Maschinen und Anlagen in der Industrie werden zunehmend von IT-Systemen überwacht und gesteuert. Das verspricht Vorteile, birgt aber auch Risiken. Bislang abgeschottete OT-Systeme sind nun Cybergefahren ausgesetzt – und in der Regel äußerst verwundbar. Der IT-Dienstleister NTT Data nennt Schwachstellen und Einfallstore und erklärt, worauf es Eindringlinge überhaupt abgesehen haben.
Wichtige Systeme lahmlegen und Lösegeld erpressen: Hier kommt meist Ransomware zum Einsatz, mit der Kontroll- und Steuersysteme sowie auch Backups verschlüsselt werden. Das Ergebnis sind längere Störungen und Ausfälle, die zu Umsatzeinbußen oder auch Vertragsstrafen führen können.
Infrastrukturen infiltrieren und geistiges Eigentum stehlen: Hier verhalten sich die Angreifer unauffällig und arbeiten sich vom initial kompromittierten System in Bereiche vor, in denen sie etwa Konstruktionsdaten oder Informationen zu Produktionsverfahren finden. Diese nutzen sie dann für Erpressungen. Sie drohen beispielsweise damit, die Daten zu veröffentlichen, oder bieten sie zum Kauf an, etwa an die Konkurrenz.
OT-Systeme manipulieren und sabotieren: Solche Sabotageakte dienen dazu, den Ruf eines Unternehmens zu schädigen, etwa weil Produkte nicht mehr den gewohnten Standards entsprechen oder Gefahren für Mensch und Umwelt entstehen. Durch Fehlchargen, Rückrufaktionen oder Verbraucherschutz- und Schadensersatzklagen drohen hier hohe Kosten.
NTT Data beschreibt ferner, welche Wege Angreifer nutzen, um Industrieunternehmen anzugreifen:
Ungepatchte Systeme: OT-Systeme sind für einen langen Betrieb ausgelegt und oft zehn Jahre oder mehr im Einsatz. Für diese Systeme gibt es nur noch selten oder keine Updates und Patches mehr, sodass Sicherheitslücken nicht geschlossen werden können. Einige Unternehmen verzichten auch bewusst darauf, verfügbare Aktualisierungen zeitnah einzuspielen, weil die Systeme tief in Produktions- und andere Prozesse integriert sind und die Abläufe möglichst nicht beeinträchtigt werden sollen. Unzureichende Sicherheitsfunktionen: Viele Altsysteme nutzen veraltete Protokolle und Schnittstellen, schwache Authentifizierungsmechanismen, unverschlüsselte Datenübertragungen oder Verschlüsselungsalgorithmen. Aber auch neuere IoT-Geräte bringen oft keine ausreichenden Sicherheitsmechanismen mit. Als Problem nennt NTT Data hier, dass sich sowohl auf Altsystemen als auch auf IoT-Geräten üblicherweise keine Anwendungen für Endpoint Security einrichten lassen, um sie nachträglich zu schützen. Entweder unterstützen die Systeme keine Endpoint-Security-Software oder der Software fehlt es an Support für die Geräte. Schlecht gesicherte Fernzugänge: Viele OT-Systeme werden remote gewartet. Die dafür genutzten Zugänge sind oft nur unzureichend gesichert und verwenden etwa Default-Passwörter, gemeinsame Passwörter für mehrere Personen oder sie stehen sogar komplett offen. Darüber hinaus fehlen nicht selten robuste Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen und eine Sitzungsaufzeichnung, sodass sich nicht nachvollziehen lässt, wer wann auf die Systeme zugegriffen hat und welche Änderungen vorgenommen wurden.
Gestohlene Anmeldedaten: Im Darknet wird mit gestohlene Zugangsdaten gehandelt. Sie stammen vor allem aus gehackten Datenbanken und erlauben Angreifern ein einfaches Eindringen in Unternehmensnetzwerke. Für zielgerichtete Angriffe auf ein bestimmtes Unternehmen gehen Cyberkriminelle jedoch auch planmäßig vor. Beispielsweise greifen sie mit sogenannten Infostealern Passwörter beim Eintippen ab oder nutzen Phishing und Social Engineering. Durch den Einsatz künstlicher Intelligenz lassen sich solche Fakes überzeugender gestalten. Fehlende Netzwerksegmentierung: Sobald Angreifer ein System unter ihrer Kontrolle haben, suchen sie innerhalb des Netzwerks nach weiteren Systemen, die sie infiltrieren können. Dieses sogenannte ‚lateral movement‘ wird erleichtert, wenn das Netzwerk nicht in verschiedene Bereiche unterteilt ist, zwischen denen der Datenverkehr kontrolliert wird. So kann etwa auch ein Büro-PC in der Verwaltung Angreifern den Weg in die OT ebnen. Unsichere Lieferketten: OT-Umgebungen sind heterogen und bestehen aus einem komplexen Geflecht von Systemen und Anwendungen unterschiedlicher Anbieter. Einen dieser Lieferanten zu kompromittieren, ist für Cyberkriminelle ein Weg, in die Systeme weiterer Unternehmen einzudringen. Sie manipulieren etwa Firmwares oder Software-Updates. Auch Hardware-Komponenten werden manipuliert, was laut NTT Data aufgrund des Aufwands eher für zielgerichtete Angriffe genutzt wird.
Überlastung von Systemen: DDoS-Angriffe (Distributed Denial of Service) überlasten die Systeme von Unternehmen durch unzähligen Anfragen. Wie NTT Data mitteilt, dienen solche Angriffe auch dazu, von einem anderen Angriff abzulenken oder ein Sicherheitssystem lahmzulegen, um unerkannt in die Infrastruktur eindringen zu können.
„OT-Security ist kein Nice-to-have, sondern ein Muss, denn durch die Digitalisierung wächst die Angriffsfläche und die Zahl der Attacken auf Industrieunternehmen erreicht Jahr für Jahr neue Höchststände“, betont Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development bei NTT Data DACH. „Das haben auch die EU und die Bundesregierung erkannt und verpflichten Industrieunternehmen mit der NIS-Richtlinie, dem Cyber Resilience Act, der Maschinenverordnung und dem IT-Sicherheitsgesetz zu umfassenden Sicherheitsmaßnahmen.“ Koch rät Unternehmen dazu, Transparenz innerhalb ihrer gesamten OT-Umgebung herzustellen und dies als Grundlage für Risikoermittlung und Sicherheitskonzepte zu nutzen.
