kommentiert: „Unsere Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten!“ Der vorliegende Report beleuchte dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten.

Die wichtigsten Ergebnisse der weltweiten Erhebung zur Cyber-Sicherheit im Gesundheitswesen:

• 78 Prozent der Befragten hätten 2022 mindestens einen Cybersecurity-Vorfall verzeichnet (Deutschland: 73%).
• In 30 Prozent der Fälle weltweit seien sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen gewesen (Deutschland: 23 %).
• 60 Prozent der Vorfälle weltweit hätten moderate oder erhebliche Auswirkungen auf die Patientenversorgung gehabt, weitere 15 Prozent ernsthafte Auswirkungen, welche die Gesundheit und Sicherheit der Patienten gefährdeten. In Deutschland seien zwar mit 33 Prozent die moderaten bis erheblichen Auswirkungen deutlich geringer, dafür jedoch die Anzahl der Vorfälle mit ernsthaften Auswirkungen deutlich höher (27%).
• 20 Prozent der von Ransomware betroffenen Einrichtungen in Deutschland hätten das geforderte Lösegeld gezahlt (weltweit 26%).
• Weltweit trieben vor allem gesetzgeberische Maßnahmen die Cyber-Sicherheit im Gesundheitswesen voran: 44 Prozent der Befragten sähen in ihnen den größten externen Einfluss auf die eigene Cybersecurity-Strategie.
• Weltweit orientierten sich Sicherheitsverantwortliche am stärksten am „NIST Cybersecurity Framework“ (zu 38%, in Deutschland: 30%). Während das „HITRUST Cybersecurity Framework“ global mit 38 Prozent ebenfalls bedeutend sei, spiele es in Deutschland eine eher untergeordnete Rolle (17%). Hier setze ein Drittel (33%) vor allem auf die „CISA CPGs“.

Mangel an Cyber-Fachkräften auch im Gesundheitssektor offensichtlich

Diese Studie habe zudem gezeigt, dass der Mangel an Cyber-Fachkräften auch im Gesundheitssektor nach wie vor eine der größten Herausforderungen sei: Jede zweite Einrichtung (53 ) in Deutschland sei auf der Suche nach neuen Mitarbeitern für den Bereich Cyber-Sicherheit. Dabei hätten 70 Prozent der Befragten Schwierigkeiten bei der Rekrutierung des geeigneten Personals.

Weitere Informationen zum Thema:

Claroty
The Global Healthcare Cybersecurity Study 2023 / Priorities and challenges amid escalating cyber-physical connectivity

[datensicherheit.de, 12.12.2022] Max Rahner, „Senior Regional Director DACH & Eastern Europe“ bei Claroty, betont in seiner aktuellen Stellungnahme den Ernst der Lage insbesondere für die Kritische Infrastruktur (KRITIS): „Gleich vorweg: Ich wünschte, es wäre anders. Ich wünschte, ich könnte optimistischer ins neue Jahr blicken. Aber nach Hunderten Gesprächen mit europäischen und nordatlantischen Sicherheitskreisen, Kollegen, Experten, Partnern und Kunden bin ich davon überzeugt, dass wir 2023 erstmals mehrere erfolgreiche Angriffe auf unsere Kritische Infrastruktur sehen werden.“

Foto: Claroty

Max Rahner warnt: 2023 erstmals mehrere erfolgreiche Angriffe auf unsere Kritische Infrastruktur…

Mischung aus gezielten KRITIS-Angriffen und solchen nach dem Gießkannen-Prinzip

Bei diesen Attacken wird es sich seiner Einschätzung nach um eine Mischung aus gezielten Angriffen und solchen nach dem „Gießkannen-Prinzip“ handeln – ergänzt durch einhergehende physische Sabotage-Aktionen. Dabei würden auch die hochentwickelten, gezielten Attacken (zumindest zunächst) den Anschein erwecken, dass es sich um einen nicht-zielgerichteten Angriff handelt. „All dies trägt zur Verschleierung bei. Denn auch wenn die Anzeichen alle in eine gewisse Richtung deuten, vermeiden es staatliche Akteure, solche Spuren zu hinterlassen.“

Zudem handele es sich bei den Angreifern zumeist um Hacker-Gruppen, welche zwar eine Verbindung zu hohen staatlichen Stellen unterhielten, aber keine „offiziellen“ Einheiten seien. Rahner führt aus: „Der Grund ist klar: Cyber-Angriffe in größerem Ausmaß können als kriegerische Akte begriffen werden, so dass Artikel 5 des NATO-Vertrags greifen würde. Und das wollen die Angreifer vermeiden.“

Blackout nicht zu erwarten: Punktuelle KRITIS-Destabilisierung angestrebt

Entsprechend sei auch nicht mit einem großen, flächendeckenden Angriff zu rechnen, meint Rahner: „Das Ziel ist nicht die Betätigung eines ,Kill-Switches’, sondern die Destabilisierung unseres Systems. Der Verlust des Vertrauens in unsere Institutionen und das, was sie uns garantieren: Allen voran die Strom-, Wasser- und Lebensmittelversorgung.“

Aber auch andere Bereiche stellten potenzielle Ziele da: Insbesondere die Bahn, aber auch Medien oder Behörden. „Je mehr Aufmerksamkeit dabei durch einen Angriff generiert werden kann, desto besser. Je größer ein Vorfall wahrgenommen wird, desto größer die Unruhe und Verunsicherung.“

Wirkung von Cyber-Waffen auf KRITIS zeitlich begrenzt

Hinzu kommt laut Rahner: Im Gegensatz zu konventionellen Waffen verbrauchten sich hochentwickelte Angriffe sehr schnell: „Anders ausgedrückt: Staaten können nach dem Abwurf einer Atombombe weitere folgen lassen, die die gleiche Wirkung entfalten.“ Bei Cyber-Angriffen sehe es jedoch anders aus:

„Wenn man einmal seine ausgefeilte und in der Entwicklung sehr teure Schadsoftware eingesetzt hat, ist sie weltweit nicht mehr weiter nutzbar, da sich die Sicherheitshersteller auf sie einstellen und entsprechende Abwehrmaßnahmen umsetzen können.“ Das heißt demnach: So lange Angreifer mit dem Ausnutzen bekannter und bislang unbekannter Schwachstellen ihre Ziele erreichen können, werden sie diese verwenden.

Mangelnde Cyber-Hygiene der Industrie als KRITIS-Problem

Aber auch jenseits der Kritischen Infrastruktur würden diese Angriffe für großen Schaden sorgen, da die anvisierte Steuerungstechnik auch in vielen anderen Bereichen zum Einsatz komme: „Wir werden Angriffe auf die Bahn, Energieversorger und Verteilnetze sehen.“ Allerdings nutzten auch andere Unternehmen insbesondere in der Industrie diese speicherprogrammierbaren Steuerungen (SPS) und Managementsysteme und würden so zum „Beifang der Angriffe“.

Dabei spiele die mangelnde Cyber-Hygiene vieler Unternehmen den Angreifern in die Karten. „Es kommt leider allzu oft vor, dass Patches aus Angst vor Störungen der Produktion nicht eingespielt werden. Vor Jahren haben wir beispielsweise Tausende Unternehmen auf eine kritische Schwachstelle in einer von ihnen eingesetzten Fernwartungssoftware hingewiesen. Nach drei Monaten hatte lediglich ein Viertel dieser Betriebe ihre Systeme entsprechend aktualisiert.“ Rahner warnt: „Solange es eine Realität ist, dass Unternehmen Schwachstellen nicht beheben, selbst wenn vom Hersteller Abhilfemaßnahmen bereitgestellt werden, haben Angreifer ein leichtes Spiel.“ Sie könnten auf diese Weise die Sicherheitslücken weiterhin ausnutzen und müssten keine komplizierten neuen Angriffswege finden oder preisgeben.

Mögliche Forderung nach Staatliche Intervention bei KRITIS-Attacken

Wenn es zu vermehrten Angriffen auf die Kritische Infrastruktur komme, würden im Laufe des nächsten Jahres auch die Rufe lauter werden, dass die Cybersecurity von staatlicher Stelle zentral angegangen werden müsse. Entsprechend werde die Frage nach der Finanzierung durch den Bund und die Länder viele Diskussionen bestimmen. Allerdings zeigten die bisherigen Erfahrungen mit durchaus üppigen Fördertöpfen, dass hier zumindest kurzfristig mit keiner Entlastung zu rechnen sei. So sorgten beispielsweise im Rahmen des Krankenhauszukunftsgesetzes sehr komplizierte und aufwändige Anträge mit hohen Voraussetzungen dafür, dass lediglich rund die Hälfte der Fördermittel abgerufen worden seien.

Rahner fordert: „Wir müssen einen Weg finden, wie ISMS-Konzepte in der Kritischen Infrastruktur schnell und flächendeckend umgesetzt werden können. Dies könnte zentral etwa auf Länderebene erfolgen, indem das Land ein Konzept und gegebenenfalls einen Dienstleister für alle Unternehmen, also auch privatrechtlich organisierte, vorgibt.“ Allerdings stelle dies einen enormen Eingriff in die wirtschaftliche Freiheit dar und werfe somit verfassungsrechtliche Fragen auf. „Als vielversprechender sehe ich deshalb die Änderung des Vergaberechts an.“ Abgesehen davon, dass die Prozesse von Haus aus sehr langwierig seien, komme es gerade in diesem Bereich darüber hinaus auch häufig zu Klagen der unterlegenen Partei, die den gesamten Prozess um weitere Monate verzögerten. „Hier geht wertvolle Zeit verloren, die wir gerade jetzt einfach nicht mehr haben“, stellt Rahner klar.

Für KRITIS keine geopolitische Entwarnung in Sicht

„Wenn man wirklich erst aus Schaden klug wird, bleibt mir derzeit nur die Hoffnung, dass wir im nächsten Jahr zu dieser Zeit weiter sind und sich die allgemeine Cyber-Awareness deutlich verbessert hat.“ Gerade Deutschland habe hierbei einen enormen Nachholbedarf, vor allem im Vergleich zu vielen osteuropäischen Ländern. Viele Unternehmen hierzulande sähen nicht die Auswirkungen, die insbesondere der Krieg in der Ukraine auf ihre Sicherheit habe. „Und vergessen wir nicht: Auch wenn unsere Augen gerade sehr stark auf Russland gerichtet sind, wird dies nicht der letzte Konflikt sein, der gravierende Konsequenzen für die Cyber-Sicherheit hat“, sagt Rahner.

So habe kürzlich der Präsident des Bundesamts für Verfassungsschutz, Thomas Haldenwang, gesagt: „In meinen Gesprächen mit ausländischen Partnern – wenn man über China spricht – heißt es immer: ‚Russland ist der Sturm, China ist der Klimawandel.‘“ Wenn man sich die zuspitzende Situation im Hinblick auf Taiwan vergegenwärtige und in Betracht ziehe, „welches Cyber-Know-how China hat und wie viel chinesische Technologie hier zum Einsatz kommt, kann man dem kaum widersprechen“.

Weitere Informationen zum Thema:

Health & Care Management, pag, 10.12.2022
Kliniken rufen nur die Hälfte der Förderung ab / Ende des Jahres läuft die Frist zur Beantragung von Fördermitteln im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ab. Bisher ist gerade einmal die Hälfte der Bundesmittel abgerufen worden.

[datensicherheit.de, 10.02.2022] Ransomware wird offensichtlich immer mehr auch zum Problem von industriellen Anlagen und der Kritischen Infrastruktur (Kritis): 80 Prozent der Kritis-Betreiber und Unternehmen, die zur Kritischen Infrastruktur wesentlich beitragen, seien 2021 Opfer eines Ransomware-Angriffs geworden. Dies habe die von Spezialisten für die Sicherheit cyber-physischer Systemen (CPS) in Industrie-, Healthcare- und Unternehmensumgebungen Claroty initiierte Studie „The Global State of Industrial Cybersecurity 2021: Resilience Amid Disruption“ (Der globale Stand der industriellen Cybersicherheit 2021: Resilienz in Zeiten der Disruptionen) ergeben, für welche insgesamt 1.100 Security-Spezialisten befragt worden seien. Während weltweit diese Attacken wesentlich häufiger vor allem die IT-Systeme träfen (32,4%) und deutlich weniger die Betriebstechnik (OT) sowie industriellen Steuerungssysteme (ICS) (20,3%), sei in Europa der Unterschied wesentlich geringer: Dort hätten 27 Prozent der Ransomware-Angriffe ausschließlich die IT-Systeme und 23 Prozent ausschließlich OT/ICS-Anlagen beitroffen. Bei einem knappen Viertel (23,3%) seien beide Bereiche gestört worden (weltweit: 27,1%). Insgesamt betreffe also fast jeder zweite Angriff auch die OT/ICS.

Abbildung: CLAROTY

CLAROTY; Erkenntnisse aus der Studie „The Global State of Industrial Cybersecurity 2021: Resilience Amid Disruption“

Betriebsunterbrechung nach Ransomware-Angriff führt zu erheblichen Umsatzeinbußen

Mehr als 90 Prozent der angegriffenen Unternehmen hätten ihre Aktionäre und/oder Behörden über den Vorfall informiert und berichtet, dass die Auswirkungen in fast der Hälfte der Fälle (49%) „erheblich“ oder „signifikant“ gewesen seien. Ebenfalls „signifikant“ seien die finanziellen Auswirkungen einer Attacke: „So bezifferte gut die Hälfte (50,3%) der Befragten, dass sie eine Betriebsunterbrechung infolge eines Angriffs zwischen 100.000 und 1.000.000 US-Dollar Umsatz pro Stunde kosten würde.“

Dies erkläre womöglich auch die relativ hohe Bereitschaft, auf die Lösegeldforderungen einzugehen: „Weltweit zahlten 62,1 Prozent der Unternehmen, in den USA sogar 76,4 Prozent, in Europa jedoch nur 46,8 Prozent.“ In den meisten Fällen habe das Lösegeld zwischen 100.000 und 500.000 US-Dollar (32,1%) bzw. zwischen 500.000 und 1.000.000 US-Dollar (30,5%) betragen.

Digitale Transformation eröffnet weiche Flanken für Ransomware-Angreifer

Die Digitale Transformation habe sich auch im Bereich der Kritis seit dem Beginn der „Corona-Pandemie“ beschleunigt: Am deutlichsten im Asien-Pazifik-Raum (bei 90,4% der Befragten), am geringsten in Europa (bei 82,3% der Unternehmen). Dabei werde der Trend zur Fernarbeit weiter anhalten: Weltweit wollten 73 Prozent der Unternehmen in absehbarer Zeit weiterhin in gewissem Umfang „remote“ arbeiten, in Europa sogar 80 Prozent.

In Folge der zunehmenden Bedrohungslage werde die Cyber-Sicherheit für Unternehmen immer stärker zur Priorität. Entsprechend erhöhten sie ihre Investitionen im Bereich der Cyber-Sicherheit und implementierten neue Lösungen und Prozesse. Dabei sei die Geschäftsführung immer häufiger eingebunden, in jedem zweiten Unternehmen (52,4%) sogar „stark“. Die Verantwortung für den sicheren Betrieb unterliege dabei zumeist dem sogenannten CISO: „Bei 60 Prozent der Unternehmen werden hier die OT- und IT-Governance gebündelt. Der COO oder Betriebsleiter ist lediglich in 25,6 Prozent der Unternehmen auch für die Cyber-Sicherheit der Anlage zuständig.“

Nicht nur zur Ransomware-Abwehr: Alle cyber-physischen Systeme in Risiko-Governance-Praktiken einbeziehen!

„Unsere Studie zeigt, dass sich die Sicherheit Kritischer Infrastrukturen an einem entscheidenden Punkt befindet, an dem die Bedrohungen zunehmen und sich weiterentwickeln. Gleichzeitig wächst aber auch das kollektive Bewusstsein und der Wunsch, unsere wichtigsten Systeme zu schützen“, kommentiert Yaniv Vardi, „CEO“ von Claroty. Seine Empfehlung:

Sicherheitsverantwortliche, die ihre Programme auf die nächste Stufe heben wollten, müssten alle cyber-physischen Systeme in ihre Risiko-Governance-Praktiken einbeziehen, ihre IT- und OT-Netzwerke und -Anlagen segmentieren, ihre allgemeinen IT-Cyber-Sicherheitspraktiken auf ihre OT-Geräte ausweiten und alle Netzwerke konsequent auf Bedrohungen überwachen.

Weitere Informationen zum Thema:

CLAROTY
The Global State of Industrial Cybersecurity / Independent Survey Results, 2021: Resilience Amid Disruption

datensicherheit.de, 07.01.2022
Flughafenservice, Hafenanlagen, Tanklager – Cyber-Attacken reißen nicht ab / Experten für Cyber-Sicherheit kommentieren jüngste -Attacken auf Kritische Infrastrukturen

[datensicherheit.de, 26.07.2021] Nicht erst seit dem verheerenden Ransomware-Angriff auf Colonial Pipelines sehen sich Kritische Infrastrukturen (KRITIS) offensichtlich steigenden Bedrohungen ausgesetzt. Ein Angriff wie in den USA könne jederzeit auch bei uns stattfinden – mit ähnlich gravierenden Folgen, warnt Claroty in einer aktuellen Stellungnahme. Ransomware-Attacken seien zumeist opportunistisch. „Das heißt, Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen. Sie greifen also vor allem solche Ziele an, von denen sie vermuten, dass sie hohe Lösegeldforderungen zahlen können und werden.“ Der eigene Aufwand lasse sich zudem durch Ransomware-as-a-Service-Angebote noch weiter reduzieren, indem Know-how und kriminelle Dienstleistungen „gebucht“ würden.

Bisher keine Beispiele für Ransomware, welche speziell auf OT-Komponenten abzielt

„Durch die zunehmende Konvergenz von IT- und OT-Netzwerken, also Informationstechnologie und Betriebstechnik verschwimmen die Grenzen zwischen den beiden ehemals getrennten Bereichen.“ Entsprechend könnten Angriffe von der einen auf die andere Infrastruktur „überspringen“. „Bislang haben wir keine Beispiele für Ransomware gesehen, die speziell auf OT-Komponenten abzielt, und dies gilt auch für Colonial Pipeline: Die Ransomware infiltrierte das IT-Netzwerk und es gibt keine Hinweise darauf, dass sie direkte Auswirkungen auf das OT-Netzwerk hatte.“
Als Vorsichtsmaßnahme habe Colonial jedoch die OT-Seite des Netzwerks abgeschaltet und so die weitere Ausbreitung verhindert. Dieser Schritt sei vor allem deshalb notwendig erschienen, „da der Pipelinebetreiber offensichtlich über eine mangelnde Transparenz dieser Infrastruktur verfügte, so das Ausmaß der Gefährdung nicht beurteilen konnte und sich nicht in der Lage sah, die potenziellen Auswirkungen auf das OT-Netzwerk abzumildern und zu begrenzen“.

Grant Geyers 4 Erkenntnisse aus dem Ramsomware-Vorfall bei Colonial

Grant Geyer, „CPO“ von Claroty, sieht mach eigenen Angaben vor allem vier wichtige Erkenntnisse aus diesem Cyber-Angriff:

1. Anstieg gezielter Ransomware
„Wir wissen zwar nicht genau, wie die Hacker-Gruppe ,DarkSide‘ die Ransomware in das IT-Netzwerk von Colonial Pipeline eingeschleust hat, bekannt ist jedoch, dass ,DarkSide‘ gezielt finanzstarke Unternehmen angreift. Sobald eine Infektion erfolgt ist, ermöglicht eine mangelhafte und unzureichende Segmentierung zwischen IT- und OT-Umgebungen eine Ransomware-Infektion der OT-Netzwerke. Durch Isolierung und Segmentierung der OT können Unternehmen die laterale Verbreitung von Ransomware stoppen.“

2. Veraltete Technologie
„Die Zahl der Angriffe auf Kritische Infrastrukturen hat an Häufigkeit und Schwere zugenommen. Unsere im Umbruch befindliche Kritische Infrastruktur bietet Cyber-Kriminellen eine enorme Angriffsfläche. Viele industrielle Umgebungen arbeiten mit veralteter Technologie, die nur selten oder gar nicht gepatcht wird. Eine gezielte Modernisierung der Technologie und die Verbesserung der Governance können hier einen großen Beitrag zur Risikominimierung leisten.“

3. Verteilte Umgebungen
„Pipelines (wie auch zahlreiche andere Kritische Infrastrukturen und Produktionsstätten) sind hochgradig verteilte Umgebungen, und die Tools, mit denen Anlagenbetreibern ihren Mitarbeitern Fernzugriff gewähren, sind eher für einfachen Zugriff als für Sicherheit optimiert. Dies gibt Angreifern die Möglichkeit, die Sicherheitsmaßnahmen relativ leicht zu überwinden, wie wir zuletzt bei dem Angriff auf die Wasserversorgung in Oldsmar, Florida, gesehen haben.“

4. Energieversorger sind besonders gefährdet
„Sicherheitsforscher von Claroty haben gezeigt, dass diese Branche einer der am stärksten von Schwachstellen in industriellen Kontrollsystemen (ICS) betroffenen Sektoren ist. So wurden in der zweiten Jahreshälfte 2020 74 Prozent mehr ICS-Schwachstellen gemeldet als noch im zweiten Halbjahr 2018. Cyber-Kriminelle verfügen also über viele Möglichkeiten, die Steuerungen von Industrienetzwerken zu kompromittieren.“

Sich selbst auf Ransomware-Angriffe rechtzeitig bestmöglich vorbereiten

Geyer adressiert folgende Fragen: „Worauf kommt es nun für die Sicherheitsverantwortlichen an? Wie lassen sich die Kritischen Systeme effektiv schützen, was ist zu beachten?“ Um sich auf Angriffe wie den auf Colonial Pipeline bestmöglich vorzubereiten, rät Geyer vor allem folgende Punkte zu beachten:

• Patchen Sie alle Systeme oder schaffen Sie kompensierende Kontrollen: Während das Patchen von Systemen in OT-Umgebungen Wartungsfenster erfordert, haben es Angreifer meist auf veraltete oder ungepatchte ,Windows‘-Systeme abgesehen. Wenn ein Patching nicht möglich ist, stellen Sie sicher, dass kompensierende Kontrollen (z. B. Firewall-Regeln, ACLs) vorhanden sind, um das inhärente Risiko zu verringern.
• Implementieren Sie eine starke Authentifizierung für alle OT-Benutzer: Trotz der Sensibilität von OT-Umgebungen verwenden viele Unternehmen Ein-Faktor-Benutzernamen und -Passwörter für den Zugriff auf ihre Anlagen. In etlichen Fällen werden sogar die Anmeldedaten geteilt. Implementieren Sie eine starke Multifaktor-Authentifizierung, um sicherzustellen, dass die Benutzer such diejenigen sind, für die sie sich ausgeben. Setzen Sie zudem auf Least Privilege-Zugriff und reduzieren Sie so zusätzlich das Risiko.
• Segmentieren Sie das Netzwerk: Viele OT-Umgebungen wurden in erster Linie unter Zugriffs- und Produktivitätsaspekten und weniger in Hinblick auf die Sicherheit konzipiert. Sie sind also ,flach‘ und begünstigen so eine schnelle Ausbreitung von Ransomware-Infektionen. Durch die Segmentierung des Netzwerks lassen sich Umfang und Auswirkungen eines Angriffs wesentlich begrenzen.“
• Führen Sie eine Table-Top-Exercise durch: Eine solche Übung hilft den Beteiligten, die organisatorischen und technischen Vorbereitungsmaßnahmen auf ein solches Ereignis zu verstehen und umzusetzen. Sind Sicherungs- und Wiederherstellungsfunktionen vorhanden? Ist die Geschäftsführung in der Lage zu handeln? Verfügt das Unternehmen über eine Cyber-Versicherung – auch für den Fall eines Ransomware-Angriffs?

Weitere Informationen zum Thema:

datensicherheit.de, 15.07.2021
Mespinoza: Ransomware-Gruppe nutzt Hacking-Tools mit skurrilen Namen wie MagicSocks und HappyEnd / Palo Alto Networks veröffentlicht Profil cyber-Krimineller Gruppe Mespinoza, welche auch in Deutschland zuschlägt

datensicherheit.de, 13.07.2021
Globale Verteidigung gegen Ransomware erfolgsentscheidend / Opfer von Ransomware-Attacken sollten direkt mit lokalen Behörden kooperieren, um das Wissen schnell mit anderen Unternehmen zu teilen

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

[datensicherheit.de, 31.05.2021] Das Claroty Research Team hat nach eigenen Angaben eine „schwerwiegende“ Sicherheitslücke (CVE-2020-15782) zur Umgehung des Speicherschutzes speicherprogrammierbarer Steuerungen (SPS) von Siemens (SIMATIC S7-1200 und S7-1500) identifiziert und gemeldet.

Abbildung: Claroty

Claroty Research Team: Entwicklung der Angriffe auf Siemens-Steuerungen

Missbrach möglich: Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz

Angreifer könnten diese Schwachstelle auf Steuerungen mit deaktiviertem Zugriffsschutz missbrauchen, um Lese- und Schreibzugriff zu erlangen und aus der Ferne bösartigen Code auszuführen. Siemens habe bereits die Firmware der betreffenden Geräte aktualisiert und entsprechende Hinweise für seine Kunden veröffentlicht.
Den Nutzern werde dringend geraten, ihre Systeme entsprechend zu aktualisieren. Bislang gebe es keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt wurde.

Über die Schwachstelle wäre es möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen

Die Ausführung von nativem Code auf einem industriellen Steuerungssystem wie einer speicherprogrammierbaren Steuerung (SPS) sei ein Ziel, welches nur relativ wenige hochqualifizierte Angreifer bislang erreicht hätten. Diese komplexen Systeme verfügten über zahlreiche In-Memory-Schutzmechanismen, die überwunden werden müssten, damit ein Angreifer nicht nur den Code ausführen kann, sondern auch unentdeckt bleibt.
Um diese Ebene der Code-Ausführung zu erreichen, sei bislang ein physischer Zugang oder Techniken, die auf Engineering-Workstations und andere Verbindungen zur SPS abzielten, nötig gewesen. „Durch die entdeckte Schwachstelle ist es jedoch möglich, die SPS-Sandbox in den SPS-CPUs von Siemens zu umgehen und so nativen Code in geschützten Speicherbereichen auszuführen“, warnt Claroty.

Offenlegung der Schwachstelle Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty

Die Offenlegung der Schwachstelle sei ein Resultat der bestehenden Partnerschaft zwischen Siemens und Claroty. Deren enge Abstimmung habe den Austausch von technischen Details, Angriffstechniken und Ratschlägen zur Schadensbegrenzung umfasst:
Diese hätten dazu beigetragen, dass die Patches im aktuellen Update von Siemens verfügbar seien. „Beide Unternehmen raten den Anwendern dringend die Durchführung eines Updates, da es sich um eine kritische Sicherheitslücke handelt.“

Weitere Informationen zum Thema:

Siemens Security Advisory by Siemens ProductCERT, 28.05.2021
SSA-434534: Memory Protection Bypass Vulnerability in SIMATICS7-1200 and S7-1500 CPU Families

[datensicherheit.de, 12.03.2021] Am 11. März 2021 soll Molson Coors, eine der größten Brauereigruppen der Welt, einen „Cybersecurity-Vorfall“ gemeldet haben, durch welchen Teile ihrer Bierproduktion zum Erliegen gekommen sei – Details über Art und Umfang dieser Attacke seien bislang nicht veröffentlicht worden. Zahlreiche Sicherheitsexperten gingen jedoch von einem Ransomware-Angriff aus, der von den IT-Systemen auf die industrielle Betriebstechnik (OT) übergesprungen sei (Spillover-Effekt). Dies ist demnach bereits der dritte erfolgreiche Angriff auf große Getränkehersteller weltweit in den letzten beiden Jahren, so Grant Geyer, „CPO“ von Claroty, in seinem Kommentar.

Grant Geyer

Grant Geyer, Foto: Claroty

Industrielle Prozesse für finanziell motivierte Cyber-Angreifer ideales Ziel

„Da in der Lebensmittel- und Getränkeindustrie rund um die Uhr gearbeitet wird, kann ein Großteil der IT-Systeme in den Produktionsanlagen nicht häufig gepatcht werden. Dies macht diese Anlagen zu einem bevorzugten Ziel für Angriffe wie Ransomware, die den Betrieb abrupt zum Erliegen bringen können – mit dramatischen Folgen für das Unternehmen“, erläutert Geyer.
Der aktuelle „ICS Risk & Vulnerability Report“ habe gezeigt, „dass der Lebensmittel- und Landwirtschaftssektor von 2019 bis 2020 einen 56-prozentigen Anstieg der Schwachstellen in industriellen Steuerungssystemen (ICS) zu verzeichnen hat“. Industrielle Prozesse seien deshalb für finanziell motivierte Angreifer ein ideales Ziel.

Lebensmittel- und Getränkeindustrie muss rund um die Uhr auf Cyber-Bedrohungen achten

Darüber hinaus gebe es in der Lebensmittel- und Getränkeindustrie eine Vielzahl von Drittanbietern von Automatisierungslösungen, welche zu Wartungszwecken direkt auf die OT-Umgebung zugriffen. Für diese Verbindungen gebe es erschreckend wenige Identitäts- und Zugriffsmanagement-Kontrollen und noch seltener – wenn überhaupt – eine Sitzungsüberwachung und -aufzeichnung. Geyer warnt: „Bei so vielen potenziellen OT-Einstiegspunkten müssen Angreifer nicht einmal die IT/OT-Grenze überschreiten, um Schaden anzurichten.“
Um sich vor jeglicher Art von Angriffen oder Sicherheitsverletzungen zu schützen, müssten Hersteller und alle Unternehmen, die in der Lebensmittel- und Getränkeindustrie und ihrer Lieferkette tätig sind, sicherstellen, „dass sie einen vollständigen Einblick in alle ihre Systeme und Prozesse haben sowie kontinuierlich auf Bedrohungen achten, die sich aus einem gezielten oder opportunistischen Angriff ergeben könnten“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.08.2020
CLAROTY warnt vor Risiken des Fernzugriffs auf industrielle Netzwerke

CNN BUSINESS, Jordan Valinsky, 11.03.2021
Massive hack disrupts Molson Coors brewing operations

ZDNet, Natalie Gagliordi, 11.03.2021
Molson Coors discloses cyberattack disrupting its brewery operations / Miller Coors said it’s bringing in an outside forensic IT firm to investigate the breach, but that delays in shipments were likely

CLAROTY
CLAROTY BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2020

[datensicherheit.de, 10.02.2021] Auch Grant Geyer, „CPO“ von Claroty, kommentiert den jüngsten Angriff auf die Trinkwasserversorgung in Florida: Am 5. Februar 2021 wurde demnach eine Wasseraufbereitungsanlage in Oldsmar, Florida, USA, aus der Ferne angegriffen – dabei sei die Natriumhydroxid-Zufuhr manipuliert worden. „Einem Mitarbeiter war dies aufgefallen, wodurch eine Gefährdung der Öffentlichkeit verhindert werden konnte.“ Geyer sieht nach eigenen Angaben in der Vermeidung von Fernzugriffen indes „keine Lösung“ – die zunehmend digitalisierte Welt, insbesondere mit der durch die „Pandemie“ ausgelösten Verlagerung der Arbeit an entfernte Orte, mache den Fernzugriff gerade im Hinblick auf Wartung oder Updates zu einer Grundvoraussetzung, selbst in Kritischen Infrastrukturen (KRITIS).

Foto: Claroty

Grant Geyer: Hacker-Angriffe, die unweigerlich weiter passieren werden, stoppen können, bevor Schaden entsteht!

Hacker erlangten mittels eines kompromittierten Kontos zweimal Zugriff auf die Systeme

Die Angreifer erlangten offenbar mittels eines kompromittierten Kontos zweimal Zugriff auf die Systeme. Beim zweiten Eindringen um 13.30 Uhr, fünfeinhalb Stunden nach dem ersten, hätten die Angreifer den Natriumhydroxid-Gehalt des Trinkwassers für Privathaushalte und Unternehmen von 100 Teilen pro Million (ppm) auf 11.100 ppm verändert. Natriumhydroxid (Ätznatron) werde dem Wasser zugesetzt, um den Säuregehalt zu regulieren und Korrosion in Rohren zu verhindern. In höheren Konzentrationen sei es wesentlicher Bestandteil von Abflussreinigern und könne bei Menschen zum Teil schwere Reizungen verursachen.
Bereits das erste Eindringen sei von dem Techniker bemerkt worden, dieser habe es jedoch zunächst wohl als den Zugriff eines Vorgesetzten eingestuft. Beim zweiten Eindringen habe er beobachten können, „wie die Angreifer die Systeme für bis zu fünf Minuten kontrollierten und auf mehrere Anwendungen zugriffen, einschließlich des chemischen Prozesses, die verändert wurden. Nachdem die Cyber-Kriminellen das System verlassen hatten, war der Mitarbeiter in der Lage, die Pegel wieder auf den Normalwert zu bringen.“ Zudem hätten redundante Systeme verhindert, dass das verunreinigte Wasser in den Wasserkreislauf gekommen wäre.

Jüngste Hacker-Attacke in Florida nicht die erste dieser Art

Dies sei aber nicht die erste Attacke dieser Art: Bereits im April 2020 sei die israelische Wasserversorgung Opfer eines großangelegten Angriffs geworden, bei dem Hacker versucht hätten, sich Zugang zu den Befehls- und Kontrollsystemen von Kläranlagen, Pumpstationen und der Abwasserinfrastruktur zu verschaffen.
Geyer betont: „Der Wasser- und Abwassersektor ist heute einer der am stärksten gefährdeten Kritischen Infrastruktur-Bereiche. Die Offenlegung von Schwachstellen in industriellen Steuerungssystemen (ICS) hat im Vergleich zum Vorjahr in diesem Sektor deutlich zugenommen.“ So habe der vor wenigen Tagen veröffentlichte halbjährliche „ICS Risk & Vulnerability Report“ festgestellt, dass die in der zweiten Jahreshälfte 2020 bekanntgewordenen ICS-Schwachstellen im Wasser- und Abwassersektor um 54 Prozent gegenüber dem zweiten Halbjahr 2019 und um 63 Prozent gegenüber dem zweiten Halbjahr 2018 gestiegen seien.

Robustes Sicherheitsprogramm gegen Hacker-Angriffe große Herausforderung

Aufgrund der langen Abschreibungsdauer von Kritis-Geräten sei die Veralterung von Technologien und die damit einhergehenden Sicherheitsschwachstellen ein häufiges Phänomen. Darüber hinaus seien viele Wasserversorger kleine Unternehmen und verfügten über wenig Ressourcen, was die Entwicklung eines robusten Sicherheitsprogramms zu einer großen Herausforderung mache.
Geyer gibt indes zu bedenken: „Die Vermeidung von Fernzugriffen ist hier allerdings keine Lösung. Die zunehmend digitalisierte Welt, insbesondere mit der durch die Pandemie ausgelösten Verlagerung der Arbeit an entfernte Orte, macht den Fernzugriff gerade im Hinblick auf Wartung oder Updates zu einer Grundvoraussetzung – selbst in Kritischen Infrastrukturen.“ Diskussionen nach dem Motto „Sollten wir oder sollten wir lieber nicht“ führten zu nichts, da diese Entwicklung nicht mehr aufzuhalten sei. Entscheidend sei es vielmehr, wie Fernzugriffe sicher implementiert werden könnten, „damit wir diese Angriffe, die unweigerlich weiter passieren werden, stoppen können, bevor Schaden entsteht“, so Geyer.

Weitere Informationen zum Thema:

CLAROTY
CLAROTY BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2020

datensicherheit.de, 09.02.2021
Florida: Hochgefährlicher Cyberangriff auf Wasserversorgung / Sicherheitsanbieter Tenable kommentiert Attacke auf Betriebstechnik

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker sind in eine Wasseraufbereitungsanlage in Florida eingedrungen und haben sie sich Zugang zur internen ICS-Plattform verschafft

datensicherheit.de, 10.02.2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

[datensicherheit.de, 20.08.2020] Die Notwendigkeit des Fernzugriffs auf industrielle Netzwerke nimmt während der „Corona“-Krise offensichtlich zu – insbesondere auf den Gebieten der Energieversorgung, kritischen Produktion sowie Wasserversorgung. Mehr als 70 Prozent der in der ersten Hälfte des Jahres 2020 aufgedeckten Schwachstellen von industriellen Kontrollsystemen (ICS) lassen sich aus der Ferne ausnutzen, so ein zentrales Ergebnis aus dem ersten halbjährlichen „ICS Risk & Vulnerability Report“ aus dem Hause CLAROTY – dies unterstreiche die Wichtigkeit des Schutzes von internetfähigen ICS-Geräten und Fernzugriffsverbindungen.

Abbildung: CLAROTY

CLAROTY: Ergebnisse aus dem ersten halbjährlichen „ICS Risk & Vulnerability Report“

CLAROTY Research Team bewertete 365 von der NVD veröffentlichte ICS-Schwachstellen sowie 139 Warnhinweise des ICS-CERT

Der Bericht umfasst demnach die vom „CLAROTY Research Team“ vorgenommene Bewertung von 365 von der „National Vulnerability Database“ (NVD) veröffentlichten ICS-Schwachstellen sowie 139 Warnhinweise des „Industrial Control Systems Cyber Emergency Response Team“ (ICS-CERT) im Zeitraum Januar bis Juni 2020. 26 der in diesem Datensatz enthaltenen Schwachstellen seien dabei vom CLAROTY-Forscherteam selbst entdeckt worden.
„Im Vergleich zum ersten Halbjahr 2019 nahmen die vom NVD veröffentlichten Schachstellen um 10,3 Prozent zu, die ICS-CERT-Hinweise sogar um 32,4 Prozent.“ Dreiviertel der Schwachstellen seien dabei mit „hohem oder kritischem CVSS-Score bewertet“ worden.

Mit dem neuen Report möchte CLAROTY ein umfassendes Bild der Risiko- und Bedrohungslandschaft aufzeigen

„Wir stellen ein steigendes Bewusstsein für die Risiken, die von Schwachstellen in industriellen Kontrollsystemen ausgehen, fest. Forscher und Anbieter konzentrieren sich verstärkt darauf, diese so effektiv und effizient wie möglich zu identifizieren und zu beheben“, erläutert Amir Preminger, „VP of Research“ von CLAROTY.
Mit ihrem Report möchten sei ein „umfassendes Bild der Risiko- und Bedrohungslandschaft“ zeigen. Hiervon könnten letztlich alle OT-Sicherheitsverantwortlichen profitieren. Preminger: „Unsere Ergebnisse zeigen, wie wichtig es für Unternehmen ist, Fernzugriffsverbindungen und ICS-Geräte mit Internet-Anschluss zu schützen. Ebenso bedeutend ist auch der Schutz vor Phishing, Spam und Ransomware. Nur so lassen sich die potenziellen Auswirkungen dieser Bedrohungen minimieren.“

Schwachstellen unterstreichen laut CLAROTY Notwendigkeit des Schutzes von ICS-Geräten mit Internet-Anschluss

Dem Bericht zufolge könnten mehr als 70 Prozent der veröffentlichten Schwachstellen aus der Ferne ausgenutzt werden. Durch knapp der Hälfte der Schwachstellen (49%) sei zudem eine entfernte Code-Ausführung (Remote Code Execution, RCE) möglich, gefolgt von der Fähigkeit, Anwendungsdaten zu lesen (41%), Denial-of-Service (DoS) zu verursachen (39 %) und Schutzmechanismen zu umgehen (37%).
Die Verwundbarkeit aus der Ferne gewinne in Folge des durch „Corona“ bedingten Trends zu „Remote Work“ auch im industriellen Bereich und zunehmender Abhängigkeit vom Fernzugriff auf ICS-Netzwerke zusätzlich an Bedeutung.

CLAROTY warnt vor Zunahme der Sicherheitslücken bei Energieversorgung, kritischer Produktion und Wasserversorgung

Die Sektoren Energie, kritische Produktion sowie Wasser- und Abwasserinfrastrukturen seien bei weitem am stärksten von den Schwachstellen betroffen. Von den 385 „Common Vulnerabilities and Exposures“ (CVEs) der ICS-CERT-Hinweise entfielen 236 auf den Energiesektor, 197 auf die kritische verarbeitende Industrie und 171 auf den Wasser- und Abwassersektor.
Im Vergleich zum ersten Halbjahr 2019 verzeichneten Wasser und Abwasser mit 122,1 Prozent den größten Anstieg, während die kritische Fertigung um 87,3 Prozent und der Energiebereich um 58,9 Prozent zugenommen hätten.

CLAROTY-Forscherteam entdeckte im ersten Halbjahr 2020 insgesamt 26 ICS-Schwachstellen

Das CLAROTY-Forscherteam habe im ersten Halbjahr 2020 insgesamt 26 ICS-Schwachstellen entdeckt. Dabei seien kritische oder risikoreiche Schwachstellen priorisiert worden, welche die Verfügbarkeit, Zuverlässigkeit und Sicherheit von Industriebetrieben beeinträchtigen könnten. Das Team habe sich dabei auf ICS-Anbieter und -Produkte mit großer Installationsbasis konzentriert, welche eine wichtige Rolle in den Produktionsprozessen spielten.
Die 26 identifizierten Schwachstellen könnten schwerwiegende Auswirkungen auf betroffene OT-Netzwerke haben, zumal mehr als 60 Prozent eine entfernte Codeausführung ermöglichten. Für viele der von CLAROTYs Entdeckungen betroffenen Anbieter sei dies ihre erste gemeldete Schwachstelle gewesen. In der Folge hätten diese dedizierte Sicherheitsteams und -prozesse geschaffen, um der steigenden Zahl von entdeckten Schwachstellen aufgrund der Konvergenz von IT und OT zu begegnen.

CLAROTY-Forscherteam kooperiert mit einer Vielzahl von Anbietern

Das CLAROTY-Forscherteam setzt sich nach eigenen Angaben „aus OT-Sicherheitsforschern zusammen, die proprietäre OT-Bedrohungssignaturen entwickeln, OT-Protokolle analysieren, sowie ICS-Schwachstellen identifizieren und offenlegen“. Es verfüge über das branchenweit umfangreichste ICS-Testlabor und arbeite eng mit führenden Anbietern von Industrieautomation zusammen, um die Sicherheit ihrer Produkte zu bewerten.
„Bis heute hat das Team mehr als 40 ICS-Schwachstellen entdeckt und offengelegt. Dabei arbeitet es eng mit einer Vielzahl von Anbietern zusammen, um alle gemeldeten Probleme zu beheben.“

Weitere Informationen zum Thema:

CLAROTY
Claroty Biannual ICS Risk & Vulnerability Report: 1H 2020

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht