Wie die digitale Transformation Kraftwerke anfällig für Angriffe macht

Die digitale Transformation der Betriebstechnik (OT) zur Überwachung und Steuerung physischer Prozesse hat neue blinde Flecken geschaffen und andere vergrößert, wodurch industrielle Steuerungssysteme (ICS) anfällig für nationalstaatliche Angriffe werden.

Wir haben bereits Terroranschläge gesehen, bei denen das Durchbrechen eines Kraftwerks Vorrang vor dem Angriff auf ein dicht besiedeltes Gebiet mit militärischen Waffen eingeräumt wurde. Denken Sie an den Angriff auf das Stromnetz im Dezember 2015, der mehr als 230.000 Menschen in der Westukraine für mehr als sechs Stunden im Dunkeln ließ. Das Land machte Russland für den Angriff verantwortlich. Zwölf Monate später wurde das Stromnetz erneut ins Visier genommen, diesmal in großen Teilen der Hauptstadt Kiew. Ein Stromverteiler in Puerto Rico erlitt diesen Juni einen Denial-of-Service-Cyberangriff, der Hunderttausende von Einwohnern ausfiel, bevor ein Feuer das Umspannwerk verwüstete.

Es ist nicht weit hergeholt zu glauben, dass ein nationalstaatlicher Angriff darauf abzielen könnte, in einer Großstadt wie New York einen wochenlangen Stromausfall zu verursachen. Experten gehen sogar davon aus, dass in diesem Bereich wahrscheinlich etwas passieren wird.

Ein von Siemens gesponserter Bericht des Ponemon Institute ergab, dass 56 % der befragten OT-Sicherheitsexperten in den letzten 12 Monaten mindestens einen Angriff mit Verlust privater Informationen oder einem Ausfall in ihrer OT-Umgebung gemeldet haben.

Wie sind diese Angriffsarten so beliebt geworden? Und was muss getan werden, um eine sicherere OT-Umgebung zu fördern?

Die vierte industrielle Revolution

Versorgungsunternehmen modernisieren und suchen nach Effizienz- und Produktivitätsgewinnen. Um diese Ziele zu erreichen, müssen viele Prozesse digitalisiert und automatisiert werden, die zuvor intern und manuell durchgeführt wurden. Dieser Übergang vollzieht sich so schnell, dass die Sicherheit nur im Nachhinein betrachtet wird.

Die schnelle digitale Überarbeitung industrieller Prozesse, die weithin als die vierte industrielle Revolution bezeichnet wird, bringt mehr Systeme und Prozesse online. Dies schafft von Natur aus mehr potenzielle Einstiegspunkte für Bedrohungsakteure, und da so viele Branchen dies gleichzeitig tun, besteht eine größere Chance für einen folgenreicheren Angriff.

In früheren Jahrzehnten waren die Rechenzentren und Mainframes, auf denen ICS-Komponenten ausgeführt wurden, „Air Gap“, dh die IT-Systeme befanden sich in einem lokalen Netzwerk, aber nicht mit dem Internet verbunden. Viele Einrichtungen dachten fälschlicherweise, dass ihre Systeme dadurch vor Angriffen geschützt wären, aber sie waren immer noch anfällig für Angriffe vor Ort wie einen „Bash-Bunny“-Angriff, der ein System mit einem Virus über ein USB-Gerät kompromittieren könnte.

Dies war im Iran der Fall, als das Atomkraftwerk Buschehr mit dem Wurm Stuxnet angegriffen wurde. Stuxnet wird über ein Flash-Laufwerk in das Netzwerk eingeführt und verbreitet sich dann, um andere Assets im Netzwerk zu infizieren, wie z. B. die Zentrifugen, die zur Anreicherung von Urangas verwendet werden.

Da immer mehr Versorgungsunternehmen und OT-Einrichtungen darum ringen, ihre Systeme online zu stellen, haben sie als einen der Schritte in diesem Prozess keine angemessenen Ressourcen für die Sicherheit zugewiesen. Je mehr ältere Geräte verbunden sind und Geräte für das Internet der Dinge (IoT) hinzugefügt werden, desto größer ist die Angriffsfläche für potenzielle Bedrohungsakteure.

Die Bedrohungsakteure entwickeln sich weiter

Die zunehmend kreative und ausgeklügelte Art und Weise, mit der Bedrohungsakteure Organisationen ausnutzen, verstärken das Problem der laschen Sicherheit. Tatsächlich sind sie nicht immer diejenigen, die das Netzwerk infiltrieren.

Laut der Studie des Ponemon Institute machen Insider-Bedrohungen den Großteil der OT-Angriffe aus. Einer der bemerkenswertesten war 1999 im damaligen australischen Shire of Maroochy. Ein verärgerter Arbeiter, der die Abwasserrohre verwaltete, trat zurück und nutzte kurz darauf das System durch eine Raubkopie der Steuersystemsoftware aus.

Insider-Bedrohungen sind nicht immer böswillige Mitarbeiter; fahrlässige Benutzer werden häufig Opfer von Phishing-Angriffen, verwenden schwache Passwörter und klicken auf Links, die Hackern Zugriff gewähren. Ein weiterer häufiger Vektor sind Dritte oder Auftragnehmer, die eine Tür zum Netzwerk öffnen und zu Ausbeutung führen. Bei dem Angriff auf die Lieferkette von Kaseya verschaffte sich die Ransomware-Bande REvil durch ein Software-Update Zugang zu Hunderten von Unternehmen. Dritte sind im Allgemeinen nicht sicher und Unternehmen sollten nicht davon ausgehen, dass sie es sind.

Gartner ist optimistisch in Bezug auf die OT-Sicherheit und hat Alarm geschlagen, dass Industrieunternehmen Schwierigkeiten haben, geeignete Kontrollrahmen zu definieren. Gartner sagt auch, dass Angreifer bis 2025 „mit Waffen ausgerüstete OT-Umgebungen haben werden, um Menschen erfolgreich zu verletzen oder zu töten“.

Zu viele Unternehmen sind in den letzten Jahrzehnten so tief in ihren Prozessen verwurzelt, dass sie diese Hacks, Sicherheitsverletzungen und Angriffe aus Schlagzeilen nicht als Bedrohung für sich selbst betrachten. Sie wollen nicht reparieren, was ihrer Meinung nach nicht kaputt ist. Tatsächlich sehen sie nicht einmal das Potenzial, dass es kaputt geht, bis es kaputt geht.

Ein neuer Ansatz zur Sicherung von OT

Unternehmen benötigen einen angemessenen Einblick in ihre Netzwerke und ein umfassendes Verständnis bis hin zur einzelnen Asset-Ebene, einschließlich der Verbindung dieser Ressourcen und Benutzer untereinander und mit den Netzwerken als Ganzes. Oft werden diejenigen, die sich endlich mit den Details ihrer Netzwerke auseinandersetzen, auf Geisterressourcen stoßen, von denen sie nichts wussten. Dies sind Sicherheitsprobleme, die Sie erkennen müssen, bevor sie ausgenutzt werden.

Der erste Schritt, den Unternehmen unternehmen können, um sich besser zu schützen, besteht darin, ihre Mitarbeiter mit umfassenden Sicherheitsschulungen in Bezug auf die richtige Sicherheitshygiene zu schulen. Allzu oft tun die Unternehmen, die die Sicherheit beleuchten, dies willkürlich, mit einer schnellen Präsentation und ohne Rücksprache mit den Mitarbeitern hinsichtlich der Bedeutung des gerade Gelernten.

Die oberste Priorität wird immer die Effektivität und Funktionalität von OT-Maschinen sein, aber was nützen sie, wenn sie angegriffen werden? Mitarbeiter darüber aufzuklären, worauf sie achten müssen und wie häufig Angriffe geworden sind, könnte viel bewirken.

Ein aufmerksamer Mitarbeiter hat im März 2021 eine Katastrophe abgewendet, als das Wassersystem in Oldsmar, Florida, gehackt wurde und der Natriumhydroxidgehalt durch einen Bedrohungsakteur auf ein gefährliches Niveau angehoben wurde. Zum Glück hatte ein Ingenieur die Situation im Griff, bemerkte die Veränderung und erkannte schnell, dass es sich um einen Angriff und nicht nur um eine Fehlfunktion handelte.

Im Oktober mussten überall im Iran Stationen schließen. Das Land sagte, ein Cyberangriff sei schuld und zielte auf von der Regierung ausgegebene elektronische Karten ab, die die Treibstoffpreise für Iraner subventionieren.

Um sich vor Angriffen wie diesen zu schützen, benötigen Unternehmen einen vollständigen Einblick in ihre Netzwerke, damit sie alle verbundenen und anfälligen Assets sehen können. Aber das ist nur der erste Schritt. Es stehen umfassende OT-Sicherheitstools zur Verfügung, die Warnungen auf ICS-Maschinen nicht nur für Sicherheitsmaßnahmen, sondern auch für Produktivitätswarnungen bereitstellen. Angemessene Sicherheitskontrollen bieten Transparenz und Reaktionsfähigkeit für das OT-Netzwerk, ohne den täglichen Betrieb zu beeinträchtigen oder wesentliche Änderungen am Netzwerk vorzunehmen.

Passive Technologien können Aktivitäten überwachen, ohne sensible OT-Netzwerke in irgendeiner Weise zu beeinträchtigen, im Gegensatz zu disruptiven „Inline“-Plattformen. Die richtige passive Plattform wird in der Lage sein, hohe Durchsätze zu erreichen und minimale Fehlalarmraten zu gewährleisten.

Der Einsatz neuer Tools kann für OT-Führungskräfte, die nur ungern bewährte Prozesse ändern, entmutigend sein, aber es ist besser, vorbereitet zu sein, als in Angst vor einem möglichen Angriff zu leben, der sowohl dem Unternehmen als auch seinen Verbrauchern weitreichenden Schaden zufügt.

Elad Ben-Meir ist Chief Executive Officer von SCADAfence.