75 Prozent der gebräuchlichsten Industriesteuerungen in OT-Netzwerken (Operational Technology) von Kunden weisen ungepatchte Sicherheitslücken von hohem Schweregrad auf. Und 78 Prozent Anstieg bei der Aufdeckung hochgradiger Schwachstellen in industriellen Steuerungsanlagen von gängigen Anbietern zwischen 2020 und 2022. Dies geht unter anderem aus der dritten Ausgabe von "Cyber Signals" hervor, die Microsoft heute veröffentlicht hat.
Microsoft stellt darin auch fest, dass die finanziellen Auswirkungen und die Einflussnahme bei einer Abschaltung der Energieversorgung und anderer kritischer Infrastrukturen weitaus grösser sind als in anderen Branchen – wie beispielsweise den "Industroyer 2"-Angriff auf das ukrainische Stromnetz.
Marc Holitscher, National Technology Officer bei Microsoft Schweiz, sagt dazu: "IoT- und OT-Geräte stellen für Unternehmen aller Branchen eine schnell wachsende und oft unkontrollierte Risikofläche dar. Cybersicherheit ist eines der kritischsten Themen unserer Zeit und wir müssen weiterhin mit allen Beteiligten zusammenarbeiten, um unsere Werte und Menschen in allen Umgebungen zu schützen."
OT ist eine Kombination von Hard- und Software in programmierbaren Systemen oder Geräten, die selbst mit der physischen Umwelt interagieren (oder Geräte managen, die das tun). Gebäudemanagement- und Brandschutzsysteme, Maschinen in der Fertigung sowie die physischen Zugangskontrollmechanismen wie Türen oder Aufzüge lassen sich als Beispielen nennen. Doch mit einer zunehmenden Vernetzung und zusammenwachsenden IT-, OT- und IoT-Systemen müssen Unternehmen sowie Einzelanwender überdenken, welche Auswirkungen sich daraus für das Cyberrisiko ergeben.
Ähnlich wie der Verlust eines Laptops mit den zwischengespeicherten Wifi-Anmeldedaten der Besitzer einem Dieb unerlaubten Netzwerkzugang verschaffen könnte, eröffnet die Kompromittierung der ferngesteuerten Geräte einer Produktionsanlage oder der Sicherheitskameras eines vernetzen Gebäudes neue Möglichkeiten für Bedrohungen wie Malware oder Industriespionage.
In einer Studie geht die International Data Corporation (IDC) davon aus, dass bis 2025 mehr als 41 Milliarden IoT-Geräte bei Unternehmen und privaten Verbrauchern in Betrieb sein werden. Doch Geräte wie Kameras, intelligente Lautsprecher oder Schliessanlagen sowie Industrieanlagen können zu möglichen Einstiegspunkten für Angreifende werden.
Da OT-Systeme, die Energie-, Transport- und andere Infrastrukturen unterstützen, im zunehmenden Masse mit IT-Systemen verbunden sind, verschwimmen die Grenzen zwischen diesen ehemals getrennten Welten und das Risiko von Störungen und Schäden wächst. Microsoft hat gemäss "Cyber Signals" in 75 Prozent der gängigsten industriellen Steuerungen in OT-Netzwerken von Kunden ungepatchte, hochgradig gefährliche Schwachstellen identifiziert. Das verdeutliche, wie schwierig es selbst für gut ausgestattete Unternehmen sei, Steuerungssysteme in anspruchsvollen und für Ausfallzeiten besonders sensiblen Umgebungen zu patchen.
Für Unternehmen und Betreiber von Infrastrukturen in allen Branchen sei es unerlässlich, sich einen vollständigen Überblick über vernetzte Systeme zu verschaffen und die sich entwickelnden Risiken und Abhängigkeiten abzuwägen. Anders als die IT-Landschaft mit ihren gängigen Betriebssystemen seien Geschäftsanwendungen und -plattformen stärker fragmentiert und verfügten über proprietäre Protokolle und Geräte, für die es möglicherweise keine Cybersicherheitsstandards gebe. Andere Faktoren wie fehlendes Patching oder Schwachstellenmanagement spielten in dem Zusammenhang ebenfalls eine Rolle.
Während vernetzte OT- und IoT-fähige Geräte für Unternehmen einen erheblichen Wert hätten, da sie helfen, die Arbeitsumgebung zu modernisieren, datengesteuerter zu arbeiten und Anforderungen an die Beschäftigten durch den Umstieg auf Remote-Management und Automatisierung in Netzwerken kritischer Infrastrukturen zu verringern, erhöhten sie doch bei unzureichender Sicherung das Risiko eines unbefugten Zugriffs auf Betriebsanlagen und Netzwerke.
Die Absicherung von IoT-Lösungen mit einem Zero-Trust-Sicherheitsmodell beginne mit nicht IoT-spezifischen Anforderungen – insbesondere damit sicherzustellen, dass die Grundlagen für die Absicherung von Identitäten und deren Geräten implementiert seien und den Zugriff beschränkten. Dazu gehöre auch, Nutzer ausdrücklich zu verifizieren, Einblicke in die Geräte im eigenen Netzwerk zu nehmen und Risiken in Echtzeit zu erkennen.
Weitere Empfehlungen, Informationen und Details finden sich in der aktuellen Ausgabe von "Cyber Signals", die es hier zum Nachlesen gibt.
