Dutzende Schwachstellen in OT-Komponenten

Security-Forscher von Forescout haben in der Industrie im Einsatz stehende OT-Komponenten (Operational Technology) unter die Lupe genommen und insgesamt 56 Schwachstellen entdeckt. [...]

Foto: MichalJarmoluk/Pixabay

Die Hersteller von OT-Komponenten (Operational Technology) sind weit davon entfernt, fundamentale Secure-by-Design-Prinzipien zu beachten. So kann das Fazit lauten, wenn man sich die Ergebnisse einer Studie der IT-Scurity-Spezialistin Forescout zu Gemüte führt.

Denn die Experten haben 56 Schwachstellen in OT-Komponenten von zehn verschiedenen Herstellern entdeckt. Das Besondere bei den Sicherheitslücken: Sie beruhen nicht auf eigentlichen Programmierfehlern, sondern auf mangelhafter Implementierung und unzureichendem Design der entsprechenden Funktionalitäten.

Betroffen sind OT-Komponenten von namhaften Firmen wie Emerson, Honeywell, Motorola und Siemens.

„Unter Ausnutzung dieser Schwachstellen können Angreifer mit Netzwerkzugriff auf ein Zielgerät aus der Ferne Code ausführen, die Logik, Dateien oder Firmware von OT-Geräten ändern, die Authentifizierung umgehen, Anmeldedaten kompromittieren“, berichten die Forescout-Forscher in dem Report.

Schlussendlich könnten Hacker so die Geräte außer Betrieb nehmen oder eine Reihe von betrieblichen Störungen verursachen, heißt es weiter.

Konkret handelt es sich bei den identifizierten Schwachstellen, die unter der Bezeichnung „OT:Icefall“ zusammengefasst wurden, hauptsächlich um unsichere Protokolle, Implementierungen schwacher Verschlüsselungsverfahren, unsichere Update-Mechanismen für die Firmware oder unsauber eingerichtete Authentifizierungs-Methoden.

Gemäß Forescout lassen sich 14 Prozent der Lücken zur Ausführung von Schadcode aus der Ferne (Remote Code Execution) missbrauchen. 21 Prozent der Schwachstellen können zu Firmware-Manipulationen führen.

Schwachstellen trotz Zertifizierung

Interessanterweise waren viele der beanstandeten Komponenten nach im OT-Umfeld gebräuchlichen Standards zertifiziert, darunter IEC 62443, NERC CIP und NIST SP 800-82.

„Diese Bemühungen zur Härtung der Geräte seitens der Standardisierungsstellen haben sicherlich zu erheblichen Verbesserungen in den Bereichen Entwicklung von Security-Programmen, Risikomanagement sowie auf der Design- und Architektur-Ebene beigetragen“, stellt der Report zwar fest.

„Sie waren aber weniger erfolgreich dabei, sichere Entwicklungszyklen für einzelne Systeme und Komponenten zu etablieren“, lautet daher die Schlussfolgerung der Forscher.

Es handle sich somit um Jahrzehnte unsicherer Entwicklungspraktiken in der OT, mit denen sich Betreiber von Industrieanlagen nun herumschlagen müssten, wird folglich konstatiert.

*Jens Stark ist Autor bei com!professional.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*