Die Einzigartigkeit der OT/ICS-Bedrohungslandschaft

Die Welt der Operational Technology (OT) und Industrial Control Systems (ICS) unterscheidet sich grundlegend von der Information Technology (IT). Während in der IT Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade) typischerweise priorisiert werden, stehen in der OT-Umgebung die Sicherheit von Menschen und Anlagen sowie die kontinuierliche Verfügbarkeit der Prozesse an erster Stelle. Ein Ausfall oder eine Manipulation eines ICS kann katastrophale Folgen haben – von Produktionsstillstand und finanziellen Verlusten bis hin zu Umweltschäden und Lebensgefahr. Diese fundamentalen Unterschiede erfordern einen maßgeschneiderten Ansatz für die Bedrohungsanalyse und -abwehr, bekannt als OT/ICS Threat Intelligence.

Warum OT/ICS anders ist

Die spezifische Natur der OT-Systeme schafft eine einzigartige Angriffsfläche und erfordert angepasste Sicherheitsstrategien:

  • Prioritätenverschiebung: In der OT ist die Verfügbarkeit oberstes Gebot, gefolgt von Sicherheit (Safety) und erst dann Integrität und Vertraulichkeit. Ein Systemneustart zur Behebung eines IT-Sicherheitsproblems ist in der OT oft keine Option, da dies den gesamten Produktionsprozess unterbrechen könnte.
  • Lebenszyklus und Legacy-Systeme: Viele OT-Systeme sind jahrzehntealt, wurden für eine nicht-vernetzte Welt konzipiert und haben einen Lebenszyklus von 15-30 Jahren oder mehr. Sie laufen oft auf veralteten Betriebssystemen oder proprietärer Hardware, die keine modernen Sicherheitsfunktionen unterstützen und nicht einfach gepatcht werden können.
  • Echtzeitanforderungen: Industrielle Prozesse erfordern oft Reaktionen in Millisekunden. Aktive Scans, die die Netzwerklast erhöhen, oder Agenten, die Latenz verursachen, können kritische Störungen hervorrufen.
  • Proprietäre Protokolle und Hardware: Neben weit verbreiteten Protokollen wie Modbus oder DNP3 gibt es eine Vielzahl von herstellerspezifischen, oft undokumentierten Protokollen und Geräten, die eine Herausforderung für die Überwachung darstellen.
  • Physische Auswirkungen: Cyberangriffe auf OT können direkte physische Schäden verursachen, Maschinen zerstören, Produkte verunreinigen oder die Umwelt schädigen. Dies verleiht OT-Sicherheitsvorfällen eine zusätzliche Dimension der Dringlichkeit und des Risikos.

Historische Entwicklung und aktuelle Bedrohungen

Die Bedrohungslandschaft für OT/ICS hat sich dramatisch entwickelt. Früher galten OT-Netzwerke als „air-gapped“ und somit als sicher. Die zunehmende Konvergenz von IT und OT, oft getrieben durch Digitalisierungsinitiativen wie Industrie 4.0, hat diese Barriere jedoch durchbrochen und neue Angriffsvektoren geschaffen. Prominente Beispiele wie Stuxnet (2010), das iranische Urananreicherungsanlagen manipulierte, oder Industroyer/Crashoverride (2016), das Teile des ukrainischen Stromnetzes lahmlegte, haben die Welt auf die potenziellen Auswirkungen von Cyberangriffen auf kritische Infrastrukturen aufmerksam gemacht. Jüngere Vorfälle wie der Angriff auf Colonial Pipeline (2021) verdeutlichen, dass auch „einfache“ Ransomware-Angriffe auf die IT-Seite eines Unternehmens indirekt weitreichende Auswirkungen auf die OT haben können, indem sie den Betrieb aus Sicherheitsgründen zum Erliegen bringen.

Quellen und Methoden der OT/ICS Threat Intelligence

Effektive OT/ICS Threat Intelligence basiert auf der Sammlung, Analyse und Bereitstellung relevanter Informationen über aktuelle und aufkommende Bedrohungen. Dies erfordert eine Kombination aus internen und externen Quellen.

Interne und externe Quellen

Die Bedrohungsanalyse für OT/ICS-Umgebungen muss sowohl unternehmensspezifische Daten als auch globale Bedrohungsinformationen berücksichtigen:

  • Interne Quellen:
    • Asset Inventory: Eine vollständige und aktuelle Liste aller OT-Assets, einschließlich Hardware, Software, Firmware-Versionen und Netzwerkverbindungen, ist die Grundlage.
    • Netzwerkprotokolle: Logs von Firewalls, IDS/IPS, OT-spezifischen Netzwerk-Monitoring-Lösungen und Switches.
    • Systemprotokolle: Ereignisprotokolle von SCADA-Servern, HMIs und Engineering Workstations.
    • Vulnerability Assessments: Ergebnisse von nicht-invasiven Schwachstellenscans und Penetrationstests im OT-Kontext.
    • Incident Reports: Dokumentation vergangener Sicherheitsvorfälle, auch kleinerer Art, kann wertvolle Einblicke in Angriffsvektoren liefern.
  • Externe Quellen:
    • Regierungsbehörden: Organisationen wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland oder CISA (Cybersecurity and Infrastructure Security Agency) in den USA veröffentlichen regelmäßig Warnungen und Empfehlungen für kritische Infrastrukturen.
    • ISACs (Information Sharing and Analysis Centers): Branchenspezifische ISACs (z.B. E-ISAC für Energie, OT-ISAC für Operational Technology) erleichtern den Austausch von Bedrohungsinformationen zwischen Mitgliedern.
    • Anbieter von OT-Sicherheitslösungen: Firmen wie Dragos, Claroty, Nozomi Networks und Mandiant bieten spezialisierte OT Threat Intelligence Feeds an.
    • Open-Source Intelligence (OSINT): Öffentliche Quellen wie Sicherheitsblogs, Foren, wissenschaftliche Publikationen und Dark-Web-Monitoring können Hinweise auf neue Bedrohungen und Taktiken geben.
    • Hersteller-Advisories: Informationen über Schwachstellen in spezifischen PLCs, SCADA-Software oder anderen OT-Komponenten, die von den Herstellern veröffentlicht werden.

Spezifische Indikatoren und TTPs

Im Gegensatz zur IT, wo Dateihashes oder IP-Adressen gängige Indicators of Compromise (IoCs) sind, erfordert OT/ICS Threat Intelligence das Verständnis von spezifischen Taktiken, Techniken und Prozeduren (TTPs), die auf industrielle Systeme abzielen:

  • Abnormale Protokollkommunikation: Ungewöhnliche Modbus-Funktionscodes, DNP3-Befehle oder EtherNet/IP-Messages, die nicht dem normalen Prozessablauf entsprechen.
  • PLC-Programm-Manipulation: Unautorisierte Programmänderungen, Firmware-Updates oder Konfigurationsänderungen an PLCs.
  • Spezifische Malware-Signaturen: Erkennung von OT-spezifischer Malware wie TRITON, Industroyer oder BlackEnergy.
  • Anomalien in Prozesswerten: Plötzliche, unerklärliche Änderungen von Sensorwerten, Sollwerten oder Aktuatorzuständen.
  • Remote-Zugriff auf Engineering Workstations: Unerwarteter oder unautorisierter Fernzugriff auf Systeme, die zur Programmierung oder Wartung von OT-Geräten verwendet werden.
  • Verwendung von Standard-IT-Tools in der OT: Angreifer nutzen oft Standard-IT-Tools (z.B. PowerShell, PsExec) für laterale Bewegungen oder Datenexfiltration innerhalb des OT-Netzwerks, was bei genauer Betrachtung verdächtig sein kann.

„Die Komplexität von OT-Netzwerken und die Notwendigkeit, Echtzeitprozesse zu schützen, erfordern einen paradigmatischen Wechsel in der Art und Weise, wie wir Bedrohungsdaten sammeln und analysieren.“

Überwachung kritischer OT/ICS-Komponenten und Protokolle

Die effektive Überwachung von SCADA-Systemen, PLCs und Industrieprotokollen ist entscheidend, um Angriffe frühzeitig zu erkennen und abzuwehren. Dies erfordert ein tiefes Verständnis der Funktionsweise und potenziellen Schwachstellen dieser Komponenten.

SCADA-Systeme und ihre Schwachstellen

SCADA (Supervisory Control and Data Acquisition)-Systeme sind das Rückgrat vieler industrieller Prozesse und bieten eine zentrale Schnittstelle zur Überwachung und Steuerung. Sie bestehen typischerweise aus HMI-Workstations (Human-Machine Interface), SCADA-Servern, Historian-Datenbanken und Kommunikationsgateways zu den Feldgeräten. Schwachstellen können an verschiedenen Stellen auftreten:

  • HMI-Anwendungen: Anfällig für Software-Schwachstellen (z.B. Pufferüberläufe, SQL-Injections bei Web-basierten HMIs) oder die Ausnutzung von Standard-Betriebssystem-Schwachstellen (z.B. veraltete Windows-Versionen).
  • SCADA-Server: Können Ziel von Malware oder unautorisierten Konfigurationsänderungen sein.
  • Kommunikationswege: Unsichere Verbindungen zwischen HMI, Server und Feldgeräten können abgehört oder manipuliert werden.

Die Überwachung konzentriert sich hier auf ungewöhnliche Anmeldeversuche an HMI/Servern, unautorisierte Prozessänderungen über die HMI, oder Anomalien in den von den SCADA-Anwendungen verarbeiteten Daten.

PLCs: Zielscheibe für Angreifer

Programmierbare Logiksteuerungen (PLCs) sind die „Muskeln“ der industriellen Automatisierung. Sie empfangen Anweisungen von SCADA-Systemen oder direkt von Sensoren und steuern Aktuatoren. PLCs sind oft die ultimative Angriffsfläche, da eine erfolgreiche Manipulation direkte physische Auswirkungen hat. Ihre Schwachstellen umfassen:

  • Firmware-Schwachstellen: Bugs oder Hintertüren in der PLC-Firmware.
  • Unzureichende Authentifizierung/Autorisierung: Viele ältere PLCs bieten keine oder nur schwache Mechanismen zur Überprüfung, wer Programme hoch- oder herunterladen darf.
  • Speichermanipulation: Direkte Änderungen an PLC-Speicherregistern, die Prozessvariablen oder Steuerungsparameter enthalten.
  • Logik-Manipulation: Einschleusen bösartiger Logik, die den Prozess sabotiert, ohne offensichtliche Alarme auszulösen.

Die Überwachung von PLCs erfordert oft passive Netzwerküberwachung, um Änderungen an der Programm-Logik, ungewöhnliche Schreibvorgänge in Registern oder unautorisierte Firmware-Updates zu erkennen.

Industrieprotokolle im Fokus: Modbus und DNP3

Die Kommunikation zwischen SCADA-Systemen, HMIs und PLCs erfolgt über Industrieprotokolle. Zwei der prominentesten sind Modbus und DNP3.

Modbus: Einfachheit als Schwachstelle

Modbus ist eines der ältesten und am weitesten verbreiteten Industrieprotokolle. Seine Einfachheit ist gleichzeitig seine größte Schwachstelle: Es bietet von Haus aus keine Authentifizierung oder Verschlüsselung. Dies bedeutet, dass jeder, der Zugriff auf das Netzwerk hat, Modbus-Kommunikation abhören und manipulieren kann.

Typische Angriffe auf Modbus umfassen:

  • Abhören (Eavesdropping): Auslesen von Prozessdaten (z.B. Sensorwerte aus Holding Registern).
  • Befehlsinjektion: Senden unautorisierter Schreibbefehle (z.B. Force Single Coil, Write Multiple Registers), um Aktuatoren zu steuern oder Sollwerte zu ändern.
  • Denial of Service: Überflutung des Modbus-Netzwerks mit ungültigen Anfragen.

Praktisches Beispiel: Erkennung einer Modbus-Manipulation

Angenommen, ein Angreifer versucht, ein Ventil, das an Coil 0x01 (Adresse 1) eines Modbus-Slaves hängt, unautorisiert zu schließen. Ein normaler Modbus-Befehl zum Schließen des Ventils (Coil = OFF) könnte wie folgt aussehen (Modbus TCP):

Transaction ID: 0x0001 Protocol ID: 0x0000 Length: 0x0006 Unit ID: 0x01 Function Code: 0x05 (Force Single Coil) Output Address: 0x0001 (Coil 1) Output Value: 0x0000 (OFF) 

Ein OT-IDS oder eine passive Netzwerküberwachungslösung würde diese Kommunikation analysieren. Wenn normalerweise nur bestimmte Master-Geräte Schreibzugriff auf dieses Coil haben, oder wenn der Befehl zu einem unüblichen Zeitpunkt oder mit einem unerwarteten Wert gesendet wird, kann dies als Anomalie markiert werden. Ein Suricata-Regel könnte beispielsweise nach ungewöhnlichen Schreibvorgängen suchen:

alert modbus any any -> any any (msg:"MODBUS_ALERT: Unauthorized Write to Coil 1"; flow:to_server; modbus.func == 0x05; modbus.addr == 0x0001; modbus.value == 0x0000; sid:1000001; rev:1;) 

Diese Regel ist sehr einfach und würde viele False Positives erzeugen, wenn der Master häufig Coil 1 setzt. In der Praxis werden solche Regeln durch Kontext (z.B. nur von bestimmten Quell-IPs, nur außerhalb bestimmter Zeitfenster) und Verhaltensanalyse verfeinert.

DNP3: Robustheit mit Tücken

DNP3 (Distributed Network Protocol 3) ist komplexer und robuster als Modbus, insbesondere in der Energieversorgung weit verbreitet. Es unterstützt Mechanismen wie Zeitstempel, Ereignispufferung und, in der Version Secure Authentication v5, auch Authentifizierung und Integritätsschutz. Trotzdem ist DNP3 nicht immun gegen Angriffe:

  • Fehlende Implementierung von Secure Authentication: Viele ältere oder nicht korrekt konfigurierte DNP3-Systeme verwenden die Secure Authentication nicht, wodurch sie anfällig für Befehlsinjektionen sind.
  • Replay-Angriffe: Ohne Secure Authentication können aufgezeichnete DNP3-Befehle wiederholt werden.
  • Denial of Service: Auch hier kann eine Überflutung des Kommunikationskanals zu Ausfällen führen.

Die Überwachung von DNP3-Verkehr erfordert tiefe Protokollkenntnisse, um gültige von bösartigen Befehlen zu unterscheiden, insbesondere wenn Secure Authentication nicht aktiv ist. Ungewöhnliche DNP3-Funktionscodes (z.B. Freeze, Operate ohne vorherigen Select), das Fehlen erwarteter Authentifizierungs-Header oder unerwartete Änderungen an Datenobjekten sind wichtige IoCs.

Praktische Implementierung von OT/ICS Threat Intelligence

Die effektive Nutzung von OT/ICS Threat Intelligence erfordert eine Kombination aus spezifischen Technologien, Prozessen und qualifiziertem Personal.

Technologien und Werkzeuge

Die Auswahl der richtigen Werkzeuge ist entscheidend für die Implementierung von OT/ICS Threat Intelligence:

  • Passive Network Monitoring (PNM) / ICS-spezifische IDS: Diese Lösungen (z.B. von Nozomi Networks, Claroty, Dragos) können den OT-Netzwerkverkehr ohne aktive Interaktion analysieren. Sie verstehen die Industrieprotokolle, erstellen ein vollständiges Asset-Inventar und erkennen Anomalien basierend auf bekannten Bedrohungen und Verhaltensmustern.
  • Vulnerability Management für OT: Nicht-intrusive Scanner und spezialisierte Dienste, die Schwachstellen in OT-Komponenten identifizieren, ohne den Betrieb zu gefährden.
  • Sichere Fernzugriffslösungen: Für Wartungszwecke müssen Fernzugriffe streng kontrolliert und überwacht werden, um einen Angriffsvektor zu schließen.
  • Security Information and Event Management (SIEM): Eine zentrale Plattform zur Korrelation von OT- und IT-Sicherheitsereignissen. OT-spezifische Alarme und Protokolldaten müssen in das SIEM integriert werden, um ein ganzheitliches Bild der Bedrohungslage zu erhalten.

Integration in das Security Operations Center (SOC)

Die Integration von OT/ICS Threat Intelligence in ein bestehendes SOC ist eine große Herausforderung, aber unerlässlich für eine kohärente Sicherheitsstrategie:

  • Spezialisierte Analysten: SOC-Analysten benötigen Schulungen im Bereich OT/ICS, um die Konsequenzen von Alarmen zu verstehen und False Positives von echten Bedrohungen zu unterscheiden. Idealerweise gibt es dedizierte OT-Sicherheitsexperten im SOC.
  • OT-spezifische Playbooks: Incident Response Playbooks müssen an die Besonderheiten der OT angepasst werden. Maßnahmen, die in der IT üblich sind (z.B. System isolation, Neustart), sind in der OT oft nicht anwendbar oder müssen mit großer Vorsicht durchgeführt werden.
  • Kontextualisierung von Alarmen: Ein alarmierendes Ereignis im OT-Netzwerk muss im Kontext des industriellen Prozesses bewertet werden. Ist die Änderung eines Sollwerts Teil eines geplanten Produktionswechsels oder ein bösartiger Eingriff?

Fallbeispiele und Anwendungsfälle

  • Erkennung von PLC-Programmänderungen: Ein OT-IDS erkennt, dass ein neues Programm auf eine PLC geladen wird, das nicht von einer autorisierten Engineering Workstation stammt oder außerhalb geplanter Wartungsfenster erfolgt. Dies könnte auf eine Manipulation hindeuten.
  • Anomalie-Erkennung bei Modbus/DNP3-Befehlen: Ein System detektiert Modbus-Schreibbefehle an einem normalerweise nur lesenden Coil, oder DNP3-Befehle, die von einem nicht-authentifizierten Gerät gesendet werden, obwohl Secure Authentication aktiviert sein sollte.
  • Reaktion auf CISA ICS Advisories: Ein neues Advisory warnt vor einer Schwachstelle in einer spezifischen Siemens S7-SPS. Die OT-Threat-Intelligence-Plattform gleicht diese Information mit dem Asset-Inventar ab und identifiziert betroffene Geräte, was eine gezielte Patch-Strategie oder Kompensationsmaßnahmen ermöglicht.

Herausforderungen und Zukunftsperspektiven

Obwohl OT/ICS Threat Intelligence entscheidend ist, gibt es erhebliche Herausforderungen, die angegangen werden müssen, um ihr volles Potenzial auszuschöpfen.

Datenerfassung und -analyse

Die passive Natur der OT-Überwachung erschwert die Datenerfassung. Viele Legacy-Geräte bieten keine umfassenden Logging-Funktionen, und aktive Scans sind oft tabu. Die schiere Menge und Komplexität der Protokolldaten erfordert zudem fortschrittliche Analysefähigkeiten, um relevante IoCs und TTPs aus dem Rauschen herauszufiltern. Die Integration von OT-Daten in SIEM-Systeme muss sorgfältig geplant werden, um eine Überlastung zu vermeiden und gleichzeitig die nötige Granularität zu gewährleisten.

Qualifiziertes Personal

Es besteht ein erheblicher Mangel an Sicherheitsexperten, die sowohl über tiefgreifendes IT-Sicherheitswissen als auch über spezifische Kenntnisse der OT-Systeme und industriellen Prozesse verfügen. Der Aufbau solcher Teams erfordert erhebliche Investitionen in Ausbildung und Schulung. Die Zusammenarbeit zwischen IT-Sicherheitsteams und OT-Betriebsteams ist dabei von größter Bedeutung.

Standardisierung und Zusammenarbeit

Die Fragmentierung der OT-Landschaft – mit vielen verschiedenen Herstellern, proprietären Systemen und Protokollen – erschwert die Standardisierung von Sicherheitsmaßnahmen und den Austausch von Threat Intelligence. Initiativen wie das MITRE ATT&CK for ICS Framework sind wichtige Schritte zur Standardisierung der Beschreibung von TTPs, aber es bedarf weiterer Bemühungen, um einen breiteren Konsens und gemeinsame Best Practices zu etablieren. Eine stärkere Zusammenarbeit zwischen Industrie, Regierungen und Forschungseinrichtungen ist unerlässlich, um die kollektive Abwehrfähigkeit gegen komplexe OT-Bedrohungen zu stärken.

Die Zukunft der OT/ICS Threat Intelligence wird voraussichtlich durch den verstärkten Einsatz von künstlicher Intelligenz und maschinellem Lernen geprägt sein, um Anomalien in großen Datenmengen zu erkennen und die Effizienz der Bedrohungsanalyse zu verbessern. Gleichzeitig wird die Bedeutung der Supply Chain Security zunehmen, da Angreifer zunehmend die Lieferkette nutzen, um in kritische OT-Umgebungen einzudringen. Die kontinuierliche Anpassung und Weiterentwicklung der OT/ICS Threat Intelligence ist somit keine Option, sondern eine Notwendigkeit, um die Resilienz unserer kritischen Infrastrukturen in einer zunehmend vernetzten und bedrohten Welt zu gewährleisten.

Benötigen Sie Cybersecurity-Beratung?

Unser Team hilft Ihnen, Ihre IT-Infrastruktur zu sichern und Bedrohungen proaktiv zu erkennen.

Kontakt aufnehmen