24. April 2025

Dutzende Schwachstellen in OT-Komponenten

Security-Forscher von Forescout haben in der Industrie im Einsatz stehende OT-Komponenten (Operational Technology) unter die Lupe genommen und insgesamt 56 Schwachstellen entdeckt. [...]

robot-gd5a0c73af_1280 — Foto: MichalJarmoluk/Pixabay

Die Hersteller von OT-Komponenten (Operational Technology) sind weit davon entfernt, fundamentale Secure-by-Design-Prinzipien zu beachten. So kann das Fazit lauten, wenn man sich die Ergebnisse einer Studie der IT-Scurity-Spezialistin Forescout zu Gemüte führt.

Denn die Experten haben 56 Schwachstellen in OT-Komponenten von zehn verschiedenen Herstellern entdeckt. Das Besondere bei den Sicherheitslücken: Sie beruhen nicht auf eigentlichen Programmierfehlern, sondern auf mangelhafter Implementierung und unzureichendem Design der entsprechenden Funktionalitäten.

Betroffen sind OT-Komponenten von namhaften Firmen wie Emerson, Honeywell, Motorola und Siemens.

„Unter Ausnutzung dieser Schwachstellen können Angreifer mit Netzwerkzugriff auf ein Zielgerät aus der Ferne Code ausführen, die Logik, Dateien oder Firmware von OT-Geräten ändern, die Authentifizierung umgehen, Anmeldedaten kompromittieren“, berichten die Forescout-Forscher in dem Report.

Schlussendlich könnten Hacker so die Geräte außer Betrieb nehmen oder eine Reihe von betrieblichen Störungen verursachen, heißt es weiter.

Konkret handelt es sich bei den identifizierten Schwachstellen, die unter der Bezeichnung „OT:Icefall“ zusammengefasst wurden, hauptsächlich um unsichere Protokolle, Implementierungen schwacher Verschlüsselungsverfahren, unsichere Update-Mechanismen für die Firmware oder unsauber eingerichtete Authentifizierungs-Methoden.

Gemäß Forescout lassen sich 14 Prozent der Lücken zur Ausführung von Schadcode aus der Ferne (Remote Code Execution) missbrauchen. 21 Prozent der Schwachstellen können zu Firmware-Manipulationen führen.

Schwachstellen trotz Zertifizierung

Interessanterweise waren viele der beanstandeten Komponenten nach im OT-Umfeld gebräuchlichen Standards zertifiziert, darunter IEC 62443, NERC CIP und NIST SP 800-82.

„Diese Bemühungen zur Härtung der Geräte seitens der Standardisierungsstellen haben sicherlich zu erheblichen Verbesserungen in den Bereichen Entwicklung von Security-Programmen, Risikomanagement sowie auf der Design- und Architektur-Ebene beigetragen“, stellt der Report zwar fest.

„Sie waren aber weniger erfolgreich dabei, sichere Entwicklungszyklen für einzelne Systeme und Komponenten zu etablieren“, lautet daher die Schlussfolgerung der Forscher.

Es handle sich somit um Jahrzehnte unsicherer Entwicklungspraktiken in der OT, mit denen sich Betreiber von Industrieanlagen nun herumschlagen müssten, wird folglich konstatiert.

*Jens Stark ist Autor bei com!professional.

Die Nutzung von KI im Unternehmensalltag erfordert gezielte Maßnahmen zur Risikosteuerung. (c) Pexels

KI am Arbeitsplatz: Sicherheitsrisiken durch Mitarbeiter

23. April 2025 pi/cb

Die Integration künstlicher Intelligenz in Unternehmen birgt neben Produktivitätssteigerungen auch wachsende Sicherheitsrisiken. Unachtsame oder unautorisierte KI-Nutzung durch Mitarbeiter kann zu Datenlecks und anderen Bedrohungen führen. […]

42 Prozent der Österreicher:innen sind gestresst im Job

23. April 2025

41,5 Prozent der Arbeitnehmer:innen sind bei der Arbeit gestresst. Zudem sagt in einer Studie von kununu nur rund jede dritte angestellte Person (35,7 Prozent) in Österreich, dass ihr Arbeitsplatz eine gesunde Work-Life-Balance sowie das mentale oder körperliche Wohlbefinden unterstützt oder aktive Pausen fördert. […]

Bad Bot Report 2025: künstliche Intelligenz befeuert Anstieg schwer zu erkennender Bots

23. April 2025

Die Zunahme von KI-Tools hat die Einstiegshürde für Cyberangreifer wesentlich gesenkt und ermöglicht die Erstellung und den Einsatz bösartiger Bots in großem Umfang. Zum ersten Mal seit einem Jahrzehnt hat der automatisierte Datenverkehr die menschlichen Aktivitäten übertroffen und macht 51 Prozent gesamten Internetverkehrs aus. […]

KMU wollen neue Virtual Desktop Infrastrukturen

23. April 2025

Konfrontiert mit steigenden Kosten und zunehmender Komplexität ihrer bestehenden virtuellen Desktop-Infrastruktur (VDI) sind 63 Prozent der Mittelständler laut einer Studie von Parallels aktiv auf der Suche nach alternativen VDI- oder DaaS-Anbietern (Desktop-as-a-Service). […]

5G-Router Devolo WiFi 6 3600 5G LTE im Test

23. April 2025 Daniel Bader *

Lang, lang ist es her! Nach über 20 Jahren lanciert Netzwerkspezialist Devolo mit dem WiFi 6 3600 5G LTE wieder einen Router. Was die mobile Internetschleuse kann, verrät der Test. […]

Verantwortungsvolle KI ist laut Studie keine Option, sondern eine Notwendigkeit – insbesondere im sensiblen Bereich der Überwachung. (c) Pexels

KI in der Videoüberwachung: Potenziale, Herausforderungen und ethische Fragen

22. April 2025 Wolfgang Franz

Künstliche Intelligenz verändert die Videoüberwachung grundlegend und könnte künftig nicht nur die Sicherheit und Effizienz verbessern, sondern auch neue Formen der Geschäftsanalyse ermöglichen. ITWelt.at hat sich die Studie angesehen. […]

Peter Rosendahl, Senior Vice President New Work & Cybersecurity bei All for One (c) All for One

Mit Resilienz und Cyber-Kompetenz gegen wachsende Cyberkriminalität

22. April 2025 Peter Rosendahl*

Die Zahl der Cybercrime-Fälle nimmt weltweit rasant zu, und Österreich bildet dabei keine Ausnahme. Laut der aktuellen KPMG-Studie „Cybersecurity in Österreich 2024“ war bereits jeder sechste Cyberangriff auf ein österreichisches Unternehmen erfolgreich. Besonders alarmierend: Jedes dritte Unternehmen hat nach einem Ransomware-Angriff bereits Lösegeld bezahlt. […]

KI macht Jagd auf Borkenkäfer

22. April 2025

Das Interreg-Projekt SMARTbeetle hat ein klares Ziel: wirksamere und umweltfreundlichere Lockstoffe für den Borkenkäfer. Die Partner aus Österreich und Tschechien lassen sich bei der Entwicklung auch von künstlicher Intelligenz unterstützen. […]

Suchergebnisse als Falle

22. April 2025

Immer mehr Internetnutzer geraten unbewusst in die Fänge von Cyberkriminellen – nicht über dubiose E-Mails oder Links, sondern direkt über beliebte Suchmaschinen. Mit SEO-Betrugsmaschen gelangen gefälschte Webseiten durch die Manipulation der Suchergebnisse an prominente Positionen. Das hat teils gravierende Folgen für die Nutzer. […]

Dutzende Schwachstellen in OT-Komponenten

Security-Forscher von Forescout haben in der Industrie im Einsatz stehende OT-Komponenten (Operational Technology) unter die Lupe genommen und insgesamt 56 Schwachstellen entdeckt. [...]

Schwachstellen trotz Zertifizierung

Mehr Artikel

KI am Arbeitsplatz: Sicherheitsrisiken durch Mitarbeiter

42 Prozent der Österreicher:innen sind gestresst im Job

Bad Bot Report 2025: künstliche Intelligenz befeuert Anstieg schwer zu erkennender Bots

KMU wollen neue Virtual Desktop Infrastrukturen

5G-Router Devolo WiFi 6 3600 5G LTE im Test

KI in der Videoüberwachung: Potenziale, Herausforderungen und ethische Fragen

Mit Resilienz und Cyber-Kompetenz gegen wachsende Cyberkriminalität

KI macht Jagd auf Borkenkäfer

Suchergebnisse als Falle

Be the first to comment

Leave a Reply Antworten abbrechen