[datensicherheit.de, 30.03.2025] OPSWAT hat in Partnerschaft mit dem SANS Institute den aktuellen „ICS/OT Cybersecurity Budget Report 2025“ veröffentlicht. Der Bericht deckt demnach erhebliche Lücken in den Cyber-Sicherheitsbudgets sowie einen Anstieg von ICS/OT-fokussierten Angriffen auf. Ferner werde deutlich, wie durch eine unzureichende Finanzierung, falsch gesetzte Prioritäten und uneinheitliche Abwehrmaßnahmen Kritische Infrastrukturen (KRITIS) immer raffinierteren Bedrohungen ausgesetzt würden.

Abbildung: OPSWAT & SANS

„2025 ICS/OT Cybersecurity Budget“: Kritische Infrastrukturen immer raffinierteren Bedrohungen ausgesetzt!

Jährliche Umfrage zum Stand der ICS/OT-Cyber-Sicherheit

Die seit 2017 jährliche Umfrage zum Stand der ICS/OT-Cyber-Sicherheit führt OPSWAT zusammen mit dem SANS Institute durch. Diese soll wichtige Erkenntnisse und Benchmarks für industrielle Cyber-Sicherheitsprogramme weltweit liefern – unabhängig von Größe, Budget oder Bereich. Der vorliegende Bericht basiert laut OPSWAT auf Rückmeldungen von über 530 Fachleuten aus Kritischen Infrastrukturen und soll umsetzbare Hinweise zur effektiven Verwaltung industrieller Cyber-Risiken aufzeigen: „Er ist gemäß den ,SANS Five ICS Cybersecurity Critical Controls’ strukturiert.“

Während 55 Prozent der befragten Unternehmen in den letzten beiden Jahren von erhöhten Budgets für die Cyber-Sicherheit in ICS/OT berichtet hätten, sei ein Großteil dieser Investitionen nach wie vor stark auf Technologie ausgerichtet, wobei der Fokus nur begrenzt auf der operativen Resilienz liege: „Ein Ungleichgewicht, das in IT-/OT-Umgebungen neue Schwachstellen schafft und Angreifer in rasantem Tempo ausnutzen.“

Die wichtigsten Ergebnisse des Berichts zur Cyber-Sicherheit in ICS/OT:

• KRITIS im Visier
  Die Umfrage zeige besorgniserregende Trends in Bezug auf Sicherheitsvorfälle in Kritischen Infrastrukturen: „Über 50 Prozent der Befragten berichteten von Anzeichen für Bedrohungen, wobei 27 Prozent einräumten, einen Vorfall erlebt zu haben. Aufgrund von Unternehmensrichtlinien konnten 19,9 Prozent nicht antworten, und elf Prozent konnten keine eindeutige Aussage über etwaige Vorfälle machen.“
  Diese Ergebnisse deuteten darauf hin, dass die tatsächliche Zahl an Vorfällen höher sein könnte als offiziell berichtet. Besonders auffällig sei, dass die am häufigsten ausgenutzten Schwachstellen mit 33 Prozent internetfähige Geräte seien, gefolgt von zeitweise genutzten Geräten mit 27 Prozent. „Beide werden häufig verwendet, um traditionelle Sicherheitsmaßnahmen zu umgehen.“
• ICS/OT-Gefährdung durch Budgetlücken
  „Trotz der wachsenden Akzeptanz von OT-Cybersecurity, übertragen nur 27 Prozent der Unternehmen die Budgetkontrolle ihren ,CISOs’ oder ,CSOs’.“
  Wo dies nicht der Fall ist, würden entscheidende ICS/OT- Anforderungen bei der Budgetzuweisung übersehen oder ignoriert. Dadurch werde die Infrastruktur anfälliger für neue Bedrohungen.
• IT als primärer Angriffsvektor
  Der Bericht nennt mit 58 Prozent Angriffe auf das IT-/OT-Netzwerk als den häufigsten Bedrohungsvektor im Bereich ICS/OT.
  „Dies zeigt, wie wichtig integrierte Sicherheitsstrategien zur Bekämpfung von bereichsübergreifenden Schwachstellen sind.“
• Unzureichende Budgets für die ICS/OT-Sicherheit
  Viele Organisationen investierten zu wenig in einen ICS/OT-spezifischen Schutz.
  Knapp die Hälfte der befragten Organisationen wende nur 25 Prozent ihres Security-Budgets für den KRITIS-Schutz auf.

ICS/OT-Abwehrmaßnahmen: Priorisierung von Budget- und Personalinvestitionen

„Die Untersuchung unterstreicht die Notwendigkeit für Unternehmen, ihre Cyber-Sicherheitsstrategien in folgenden Punkten anzupassen:“

• Zuweisung angemessener Budgets für ICS/OT-Abwehrmaßnahmen für Geräte und Endpunkte
• Stärkung der Abwehr bereichsübergreifender Angriffe
• Sicherstellen, dass Security-Verantwortliche Budgetentscheidungen überwachen, um Ausgaben an den operativen Risiken auszurichten

Holger Fischer, „Director of Sales EMEA Central“ bei OPSWAT kommentiert: „Ein besorgniserregendes Ergebnis des Berichts ist, dass zwar die Budgets für Cyber-Sicherheit gestiegen sind, aber ein Großteil dieser Investitionen immer noch auf traditionelle Geschäftssysteme wie IT konzentriert bleibt. Das führt dazu, dass die ICS/OT-Umgebungen und das Unternehmen insgesamt gefährlich untergeschützt sind.“

Ständig weiterentwickelte Bedrohungen im ICS/OT-Bereich

Angesichts der sich ständig weiterentwickelnden Bedrohungen im ICS/OT-Bereich reiche es nicht aus, nur die fünf „ICS Cybersecurity“-Kontrollen anzuwenden. Um KRITIS effektiv zu schützen, sei eine gezielte Investition in ICS/OT-spezifische Sicherheitsschulungen nötig, „damit die Personen, die für die Überwachung der ICS-Steuerungen zuständig sind, ein tiefes Verständnis der Kontrollsystemnetzwerke haben“.

Fischer gibt abschließend zu bedenken: „Unternehmen, die es versäumen, die Bedrohungen für ihre ICS-Umgebungen neu zu bewerten, setzen ihre Kritischen Infrastrukturen immer ausgefeilteren Angriffen aus.“ Der Schutz dieser technischen Systeme sei keine Option mehr, sondern entscheidend für die betriebliche Resilienz und sogar die Nationale Sicherheit.

Weitere Informationen zum Thema:

OPSWAT & SANS INSTITUTE, Dean Parsons, März 2025
Survey / 2025 ICS/OT Cybersecurity Budget: Spending Trends, Challenges, and the Future

SANS, Robert M. Lee & Tim Conway, 07.11.2022
The Five ICS Cybersecurity Critical Controls / This paper sets forth the five most relevant critical controls for an ICS/OT cybersecurity strategy that can flex to an organization’s risk model, and provides guidance for implementing them

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen / Gründe sind geopolitischer Konflikte und wachsende Anzahl von Ransomware-Angriffen / Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor

datensicherheit.de, 28.05.2020
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert / Unternehmen weltweit über zielgerichtete Phishing-Mails angegriffen / Angreifer nutzten Mimikatz-Programm

[datensicherheit.de, 27.03.2025] TXOne Networks, ein  Unternehmen im Bereich der Sicherheit von Cyber-Physical Systems (CPS), hat seinen jährlichen Bericht zur Cybersicherheit von Betriebstechnologien (OT) veröffentlicht. Darin werden verschiedene Risiken, wie Schwachstellen in der Versorgungskette, veraltete Infrastrukturen, Patching-Schwierigkeiten und Lücken bei der Reaktion auf Vorfälle, ausführlich beschrieben. Der neue Bericht, der öffentlich zum kostenlosen Download zur Verfügung steht, zeigt die wachsende Besorgnis über digitale Schwachstellen, die bei der Einführung von industriellen Kontrollsystemen (ICS), darunter intelligente Sensoren, Edge-Computing-Geräte, Asset-Tracking-Lösungen und Fernüberwachungs-Tools, auftreten können.

Herausforderung Cybersicherheit

„Wie können Unternehmen diese vernetzten Systeme effektiv gegen Cyber-Bedrohungen schützen? Das ist die dringende Herausforderung, der sich Chief Information Security Officers (CISOs) weltweit stellen müssen“, heißt es im Annual Report 2024 von TXOne Networks zur OT/ICS-Cybersecurity: „Traditionell konzentrierten sich Cybersecurity-Strategien auf den Schutz von IT-Systemen (Informationstechnologie) und deren digitalen Assets. Mit der fortschreitenden Digitalisierung der Industrie werden kritische Infrastrukturen jedoch zunehmend in einheitliche digitale Ökosysteme integriert, was die Angriffsfläche vergrößert. Aufgrund der wesentlichen Unterschiede zwischen OT- und IT-Systemen sind IT-zentrierte Sicherheitsmaßnahmen in OT-Umgebungen aber oft unzureichend. Da die OT-Systeme inzwischen eng verzahnt sind, werden diese Unzulänglichkeiten herkömmlicher IT-Schutzmaßnahmen deutlich, insbesondere im Hinblick auf die Sicherheit, Verfügbarkeit und Zuverlässigkeit dieser Systeme.“

Die Ergebnisse des Berichts basieren auf einer groß angelegten Umfrage, die gemeinsam von TXOne Networks und Frost & Sullivan durchgeführt wurde und an der 150 Führungskräfte aus Asien, Europa, dem Nahen Osten und Nordamerika teilnahmen. Die Studie deckt mehrere Industriesektoren ab, z.B. die Automobilindustrie, die Lebensmittelindustrie, die Öl- und Gasindustrie, die pharmazeutische Industrie und die Halbleiterindustrie, die alle für die Weltwirtschaft von entscheidender Bedeutung sind und in besonderem Maße den Herausforderungen der OT-Cybersicherheit ausgesetzt sind.

94 Prozent der befragten Unternehmen im vergangenen Jahr von OT-Cyber-Vorfällen bedroht

Der Bericht zeigt, dass 94 Prozent der befragten Unternehmen angaben, im vergangenen Jahr von OT-Cyber-Vorfällen bedroht gewesen zu sein, während 98 Prozent IT-Vorfälle hinnehmen musste, die auch ihre OT-Umgebungen betrafen. Während Ransomware-Vorfälle von 47 Prozent der Befragten im Jahr 2023 auf 28 Prozent im Jahr 2024 zurückgingen, erwiesen sich staatlich-gestützte Angriffe auf Kritische Infrastrukturen (KRITIS) als wachsendes Problem. Advanced Persistent Threats (APTs), Schwachstellen in der Supply-Chain-Software und fortschrittliche Malware, wie Fuxnet und FrostyGoop, gehören daher zu den vielfältigen Bedrohungen, die im 2024 Annual OT/ICS Cybersecurity Report dokumentiert sind.

Der Bericht von TXOne Networks beleuchtet darüber hinaus wichtige Erkenntnisse zu einer Reihe von Themen:

• Veränderte Bedrohungslandschaft in OT-Umgebungen.
• Priorisierung von Schwachstellen und Bewältigung von Patching-Herausforderungen.
• Trends bei Regulierung und Standardisierung.
• Fallstricke überwinden und somit die Zukunft sichern.

Dr. Terence Liu, CEO von TXOne Networks, Bild TXOne Networks

„Da große Unternehmen ihre Sicherheitsvorkehrungen verstärken, erweitert sich der Fokus der OT-Cyber-Sicherheit über die Sichtbarkeit hinaus auf Schutz, fortschrittliche Bedrohungserkennung und robuste Sicherheitssteuerung“, erklärt Dr. Terence Liu, Chief Executive Officer (CEO) von TXOne Networks. „Asset Discovery und Schwachstellen-Management sind somit lediglich der Anfang. Die anhaltende Zunahme von OT-Cyber-Angriffen, wie sie im diesjährigen Bericht hervorgehoben wird, unterstreicht die Notwendigkeit, dass Unternehmen – insbesondere solche, die über keine speziellen OT-Sicherheitsmaßnahmen verfügen – dringend handeln müssen. Die Anbieter von Sicherheitsprodukten müssen dabei den Weg weisen, indem sie durch Wissensaustausch und Innovation die Lücken schließen. Wir bei TXOne Networks setzen uns dafür ein, die globalen OT-Sicherheitsstandards zu heben und eine widerstandsfähigere Zukunft für die industrielle Cyber-Sicherheit zu gestalten.“

Weitere Informationen zum Thema:

TXOne Networks
Annual OT/ICS Cybersecurity Report 2024

[datensicherheit.de, 04.02.2021] In der zweiten Jahreshälfte 2020 waren 71 Prozent der aufgedeckten Schwachstellen in industriellen Steuerungssystemen (ICS) aus der Ferne ausnutzbar. Zu diesem Ergebnis kommt der zweite halbjährliche ICS Risk & Vulnerability Report von Claroty. Im Vergleich zu 2019 wurden demnach ein Viertel mehr ICS-Schwachstellen offengelegt, im Vergleich zum ersten Halbjahr 2020 betrug die Steigerung 33 Prozent. Der Bericht kombiniert die Entdeckungen des Claroty-Forscherteams mit vertrauenswürdigen öffentlichen Quellen wie der National Vulnerability Database (NVD), dem Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), CERT@VDE, MITRE sowie den Industrieautomationsherstellern Schneider Electric und Siemens.

449 Schwachstellen in ICS-Produkten von 59 Anbietern bekanntgeworden

Im zweiten Halbjahr 2020 wurden 449 Schwachstellen in ICS-Produkten von 59 Anbietern bekannt. Davon wurden 70 Prozent mit hohen oder kritischen CVSS-Scores (Common Vulnerability Scoring System) bewertet. Gut Dreiviertel (76 %) dieser Schwachstellen können zudem ohne Authentifizierung ausgenutzt werden.

„Die beschleunigte Konvergenz von IT- und OT-Netzwerken aufgrund der digitalen Transformation steigert zwar die Effizienz von industriellen Prozessen, vergrößert aber auch die Angriffsfläche“, erklärt Amir Preminger, Vice President of Research bei Claroty. „Staatlich unterstützte Angreifer haben offensichtlich viele Aspekte des Netzwerkperimeters im Blick, um diese auszunutzen, und auch Cyberkriminelle konzentrieren sich speziell auf ICS-Prozesse. Deshalb ist der Einsatz von Sicherheitstechnologien wie netzwerkbasierte Erkennung und sicherer Fernzugriff im industriellen Umfeld von größter Bedeutung. Gleichzeitig ist es sehr ermutigend zu sehen, dass das Interesse an industriellen Steuerungssystemen innerhalb der Sicherheitsforscher-Community wächst. Wir müssen diese Schwachstellen stärker beleuchten, um die Bedrohungen auf Abstand zu halten.“

Schwachstellen in ICS-Produkten, Bild: Claroty

Mehr Schwachstellen in kritischen Sektoren wie Fertigung, Energie, Wasser und Abwasser

Im Bereich der Kritischen Infrastruktur (KRITIS) waren vor allem die kritische Fertigung, Energie, Wasser und Abwasser sowie gewerbliche Anlagen von den im zweiten Halbjahr 2020 bekannt gewordenen Schwachstellen betroffen. Diese Bereiche zeigen durchweg einen Anstieg gegenüber den beiden Vorjahren:

• Kritische Fertigung: Steigerung um 15 Prozent gegenüber der zweiten Jahreshälfte 2019 und zwei Drittel mehr (66 %) identifizierte Schwachstellen als im zweiten Halbjahr 2018
• Energie: Plus acht Prozent gegenüber dem zweiten Halbjahr 2019 und 74 Prozent gegenüber der zweiten Jahreshälfte 2018
• Wasser und Abwasser: Steigerung um mehr als die Hälfte (54 %) gegenüber der zweiten Jahreshälfte 2019 und 63 Prozent gegenüber dem zweiten Halbjahr 2018
• Gewerbliche Anlagen: Steigerung um 14 Prozent gegenüber der zweiten Jahreshälfte 2019 und 140 Prozent gegenüber dem zweiten Halbjahr 2018

Mehr externe Forscher bewerten ICS-Schwachstellen

Die Anzahl der 2020 identifizierten Schwachstellen stieg um mehr als 30 Prozent im Vergleich zu 2018 und um fast 25 Prozent im Vergleich zu 2019. Hierzu tragen vor allem zwei Faktoren bei: Zum einen ein erhöhtes Bewusstsein für die Risiken, die von ICS-Schwachstellen ausgehen, und zum anderen eine steigende Zahl von Anbietern und Security-Forschern, die sich darauf konzentrieren, Sicherheitslücken so effektiv und effizient wie möglich zu identifizieren und zu beheben. Dies verdeutlicht, dass sich die auf ICS-Produkte spezialisierte Forschung zunehmend etabliert.

Forscher von Drittanbietern, insbesondere von Cybersecurity-Unternehmen, waren für 61 Prozent der Entdeckungen verantwortlich. Dies verdeutlicht einen Wandel des Fokus von der reinen IT-Sicherheit hin in Richtung ICS und verdeutlicht zudem die beschleunigte Konvergenz zwischen IT und OT. Aus dem Bereich der externen Forscher haben 22 Prozent zum ersten Mal eine Sicherheitslücke gemeldet. Dies kann als positives Zeichen für ein wachsendes Interesse für den Bereich der ICS-Schwachstellenforschung gesehen werden.

Die Sicherheitsforscher von Claroty entdeckten und veröffentlichten im Berichtszeitraum 41 Schwachstellen, von denen 14 Hersteller betroffen waren. Insgesamt haben die Claroty-Spezialisten bis heute mehr als 70 ICS-Schwachstellen identifiziert und offengelegt.

Weitere Informationen zum Thema:

datensicherheit.de, 20.08.2020
CLAROTY warnt vor Risiken des Fernzugriffs auf industrielle Netzwerke

Claroty
The Claroty Biannual ICS Risk & Vulnerability Report: 2H 2020

[datensicherheit.de, 05.07.2018] Aus Sicht der Cybersicherheit befinden wir uns am Ende der „guten alten Zeit“ für die Sicherheit der Industrial Control Systems (ICS), erklärten Tim Conway, SANS-Trainer und technischer Direktor des ICS und SCADA-Programms des SANS Institutes und Professor Thomas Brandstetter, SANS-Trainer und Mitgründer von Limes Security, auf dem SANS European ICS Summit am 19. Juni in München. Die bekannten Fälle von CrashOverride, WannaCry und TRISIS zeigen, dass industrielle Steuerungsanlagen bereits heute für Cyberangriffe attraktiv und anfällig sind und der Trend wird sich durch die Zunahme der digitalen Vernetzung in der Industrie 4.0, smarte Sensoren und die damit verbundenen Entwicklungen weiter fortsetzen.

Partnerschaften für Sicherheit

Die starke Beteiligung durch technische und nichttechnische Safty- und Securityexperten, Strategen, CIOs und CISOs zeigte, dass Cybersicherheit ein Thema ist, das die Branche intensiv und zunehmend beschäftigt. Die Konferenz des SANS Institutes wurde vor wenigen Jahren ins Leben gerufen, um diesen Austausch der Beteiligten und Verantwortlichen zu fördern, Best Practices auszutauschen und gemeinsam Lösungswege zu finden. Doug Wylie, Director SANS Industrials & Infrastructure, erklärt im Interview mit datensicherheit.de, die Sicherheit von Industrieanlagen sei ein Feld auf dem die Industrieunternehmen nicht in Konkurrenz, sondern in Partnerschaft denken müsse. Die Zustimmung zu dieser neuen Sichtweise konnte man den Teilnehmern deutlich anmerken – Cybersicherheit muss über alle Abteilungen und Industrieunternehmen hinweg gedacht werden.

Breites Themenspektrum

Referenten aus den verschiedenen Bereichen – vom ICS Security Manager, CTOs, Professoren und Vertreter des BSI – zeigten in den Vorträgen eine breite Vielfalt von Grundlagen- bis Spezialwissen: So standen die richtigen Strategien zum Aufbau eines ICS Cyber Security Programms gleichberechtigt neben der Entwicklung von Security Awareness für die Mitarbeiter und dem Schutz kritischer Infrastrukturen sowie Best Practices beim Schutz vor Insiderbedrohungen. Moderiert von Kai Thomsen, Chair ICS Europe Summit bei SANS und Lead DFIR Analyst bei Audi, gab es eine kurzweilige Abwechslung zwischen Vorträgen und anschließenden Fragerunden, in denen die Teilnehmer eigene Erfahrungen und Expertise in die Diskussionr einzubringen konnten.

Bild: SANS Institut

Kai Thomsen, Chair ICS Europe Summit bei SANS und Lead DFIR Analyst bei Audi

Der fachliche Austausch unter den Referenten und Teilnehmern wurden lebhaft in den Networking-Pausen und beim Social Abend weitergeführt und vertieft. Der ICS Summit soll im Sinne der Veranstalters auch nachwirken und wertvolle Erkenntnisse für die Cybersicherheit in ICS-Umgebungen vermittelt.

Die wichtigsten Erkentnisse für die Sicherheitsverantwortlichen im Überblick

• IT und OT dürfen Safety und Security nicht unter sich aufteilen, sondern müssen zusammenarbeiten um einen ganzheitlichen Sicherheitsansatz zu gewährleisten. Dafür ist eine gemeinsame Sprache dringend erforderlich.
• ICS-Security lässt sich nicht einfach aus den Sicherheitsmechanismen der IT ableiten. Die Industrieunternehmen müssen aktiv darauf hinarbeiten, neue Playbooks, Incident Response-Strategien sowie -Prozesse aufzusetzen, die der neuen Umgebung Rechnung tragen.
• Jeder einzelne Mitarbeiter in der Industrie trägt ein Stück Verantwortung für die Sicherheit. Die Cybersicherheitsteams müssen das dafür notwendige Bewusstsein (Security Awareness) intensiv vermitteln.

Aus Sicht der Cybersicherheit stehen wir erst am Anfang der Digitalisierung in der Industrie und es ist wichtig, möglichst früh in den Austausch einzusteigen und zusammenarbeiten. Deshalb ist es begrüßenswert, dass Konferenzen wie diese von hoch qualifizierten Anbietern initiiert werden. Sie stoßen einen Denkprozess an, fördern den Austausch und sensibilisieren für die Suche nach Lösungen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.06.2018
SANS-Studie: Automatisierte Endpoint Protection hat höchste Priorität für IT-Experten

datensicherheit.de, 04.06.2018
SANS ICS Summit 2018 in München

[datensicherheit.de, 04.06.2018] Das SANS Institute, Anbieter für Cyber-Sicherheitstrainings, gibt bedeutende Aktualisierungen seines Trainingskurses ICS515: ICS Active Defense and Incident Response bekannt, um Bedrohungen im industriellen Umfeld wie Ransomware und Co. zu begegnen. Während alle Kurse periodisch aktualisiert werden, um aktuell zu bleiben, ist dies das erste Mal, dass ein umfangreicher Teil des Kurses auf einmal aktualisiert wird. Neue Werkzeuge, Techniken und Fertigkeiten für den Sicherheitsbetrieb in einer ICS-Umgebung sind einige der Dinge, auf die sich die Studenten neben einer völlig neuen Laborumgebung freuen können.

Neue Bedrohungslage für die Industrie

„Allein im vergangenen Jahr haben wir zwei beeindruckende Malware-Angriffe gesehen, CRASHOVERRIDE, der auf das ukrainische Stromnetz abzielte, und Trisis, das eine petrochemische Anlage infizierte. Wir stellen deshalb eine neue Bedrohungslage in der Industrie fest“, erklärt Robert M. Lee, CEO von Dragos, SANS-Trainer und Autor des erneuerten ICS515-Kurses. „Die Aktualisierungen dieses Kurses sind bedeutsam und zeitgemäß, weil aus diesen Angriffen viel zu lernen ist. Wir haben unser Wissen genutzt und die neuen Informationen kodifiziert, um die ICS-Profis besser auf die zunehmend intelligenteren Angriffe auf industrielle Umgebungen vorzubereiten.“

Der nächste Kurs findet während des ICS Summits in der Woche vom 18. Juni in München statt, der über den Kurs hinaus die Gelegenheit bietet, die neuesten Herausforderungen der Cybersicherheit für industrielle Kontrollsysteme kennenzulernen und zu diskutieren sowie Best-Practice-Beispiele für die effektivsten Abwehrmaßnahmen zu präsentieren, die von Unternehmen eingesetzt werden. Mehr über den Summit: https://www.sans.org/event/ICS-Europe-2018

ICS515: ICS Active Defense and Incident Response ist nach Angaben des SANS Instutus die weltweit einzige Schulung, die das Wissen einer Person über das Threat Hunting und Incident Response in einer ICS-Umgebung zertifiziert, und wurde schnell zu einem Industriestandard für die ICS-Überwachung und den Umgang mit Vorfällen. Der aktualisierte Teil des Kurses bietet noch weitgehendere Trainingsmöglichkeiten als zuvor. Über 40 Prozent des Kurses haben sich verändert, darunter ist die Einführung eines sehr komplexen, neuen simulierten Wasserwerks, das die Trainingsteilnehmer vier Tage mit ihren eigenen Vorfällen in einer realen, kontrollierten Umgebung begleitet.

Für den ICS515-Kurs steht eine korrespondierende GIAC-Zertifizierung zur Verfügung: Die GRID-Zertifizierung richtet sich an Cybersicherheitsprofis, die zeigen möchten, dass sie in der Lage sind, aktive Verteidigungsstrategien, die speziell für ICS-Netzwerke und -Systeme geeignet sind, effektiv durchzuführen.

Weitere Informationen zum Thema:

SANS Institut
Kurs ICS515: ICS Active Defense and Incident Response

GIAS Certifications
GRID-Zertifizierung

datensicherheit.de, 27.11.2017
SANS Institute: IT-Sicherheitstrainings in München

[datensicherheit.de, 29.07.2016] Im Herbst 2016 ist vorgesehen, dass das SANS Institut zum zweiten Mal in diesem Jahr Station in München macht: Der Anbieter von Praxis-Trainings für IT-Security, wird vom 24. bis 29. Oktober 2016 für Interessierte fünf Kurse zu Grundlagen, aber auch zu Spezialthemen der IT-Sicherheit durchführen. Auf der Agenda stehen nach eigenen Angaben der Umgang mit Hacker-Tools, der Schutz von mobilen Geräten und die aktive Absicherung von Industrie-Kontroll-Systemen (ICS).

Basiskurse und vertiefende Trainings sowie Fortgeschrittenenprogramm

Neben den zwei Basis-Kursen „Security Essentials Bootcamp Style“ und „Hacker Tools, Techniques, Exploits and Incident Handling“ sollen mit „Immersive Hands-On Hacking Techniques“ und „Mobile Device Security and Ethical Hacking“ vertiefende Trainings angeboten werden. Der Kurs „ICS Active Defense and Incident Response“, der sich intensiv mit Industriesteuerungen und deren Sicherheit auseinandersetzt, sei für jene bereits mit der Materie vertraute Teilnehmer gedacht.

Praktischer Hacker-Kurs zur Aufdeckung von Schwachstellen

Im Rahmen des Programms „Immersive Hands-On Hacking Techniques“ werde SANS-Trainer Tim Medin Mittel und Wege aufzeigen, um Schwachstellen zu finden, diese auszunutzen und schlussendlich zu beheben. Dieser Kurs sei über die Jahre von erfahrenen Kursleitern weiterentwickelt worden und arbeite zu 80 Prozent mit praktischen Übungen, um aktuellen Anforderungen von „Penetration Tests“ und „Vulnerability Assessments“ zu entsprechen.
Im Verlauf des Kurses sollen die Teilnehmer mit kontinuierlich schwierigeren Herausforderungen konfrontiert werden. Die Fähigkeiten, die sie dabei erwerben, könnten sie in ihrem täglichen Arbeitsalltag umgehend anwenden.

Absicherung von mobilen Geräten

SANS-Trainer Raul Siles habe sich auf die Absicherung von mobilen Geräten spezialisiert – in seinem Kurs „Mobile Device Security and Ethical Hacking“ werde er einen Überblick über Stärken und Schwächen der Sicherheitssysteme von „Apple iOS“, „Android“ und tragbaren Geräten wie der „AppleWatch“ und „Android Wear“ geben.
Absolventen dieses Kurses seien in der Lage, voreingestellte Verschlüsselungen zu umgehen und „Android Apps“ so zu manipulieren, dass sie Verschleierungstechniken umgehen könnten. Der Einsatz von mobilen „Application Analysis Tools“ zur Identifizierung von Schwachstellen in Apps und der Exploit von gestohlenen Geräten zur Sicherung sensibler Daten gehöre ebenfalls zu den Kursinhalten.

Weitere Informationen zum Thema:

SANS
Munich Autumn 2016

[datensicherheit.de, 17.09.2015] Palo Alto Networks hat fünf Sicherheitstipps zusammengestellt, wie Unternehmen ihr SCADA-Netzwerk optimieren können. Gerade im Zusammenhang von Industrie 4.0 bzw. Smart Factory und Digitalisierung in der Produktion ist dieses Thema ein heißes Eisen für die IT-Abteilungen vieler Unternehmen. SCADA (Supervisory Control and Data Acquisition) ist ein industrielles Steuerungssystem, das in vielen Bereichen – wie etwa Fertigung, Energie, Wasser, Energie und Transport – zum Einsatz kommt. SCADA-Systeme stellen mehrere Technologien bereit, die es Unternehmen ermöglichen, Daten zu sammeln, zu überwachen und zu verarbeiten sowie Aufträge an die Punkte zu senden, von denen aus die Daten übertragen werden.

„SCADA-Software wird jedoch vielerorts auf ungepatchten, sehr anfälligen Systemen älteren Datums betrieben, woraus mangelnde Sicherheit resultiert. Ausgefeilte, fortschrittliche Bedrohungen zielen zudem verstärkt auf kritische Infrastrukturen wie Energieversorger, große Produktionsstandorte und Logistiksysteme, die mit SCADA-Netzwerken gesteuert werden“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Die Verbesserung der Cybersicherheit ist heute daher wichtiger denn je.“

1. Umsetzung von Industriestandard-Governance-Rahmenwerken
   SCADA-Betreiber müssen Leitlinien für die Security Governance, Risikobewertung, Risikominimierung und dafür erforderliche Überwachung umsetzen. Das Cyber-Management-System für ICS (Industrial Control Systems) IEC 62443 wurde als Standard für das Informationssicherheits-Management festgelegt, unabhängig von der Größe oder Branche des Unternehmens. Daneben gibt es das Rahmenwerk ISO/IEC 27001, das technologieunabhängig ist und sowohl für technische als auch nicht-technische Umgebungen geeignet ist. Zusätzlich bietet die NIST Special Publication 800-82 einen Überblick über ICS und typische Systemtopologien. Darin werden gängige Bedrohungen und Systemschwachstellen aufgezeigt sowie Sicherheitsmaßnahmen empfohlen, um die damit verbundenen Risiken zu verringern.
2. Segmentierung des SCADA-Netzwerks
   Eine wirksame Methode, um Cyberangriffe und mögliche Risiken zu reduzieren, ist die Netzwerksegmentierung, kombiniert mit Sicherheitsüberwachung. Ein SCADA-Netzwerk lässt sich folgendermaßen schützen:
   – In einen Netzwerk kann eine SCADA-Sicherheitszone eingerichtet werden, die mit einer Firewall der nächsten Generation isoliert und segmentiert ist vom Rest des Netzwerks.
   – Der Zugang zur SCADA-Zone wird geregelt mittels Authentifizierung durch den Benutzer, nicht der IP-Adresse, das heißt, nicht-autorisierten Benutzern wird der Zugriff auf das Netzwerk verweigert.
   SCADA-Protokolle wie Modbus, DNP3 und ICCP werden auf der tatsächlichen Anwendung anstelle von Ports überwacht. Dadurch lässt sich den Risiken bei der Verwaltung mehrerer offener Ports, die Bedrohungen durchqueren können, entgegenwirken.
   – Der gesamte Verkehr, der die SCADA-Zone durchläuft, muss auf Exploits, Malware, Botnets und gezielte Bedrohungen hin überprüft werden anhand eines umfassenden Schwachstellen-Schutz-Rahmenwerks.
   – Sichtbarkeit innerhalb des sicheren SCADA-Zonen-Perimeters ist sehr wichtig. Oft gibt es Einschränkungen beim „Inline“-Einsatz von Geräten, also zwischen den Betreiber-/Engineering-Schnittstellen und den industriellen Steuerungsgeräten, wie etwa Automatisierungsserver, PLCs (Programmable Logic Controllers) und RTUs (Remote Terminal Units). Zur Verbesserung der Situationserkennung bei Cyberrisiken kann ein Monitor-only-Modus in Erwägung gezogen werden.
3. Verbesserung der Zusammenarbeit zwischen IT und OT
   Die Integration einer SCADA-Infrastruktur und einer Unternehmensinfrastruktur bedeutet, dass Entscheidungen in Bezug auf die Unternehmensinfrastruktur sich direkt auf die SCADA-Sicherheit auswirken können. Um sicherzustellen, dass potenzielle Schwachstellen berücksichtigt und Präventivmaßnahmen eingerichtet wurden, sind regelmäßige Meetings und eine rege Kommunikation zwischen IT-, Sicherheits- und SCADA-Teams notwendig. Die Teams können wertvolle Informationen teilen, damit die Netze sicher bleiben.
4. Prävention für bekannte und unbekannte Bedrohungen
   SCADA-Netzwerke sind heute wichtiger denn je und als Teil kritischer Infrastrukturen werden sie ständig angegriffen. Dennoch sind sie häufig unzureichend geschützt und ungepatcht. Anlagenbetreiber müssen den Netzwerkzugang überwachen, Bedrohungen abwehren und Ausfallzeiten, hervorgerufen durch Sicherheitsvorfälle, verhindern. Dies alles ist möglich mit WildFire von Palo Alto Networks. Der Dienst ist in der Lage, Bedrohungsabwehr-Signaturen vor Ort zu generieren. WildFire, das sowohl in Public- als auch Private-Cloud-Implementierungen angeboten wird, kann eingesetzt werden, um fortschrittliche Zero-Day-Malware, wie etwa Stuxnet und Energetic Bear, zu stoppen. Unterstützt werden mehrere Firewalls der nächsten Generation. Jede Firewall dient als Sensor zur Erkennung von unbekannten Bedrohungen in Hunderten von dateitragenden Anwendungen via Standard-und Nicht-Standard-Ports, einschließlich automatischer Prävention. Dies ist ein grundlegender Unterschied zu punktuellen Lösungen nur für Erkennung, die eine oder mehrere anwendungsspezifische Sandbox-Appliances an jedem Inspektionspunkt im Netzwerk erforderlich machen. Damit lässt nur teilweise Sicherheit erzielen, bei hohen Kosten.
5. Weiterbildung für SCADA-Fachleute
   SCADA-Ingenieure sind daran gewöhnt, in einer Umgebung zu arbeiten, die sehr zögerlich modernisiert wird. Technologie, die SCADA unterstützen kann, hat eine Lebensdauer von bis zu 20 Jahren. Dies bedeutet, dass die Ingenieure, die SCADA-Infrastrukturen warten und betreiben, nur begrenzte Kenntnisse über neue Technologien, Gefahren und die notwendigen Schutzmaßnahmen für die Netzwerkumgebung haben. Es ist schwer für sie, mit den neuesten Informationen Schritt zu halten, da sie sich auf die Entwicklung und Wartung der Automatisierungsinfrastruktur konzentrieren. Weiterbildung ist daher wichtig, damit sie auf dem aktuellen Stand sind, was neue Technologien betrifft, um das Netzwerk noch besser zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.09.2015
Umfrage zur IT-Sicherheit bei Industrie 4.0

datensicherheit.de, 01.12.2014
Industrie 4.0: IT-Sicherheit als elementare Voraussetzung

[datensicherheit.de, 18.11.2014] Vom 23. Februar bis 7. März 2015 veranstaltet das SANS Institut bereits zum zweiten Mal sein Live Trainings-Event für Cyber-Sicherheit in München. Sechs jeweils knapp einwöchige Trainingskurse aus den Themengebieten Industrial Control Systems (ICS), Penetration Testing, Forensik, Sicherheitsgrundlagen und Auditing bieten IT-Sicherheitsfachleuten die Möglichkeit ihre Qualifikationen zu erweitern. Die Kurse werden von international renommierten SANS-Trainern geleitet.

Industrial Control Systems (ICS)

Immer mehr Hacker fokussieren sich auf ICS. „ICS410: ICS/SCADA Security Essentials“ richtet sich sowohl an Cyber-Sicherheitsexperten als auch an operatives Betriebspersonal aus dem industriellen Umfeld. Ziel ist die Vermittlung einer gemeinsamen Sprache zur Umsetzung wichtiger IT-Sicherheitsmaßnahmen, ohne den Betrieb zu stören. Geschult werden eine Reihe grundlegender Fähigkeiten zur Absicherung industrieller Kontrollsysteme sowie zur Verteidigung gegen aktuelle und neu auftretende Cyber-Bedrohungen.

Penetration Testing

Mit „SEC560: Network Penetration Testing and Ethical Hacking“ und „SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking“ stehen gleich zwei Pentesting-Kurse auf der Agenda. Angehende Pentester erlernen in SEC560 wie ein professioneller Ende-zu-Ende Penetrationstest durchzuführen ist und werden in den Gebrauch von Hacking Tools wie Nmap, Nessus oder John the Ripper eingeführt. SEC660 baut auf SEC560 auf und ist mit fortgeschrittenen Penetrationstest-Konzepten sowie Exploit-Entwicklung für bereits geübte Penetrationstester ausgelegt.

Forensik

„FOR572: Advanced Network Forensics and Analysis“ beschäftigt sich mit Tools, Technologien und Verfahren, die für die Integration von Netzwerkinformationsquellen in forensische Untersuchungen erforderlich sind. Vermittelt werden Qualifikationen, um effiziente und effektive Forensik im Rahmen eines Incident Response zu betreiben. Zu den gängigen Methoden gehören NetFlow-Analyse, Low-Level-PCAP Explorations sowie Netzwerkprotokollprüfungen. Der Kurs richtet sich an Fachleute, die an forensischen Ermittlungen beteiligt sind.

Sicherheitsgrundlagen

Prävention ist gut – Erkennen ist ein Muss: Unter diesem Motto steht der Kurs von Trainer Ted Demopoulos „SEC401: Security Essentials Bootcamp Style“. Wer sich ein generelles Cyber Security Know How aneignen oder seine Kenntnisse erweitern möchte, wird hier in die wichtigsten Fähigkeiten sowie Techniken zum Schutz kritischer Informationswerte und Geschäftssysteme eingeweiht.

Auditing

Wie genau prüft man die Sicherheit eines Unternehmens? In „AUD507: Auditing and Monitoring Networks, Perimeters and Systems“ stehen dementsprechend Planung, Techniken und Tools für Audits auf dem Programm. Auditoren, Manager, IT-Security-Personal sowie Administratoren können hier Fähigkeiten für effektives Netzwerk- und System-Monitoring erwerben. Zudem ist das Erlernen einer risikogesteuerten Methode zur Entwicklung eines Programms für die Überprüfung der Unternehmenssicherheit Bestandteil des Kurses. Alle angebotenen SANS-Kurse bereiten auf die jeweils angegliederte GIAC-Zertifizierung im entsprechenden Fachgebiet vor.

© SANS Institut

Manuel Schönthaler, Direktor Deutschland des SANS Instituts

„Das Event deckt eine große Bandbreite von Themen der Cyber-Sicherheit ab und bietet somit IT-Sicherheitsexperten aus den unterschiedlichsten Bereichen attraktive Fortbildungsmaßnahmen“, erklärt Manuel Schönthaler, Direktor Deutschland beim SANS Institut. „München ist nicht nur Sitz unseres Deutschlandbüros, sondern bietet aufgrund der Ansiedlung zahlreicher IT-Unternehmen und Organisationen, die ihren Fokus auf Cyber-Sicherheit legen, einen optimalen Standort.“

Weitere Informationen zum Thema:

SANS
Munich 2015 – Informationen zum Event einschließlich des Online-Anmeldeformulars

datensicherheit.de, 07.08.2014
Websites: Schutz vor Hacker-Angriffen

[datensicherheit.de, 24.06.2014] Mitarbeiter des Unternehmens F-Secure haben die Angriffsmuster der Havex-Malware-Familie weitgehend enttarnt. Havex tritt immer wieder in gezielten Angriffen gegen industrielle Anwendungen in Erscheinung. Das Ziel der Angreifer ist Industriespionage, die mit einer cleveren Methode ausgeführt wird. Dabei werden Trojaner in Installationsprogrammen von ICS- und SCADA-Software, also industrieller Prozess-Steuerungssoftware (ICS – Industrial Control System; SCADA – Supervisory Control and Data Acquisition), untergebracht. Dies ist eine wirksame Methode, um sich Zugang zu entsprechenden Systemen und sogar kritischen Infrastrukturen zu verschaffen. Die Nutzung kompromittierter Command and Control (C&C)-Server ist typisch für diese Malware-Gruppe.

„Im Frühjahr 2014 haben wir festgestellt, dass Havex ein besonderes Interesse an Industrial-Control-Systemen hat. Die Gruppe, die dahintersteckt, verwendet einen innovativen Trojaner-Ansatz, um die Opfer zu kompromittieren“, erklärt Sean Sullivan vom F-Secure Lab.

Die Angreifer nutzen als Zwischenziel ICS-Hersteller-Websites mit Trojaner-infizierter Software, die zum Download bereitsteht. Damit sollen wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind. Dies entspricht der „Watering-Hole“-Methode, bei der die Opfer an die „Wasserstelle“ gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in der Software, mit der die Websites betrieben werden, um legitime Software-Installer, die zum Download zur Verfügung stehen, durch infizierte zu ersetzen.

Für die Angriffe sind zwei Hauptkomponenten nötig: ein Remote-Access-Trojaner (RAT) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelingt es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern. Eine zusätzliche Komponente ist schädlicher Code, der es erlaubt Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen. Dies deutet darauf hin, dass die Cyber-Kriminellen daran interessiert sind, die vollständige Kontrolle über die industriellen Steuerungssysteme zu erlangen. F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei konnte F-Secure Angriffsziele in verschiedenen Branchen aufspüren.

„Unsere bisherige Analyse hat ergeben, dass Websites von drei Softwareanbietern auf diese Weise kompromittiert wurden. Wir vermuten aber, dass es noch weitere vergleichbare Fälle gibt, die noch nicht identifiziert worden sind. Alle drei Unternehmen beschäftigen sich mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz. Die Unternehmen stammen aus Deutschland, der Schweiz und Belgien”, erläutert Sean Sullivan und fügt hinzu: „Die eigentlichen Opfer, auf die es die Malware-Akteure abgesehen haben, sind Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen. Die Mehrheit befindet sich in Europa, wobei wir zum bisherigen Zeitpunkt auch bei einem Unternehmen in Kalifornien beobachtet haben, dass Daten an einen C&C-Server gesendet werden. Von den in Europa ansässigen Organisationen handelt es sich um zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, einen französischen Maschinenhersteller und ein russisches Bauunternehmen.“

[datensicherheit.de, 23.01.2014] Heute veröffentlichte die EU Agentur für Netz- und Informationssicherheit ENISA einen neuen Bericht, um über die nächsten Schritte in Richtung einer koordinierten Prüfung der Leistungsfähigkeit der oft veralteten „Industrial Control Systems“ (ICS) für die europäische Industrie zu beraten. Zu den wichtigsten Empfehlungen gehörten Prüfungen von ICS, welche ein Anliegen für alle EU-Mitgliedstaaten seien und ENISA zu folge auf EU-Ebenen behandelt werden könnte.

Heute werden IT häufig von industriellen Steuerungssystemen (z.B. SCADA) für Energie, Wasser und Verkehr eingesetzt. Diese werden verwendet, um die Effizienz zu verbessern, Kosteneinsparungen zu erzielen und die Automatisierung der Prozesse zu ermöglichen. Leider geht dies oft einher mit schlechter Planung, Mangel an Informationen, Sicherheitskonfigurationen sowie die Vereinigung von beidem: bereits bekannte und neue, unentdeckte oder noch nicht behobene „Zero-Day“-Schwachstellen in ICS / SCADA-Systemen.

ICS Systeme haben eine Lebensdauer von über 20 Jahren. Daher wurden sie traditionellerweise als unabhängige Systeme ohne ausreichende Sicherheitsanforderungen entworfen. Folglich sind sie nicht gerüstet, um mit gegenwärtigen Bedrohungen umzugehen. Die Überwindung der heutigen Sicherheitslücken erfordert ein verlässliches Verständnis von Sicherheitsbelangen (d.h. Schwachstellen, ihre Herkunft, Häufigkeit, etc.). Die richtige Risikobewertung erfordert spezialisierte Werkzeuge und Methoden. Die Agentur betont, dass es eine starke Notwendigkeit nach einer bestimmten Strategie gibt, um die Ziele, die Mission und die Vision für eine Koordinationsfähigkeitsprüfung in der EU zu definieren.

Die Studie untersucht, wie EU-Maßnahmen koordiniert werden können, um so eine Ebene einheitlicher, unabhängiger und vertrauenswürdiger ICS Testmöglichkeiten zu erreichen, die dann den derzeitigen Initiativen von Nutzen sein würden. Die Methodik umfasst Desktop-Forschung, eine Online-Umfrage und ausführliche Interviews mit 27 Experten aus der EU, den USA, Japan, Indien und Brasilien.

Die wichtigsten Ergebnisse und Empfehlungen

Der Bericht hat die 36 wichtigsten Ergebnisse und 7 Empfehlungen, sowohl für den öffentlichen als auch den privaten Sektor, herausgestellt,  mit einem speziellen Fokus auf die EU-Behörde:

1. Die Schaffung einer Koordinationsfähigkeitsprüfung unter öffentlicher Europäischer Führung und einer starken Unterstützung durch die zuständigen öffentlichen, nationalen Behörden und dem privaten Sektor der EU
2. Die Einrichtung eines vertrauenswürdigen und fachlichen Vorstands, um eine Führung zu etablieren
3. Die Gründung oder Beteiligung von spezifischen Arbeitsgruppen
4. Bestimmung eines Finanzmodells, welches angesichts der Europäischen Lage geeignet ist
5. 5. Durchführung einer Machbarkeitsstudie darüber, wie Tests organisiert werden sollten
6. Aufstellen von Kooperationsvereinbarungen mit anderen Organisationen, die sich mit ICS Sicherheiten befassen
7. Schaffung eines Wissensmanagement -Programms für ICS-Tests.

Der Executive Director von ENISA, Professor Udo Helmbrecht bemerkte: „Es gibt eine offensichtliche Notwendigkeit, die Sicherheit in kritischen Informationsinfrastrukturen und ICS-System zu erhöhen; die Risiken nehmen zu, und sehr erfahrene Angreifer und Naturkatastrophen haben die Schwächen der Systeme gezeigt. Allen beteiligten öffentlichen und privaten Einrichtungen wird dringend empfohlen, diese Sicherheitsbedenken Ernst zu nehmen.“