Angriffe auf das erweiterte Internet der Dinge

Kritisches schützen

25. August 2022, 7:00 Uhr | Chen Fradkin/wg
Claroty-Umfrage
Bei einer Claroty-Umfrage gaben fast die Hälfte der Unternehmen an, dass schon einmal ein Ransomware-Angriff eine OT- oder gar Kritis-Umgebung traf.
© Claroty

Immer mehr geraten auch Industrieanlagen und kritische Infrastrukturen (Kritis) ins Fadenkreuz von Cyberkriminellen und staatlich unterstützten Angreifern. Im Rahmen der Analyse von Schwachstellen in Industriesteuerungssystemen (ICS) identifizierten Sicherheitsforscher drei wesentliche Trends, die den Schutz von industriellen Systemen und Kritis-Anlagen betreffen.

Das erweiterte Internet der Dinge (Extended Internet of Things, XIoT) ist ein Sammelbegriff für die cyberphysischen Systeme, die immer mehr Einfluss auf wirtschaftliche Prozesse und den Alltag der Menschen haben. Der Begriff „XIoT“ beschreibt damit nicht nur das „klassische“ Internet of Things (IoT), sondern auch Gerätschaft, die anders als IoT-Devices nicht für die Internet-Anbindung konzipiert ist, insbesondere OT (Operational Technology, industrielle Betriebstechnik) und CPS (Cyber-Physical Systems, Verbund digitaler mit mechanischen und elektronischen Komponenten). Denn Industrieanlagen, medizinische Geräte etc. sind zunehmend mit dem Internet und der Cloud verbunden. Dies dient beispielsweise der Datenanalyse oder der Leistungsverfolgung und -steigerung. Diese Effizienzvorteile sind für die Betreiber attraktiv. Dabei muss aber der Schutz dieser Verbindungen für die Sicherheitsteams von größter Bedeutung sein, wenngleich dies auf mehreren Ebenen eine Herausforderung darstellt.

Die Sicherheitsforscher von Team82 haben Schwachstellen in per Cloud verwalteten OT-Geräten untersucht. Dabei richteten sie ihr Augenmerk nicht nur darauf, wie diese Geräte betroffen sein können, sondern auch auf die Verwaltungskonsolen in der Cloud. Gerade hier kann es besorgniserregende Lücken für Unternehmen geben, die Gerätschaft mit der Cloud verbinden. Eine Kompromittierung der Verwaltungskonsole ist einfach zu verstehen: Angreifer nutzen eine Schwachstelle in einer Cloud-Applikation und erhalten so Zugriff auf alle damit verwalteten Konten und Geräte. Sie können dann Exploits nutzen, um Code auf Geräten auszuführen, die per Cloud verwaltet werden. Dies gibt ihnen nicht nur die vollständige Kontrolle über ein Endgerät, sondern ermöglicht ihnen zudem laterale Bewegungen im Netzwerk. Laut Team82 ist es auch möglich, eine Schwachstelle in einem Gerät wie einer Cloud-verwalteten SPS (speicherprogrammierbare Steuerung) auszunutzen und schließlich das Cloud-basierte Host-Konto zu übernehmen.

Diese Top-down-/Bottom-up-Angriffsarten sind neu und haben sich als überaus wirksam erwiesen. Sie bedrohen die Prozessintegrität, indem sie Geräte wie eine SPS gefährden. Zudem bedrohen sie die Datenintegrität und werfen damit die Frage auf, ob Unternehmen den Daten-Uploads vertrauen können, die Geräte an die Cloud zurücksenden.

Personen, die konvergierte XIoT-Umgebungen beaufsichtigen, müssen eine Reihe potenzieller Schwachstellen berücksichtigen und wissen, wie Angreifer diese aus der Ferne oder lokal ausnutzen können. Zudem gilt es, die Sicherheit von Partnern wie Anbietern und Lieferanten im Blick zu behalten: Ein kompromittierter Anbieter mit Zugang zu sensiblen Systemen ist im Grunde eine Hintertür zu per Cloud verwalteten Systemen. Auch Hosts in Multimandanten-Umgebungen sind ein Risiko für Cloud-basierte XIoT-Systeme: Ein Angreifer, der Zugriff auf das von einem Dienstleister verwaltete Host-System hat, ist theoretisch in der Lage, jede der virtuellen Instanzen auf diesem Host anzugreifen und dadurch einen Single Point of Failure zu schaffen, also einen Bestandteil, dessen Ausfall den Ausfall des Gesamtsystems nach sich zieht. Dies ist die Risiko-Management-Gleichung, vor der XIoT-Betreiber heute stehen: Sie müssen die Risiken der Auslagerung des Managements von OT-, IoT-, medizinischer und sonstiger Geräteschaft in die Cloud gegen die Geschäfts- und Betriebsvorteile abwägen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. Kritisches schützen
  2. Neue Ransomware-Front

Verwandte Artikel

Claroty Ltd.

IoT-Security