In der ersten Jahreshälfte 2022 wurden bei fast 32 Prozent der durch Kaspersky-Lösungen geschützten OT-Computer weltweit schädliche Objekte blockiert. Diese Computer werden in der Öl- und Gasindustrie, im Energiesektor, in der Automobilherstellung, in der Gebäudeautomatisierung und in anderen Bereichen eingesetzt, um OT-Funktionen auszuführen – von den Arbeitsplätzen der Ingenieure und Operator bis hin zu SCADA-Servern (Supervisory Control and Data Acquisition) und Human Machine Interface (HMI).
Schädliche Skripte, Phishing-Seiten und Spyware
In den ersten sechs Monaten des Jahres 2022 versuchten Cyberkriminelle am häufigsten, Industriecomputer mit schädlichen Skripten und Phishing-Seiten (JS und HTML) anzugreifen. Diese Objekte wurden weltweit auf fast 13 Prozent der geschützten Computer blockiert. Diese Bedrohungsart wies auch das dynamischste Wachstum im Vergleich zum vorherigen Halbjahr auf und stieg um 3,5 Prozentpunkte.
Dabei sind schädliche Skripte und Phishing-Seiten eine der häufigsten Methoden zur Verbreitung von Spyware. Im ersten Halbjahr 2022 wurden solche auf 9 Prozent der OT-Computer weltweit entdeckt; dies entspricht einem Anstieg um 0,5 Prozentpunkte zwischen dem ersten Halbjahr 2022 und dem zweiten Halbjahr 2021. Des Weiteren wird Spyware über Phishing-E-Mails mit schädlichen Anhängen verbreitet. In der ersten Jahreshälfte blockierten Kaspersky-Lösungen etwa 6 Prozent hiervon.
„Es ist grundlegend, sowohl OT- als auch IT-Endpunkte mit einer dedizierten Lösung zu schützen, die ordnungsgemäß konfiguriert und auf dem neuesten Stand gehalten wird“, betont Kirill Kruglov, Senior Researcher des Kaspersky ICS CERT. „Das OT-Netz sollte getrennt, alle Fernverbindungen und die Kommunikation gesichert, überwacht, kontrolliert und jeglicher unbefugter Zugriff verhindert werden. Ein proaktiver Ansatz zur Identifizierung und Beseitigung möglicher Schwachstellen und relevanter Bedrohungen könnte Kosten für Zwischenfälle in Millionenhöhe einsparen.“
Gebäudeautomation birgt Schwachstellen innerhalb der OT-Infrastruktur
Fast die Hälfte der Computer (42 Prozent) in der Gebäudeautomatisierungsinfrastruktur, die auch als Gebäudemanagementsysteme (BMS) bezeichnet werden, waren Cyberbedrohungen ausgesetzt. Diese Rechner gehören normalerweise Dienstleistungsunternehmen, die automatisierte Systeme in Geschäfts- oder Einkaufszentren, Gemeinden und anderen Arten öffentlicher Infrastrukturen verwalten. Industrieanlagen und kritische Infrastrukturobjekte sind häufig Eigentümer der Gebäudemanagementsysteme vor Ort.
Im ersten Halbjahr 2022 waren diese die angreifbarste Art von OT-Infrastrukturen. Sie nahmen die Spitzenposition ein, was den Prozentsatz der von verschiedenen Bedrohungsquellen betroffenen Geräte angeht, nämlich Internetressourcen (23 Prozent), schädliche E-Mail-Anhänge und Phishing-Links (14 Prozent) schädliche Dokumente (11 Prozent) sowie Trojaner, Backdoors und Keylogger (13 Prozent). Dies dürfte darauf zurückzuführen sein, dass Ingenieure und Betreiber von Gebäudeautomation Internetressourcen und E-Mail aktiver als in anderen OT-Infrastrukturen nutzen. Außerdem ist die Gebäudeleittechnik möglicherweise nicht ordnungsgemäß von anderen internen Netzwerken im Gebäude getrennt und kann daher ein attraktives Ziel für erfahrene Bedrohungsakteure sein.
„Es liegt nahe, dass diese Art von Umgebung die Auswirkungen der Aktivitäten von Angreifern zu spüren bekommt, da sie stark gefährdet und der Reifegrad der Cybersicherheit relativ niedrig ist“, ergänzt Kirill Kruglov. „Angreifer kompromittieren Systeme, die potenziell Verbindungen zu internen Netzwerken von Fabriken, öffentlichen Räumen oder sogar kritischen Infrastruktureinrichtungen haben könnten. Was Smart Cities und öffentliche Infrastrukturen betrifft, so können die Systeme ein ganzes Stadtviertel mit Zugang zu Beleuchtungssteuerung, Straßenverkehrsmanagement und -informationen sowie anderen Arten von Diensten für die Bürger verwalten. Ein echtes „Kinderspiel“ für Täter. Noch alarmierender ist, dass 14 Prozent aller Gebäudeverwaltungssysteme (BMS) mit Phishing-E-Mails angegriffen wurden, was doppelt so hoch ist wie der weltweite Durchschnitt.“
Empfehlungen zum Schutz von OT-Computern
Regelmäßig Sicherheitsbewertungen von OT-Systemen durchführen, um mögliche Cybersicherheitsprobleme zu erkennen und zu beseitigen.
Einrichtung einer kontinuierlichen Schwachstellenbewertung und -triage als Grundlage für ein effektives Schwachstellenmanagement. Spezielle Lösungen wie Kaspersky Industrial CyberSecurity können ein effizienter Assistent und eine verlässliche Quelle für einzigartige und verwertbare Informationen sein, die im öffentlich-digitalen Raum nicht vollständig verfügbar sind.
Regelmäßig Updates für die Schlüsselkomponenten des OT-Netzwerks des Unternehmens durchführen und Sicherheitsfixes und Patches installieren, sobald dies technisch möglich ist.
Einsatz von EDR-Lösungen wie Kaspersky Endpoint Detection and Response zur rechtzeitigen Erkennung komplexer Bedrohungen, zur Untersuchung und zur effektiven Behebung von Sicherheitsvorfällen.
Verbesserung der Reaktion auf neue und fortschrittliche schädliche Techniken durch den Aufbau und die Stärkung der Fähigkeiten des verantwortlichen Teams zur Vorfallprävention, -erkennung und -reaktion. Dedizierte OT-Sicherheitsschulungen für IT-Sicherheitsteams und OT-Personal sind eine der wichtigsten Maßnahmen, um diesen Status zu erreichen.