Cybersicherheit bei ICS, IoT und Medizingeräten (Stand 2. Halbjahr 2021)

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Zahl der öffentlich bekannten Sicherheitslücken, die Medizingeräte, industrielle Kontrollsystemen (ICS) oder das erweiterte Internet der Dinge (XIoT) betreffen, steigt kontinuierlich. In den letzten vier Jahren hat sich die Zahl der  offen gelegten Schwachstellen in industriellen Kontrollsystemen (ICS) mehr als verdoppelt (plus 110 %). Allein in der zweiten Jahreshälfte 2021 stieg im Vergleich zu den vorangegangenen sechs Monaten die Anzahl um 25 Prozent. Das geht aus einem entsprechenden Bericht des Sicherheitsanbieters Claroty hervor.


Anzeige

Eigentlich kann man täglich über solche Schwachstellen lesen. Anfang März 2022 berichtete heise beispielsweise über fest codierte Anmeldedaten in Industriesteuersystemen von Schneider Electric. Im Artikel TLStorm: 3 kritische 0-day-Schwachstellen gefährden Smart-UPS von APC hatte ich über Schwachstellen in der Cloud-Anbindung von unterbrechungsfreien Smart Stromversorgungen des Herstellers APC berichtet. Der Sicherheitsanbieter Claroty hat die Daten aus vertrauenswürdigen offenen Quellen wie die National Vulnerability Database (NVD), des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), des CERT@VDE, des MITRE und der Anbieter von Industrieautomatisierung Schneider Electric und Siemens ausgewertet und in einem Bericht (der leider nur nach Registrierung abrufbar ist) zusammen gefasst. Daher hier einige Informationen aus diesem Bericht, der eine Analyse der im zweiten Halbjahr 2021 veröffentlichten ICS-Schwachstellen enthält.

  • Die Anzahl der offengelegten ICS-Schwachstellen ist in den letzten vier Jahren um 110 Prozent gestiegen. Dies zeigt, dass das Bewusstsein für dieses Thema deutlich gestiegen ist und Sicherheitsforscher zunehmend auch OT-Umgebungen einbeziehen. 797 Schwachstellen wurden im zweiten Halbjahr 2021 gemeldet, was einem Anstieg von 25 Prozent gegenüber 637 im ersten Halbjahr 2021 entspricht.
  • 34 Prozent der aufgedeckten Schwachstellen betreffen IoT-, IoMT- und IT-Komponenten. Deshalb müssen Unternehmen OT, IT und IoT unter einem konvergenten Sicherheitsmanagement zusammenführen. Betreiber dieser Systeme benötigen einen genauen Überblick über ihre Umgebungen, um Schwachstellen zu managen und ihre Gefährdung zu verringern.
  • Die Hälfte der Schwachstellen (50 %) wurde von externen Spezialisten entdeckt, die meisten davon durch Forscher von Cybersicherheitsunternehmen, die ihren Schwerpunkt neben der IT- und IoT-Sicherheitsforschung auf ICS verlagern. Außerdem meldeten 55 neue Forscher Sicherheitslücken.
  • Die Zahl der durch interne Experten gemeldeten Schwachstellen stieg in den letzten vier Jahren um 76 Prozent. Dies unterstreicht die wachsende Bedeutung der Disziplin sowie einen höheren Reifegrad bei der Schwachstellenforschung und zeigt, dass die Hersteller immer größere Ressourcen für die Sicherheit ihrer Produkte bereitstellen.
  • 87 Prozent der Schwachstellen weisen eine geringe Angriffskomplexität auf, d. h. sie erfordern keine speziellen Bedingungen und Angreifer können jedes Mal mit einem wiederholbaren Erfolg rechnen. 70 Prozent erfordern keine besonderen Berechtigungen, um eine Schwachstelle erfolgreich auszunutzen, und 64 Prozent der Schwachstellen bedürfen keiner Benutzerinteraktion.
  • 63 Prozent sind aus der Ferne ausnutzbar. Dies zeigt, dass die Sicherung von Remote-Verbindungen und Geräten von größter Wichtigkeit ist, zumal der durch die Pandemie beschleunigte Bedarf an sicheren Fernzugriffslösungen ungebrochen ist.
  • Clarotys Forschungsabteilung Team82 hat im zweiten Halbjahr 2021 110 Schwachstellen und insgesamt über 260 Schwachstellen aufgedeckt.
  • Die verbreitetste potenzielle Auswirkung ist die Remote-Code-Ausführung (bei 53 % der Schwachstellen), gefolgt von Störungen (Denial-of-Service) (42 %), der Umgehung von Schutzmechanismen (37 %) und Möglichkeiten für Angreifer, Anwendungsdaten zu lesen (33 %).
  • Zu den wichtigsten Abhilfemaßnahmen gehören Netzwerksegmentierung (empfohlen bei 21 % der Schwachstellen), der Schutz vor Ransomware, Phishing und Spam (15 %) und Beschränkungen des Datenverkehrs (13 %).

Einerseits sind die Zahlen eine schlechte Nachricht, denn die Komponenten stecken voller Schwachstellen und das Zeugs wird vernetzt auf Teufel komm raus. Andererseits ist es ein gutes Zeichen, dass sich Sicherheitsforscher mit den Komponenten beschäftigen und Schwachstellen offen legen, so dass Hersteller und Anwender reagieren können. Amir Preminger von Claroty dazu:

Da immer mehr cyber-physische Systeme miteinander verbunden werden und der Zugang zu diesen Netzwerken über das Internet und die Cloud erfolgt, benötigen Sicherheitsverantwortliche zeitnahe, nützliche Schwachstelleninformationen, um ihr Risikomanagement entsprechend anpassen zu können. Die zunehmende digitale Transformation in Verbindung mit der Konvergenz von ICS- und IT-Infrastruktur ermöglicht es den Forschern, ihre Arbeit über die OT hinaus auf das XIoT auszuweiten.

Aufsehenerregende Cybervorfälle im zweiten Halbjahr 2021 wie die Tardigrade-Malware, die Log4j-Schwachstelle oder der Ransomware-Angriff auf den Tankstellenzulieferer Oiltanking zeigen die Anfälligkeit dieser Netzwerke und unterstreichen die Notwendigkeit der Zusammenarbeit der Sicherheitsforscher bei der Entdeckung und Offenlegung neuer Schwachstellen.

Die Frage, die sich mir stellt: Das Wissen ist zwar da, aber reagieren die Anwender entsprechend und sichern ihre Systeme ab? Und stellen die Hersteller zeitnah entsprechende Sicherheitsupdates bereit. Die Zahl der erfolgreichen Angriffe zeigt, dass die Hausaufgaben wohl nicht immer gemacht werden.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.