Insecure by Design

Schwachstellen-Flut bei Industrieanlagen

Zertifizierungen zum Trotz fanden Experten 56 Sicherheitslücken in industriellen Steueranlagen. Das verdeutlicht gravierende Rückstände in Sachen OT-Sicherheit.
Von 
CSO | 23. Juni 2022 16:00 Uhr
Die Sicherheitsmaßnahmen der Industrie scheinen unzureichend.
Die Sicherheitsmaßnahmen der Industrie scheinen unzureichend.
Foto: Party people studio - shutterstock.com

56 Schwachstellen hat das Analystenteam des IoT-Spezialisten ForeScout im Rahmen seiner Recherchen entdeckt. Die Sicherheitslücken betreffen 26 OT-Geräte (Operational Technology) von zehn Herstellern. ForeScout zufolge sind die betroffenen Produkte in den Branchen Öl und Gas, Chemie, Energie- und Wassererzeugung, Fertigung, Bergbau und Gebäudeautomation weit verbreitet. Viele dieser Geräte seien als "Secure by Design" verkauft oder gemäß OT-Sicherheitsstandards zertifiziert worden.

Diese OT-Hersteller sind betroffen

In ihrem Report fassen die Analysten die Schwachstellen sowie die betroffenen Hersteller zusammen. Diese sind:

  • Bently Nevada

  • Emerson

  • Honeywell

  • JTEKT

  • Motorola

  • Omron

  • Phoenix Contanct

  • Siemens

  • Yokogawa

  • Saia Burgess Controls

Die Folgen einer ausgenutzten Schwachstelle hängen von den Funktionen der Geräte ab. ForeScout nennt als mögliche Auswirkungen:

Die amerikanische Sicherheitsbehörde CISA hat auf das Bekanntwerden der Schwachstellen reagiert und bereits Sicherheitsempfehlungen für fünf der betroffenen Produkte veröffentlicht.

Insecure by Design - trotz Zertifizierung

ForeScout führt den Großteil der Sicherheitslücken auf unzureichende Kontrollen der Produkte und Prozesse in der OT zurück. Da die Experten auf nicht authentifizierte Protokolle und fehlerhafte Authentifizierungsprozesse gestoßen sind, sprechen sie in ihrem Bericht von "Insecure by Design". Allerdings verfügen die meisten der anfälligen Industriegeräte über eine Sicherheitszertifizierung oder erfüllen die Sicherheitsnorm IEC 62443.

Daraus schließen die Analysten auf einige "ernsthafte Probleme mit Sicherheitsstandards und Zertifizierungen für die OT". Eines ist der hohe (Re)-Zertifizierungsaufwand. Sicherheitszertifizierungen sind in der Regel entweder für einen begrenzten Zeitraum oder für eine bestimmte Hardware- oder Softwareversion gültig. Für eine neue Zertifizierung ist ein Audit notwendig, was ein langwieriger und kostspieliger Prozess sein kann. Deshalb hätten sich scheinbar einige Anbieter nur für den Nachweis auf der niedrigsten Stufe entschieden. Andere würden lediglich behaupten, ihre Produkte gemäß einem Standard entwickelt zu haben.

Daneben fallen laut ForeScout einige relevante Angriffsvektoren wie proprietäre Funktionen oder Netzwerkbibliotheken Dritter oft nicht in die Bewertung für die Zertifizierungen. Des Weiteren würden OT-Produkte meist nur auf ihre Funktion und nicht auf ihre Widerstandsfähigkeit getestet - ein Umstand, den die Analysten kritisieren.

Lesetipp: Produktionsbetriebe im Visier

Industrielle Maschinen und Anlagen absichern

Auch der TÜV Süd merkte jüngst an, dass es bisher so gut wie keine verbindlichen, gesetzlichen Vorgaben für die Cybersicherheit der meisten industriellen Anlagen und Maschinen gebe. Da diese in der Regeln über Jahrzehnte hinweg im Einsatz seien und in Sachen Cybersicherheit kaum aktualisiert würden, könnten sie relativ leicht angegriffen werden.

"Aus diesem Grund muss bei industriellen Anlagen die Cybersicherheit von Anfang an mitgedacht werden", sagt Jörg Becker, Experte für Industrielle Cybersecurity bei TÜV SÜD. "Wenn es Kriminelle beispielsweise schaffen, bis zur elektronischen Anlagensteuerung vorzudringen, können sie vernetzte Maschinen oder Produktionsstraßen übernehmen, zum Stillstand bringen oder bestimmte Prozesse manipulieren."

Um das zu verhindern, sollten sich Unternehmen bereits bei der Anschaffung und Einrichtung neuer Maschinen und Anlagen intensiv mit den Sicherheitsanforderungen befassen und ihre Sicherheitskonzepte im laufenden Betrieb immer wieder auf den neuesten Stand bringen.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.