Industrielle Kontrollsysteme sind das Rückgrat industrieller Abläufe, so dass ihre Exposition gegenüber dem Internet seit langem ein Anliegen der Sicherheitsforscher ist. Direkte Cyberangriffe auf ICS sind zwar aufgrund des erforderlichen technischen Know-hows nach wie vor weniger verbreitet, doch die potenziellen Folgen solcher Angriffe können, wenn sie erfolgreich sind, verheerend sein.
In letzter Zeit haben sich die Bedrohungsakteure jedoch einem einfacheren Ziel zugewandt: Mensch-Maschine-Schnittstellen (HMIs). Diese grafischen Schnittstellen ermöglichen es den Bedienern, ICS-Maschinen zu steuern und zu überwachen, aber viele sind mit dem öffentlichen Internet verbunden, um den Fernzugriff zu erleichtern. Leider hat diese Bequemlichkeit oft ihren Preis: Schwache Authentifizierungsmaßnahmen und benutzerfreundliche Schnittstellen schaffen Möglichkeiten für das Eindringen von Bedrohungsakteuren.
Im dritten jährlichen Bericht über den Zustand des Internets hat sich das Forschungsteam von Censys vorgenommen, das Ausmaß dieser globalen ICS-Belastungen auf maßvolle, nicht sensationslüsterne Weise darzustellen, um Betreibern und Verteidigern verwertbare Erkenntnisse zu liefern. In diesem Blog geben wir einen Überblick darüber, was das Team aufgedeckt hat und was diese Ergebnisse über den Stand der Sicherheit kritischer Infrastrukturen aussagen.
Möchten Sie lieber zum vollständigen Bericht wechseln? Laden Sie hier Ihr Exemplar des vollständigen Berichts zum Zustand des Internets 2024 herunter.
1. Gefährdung durch Mensch-Maschine-Schnittstellen (HMI): Ein wachsendes Risiko
Das Risiko exponierter Mensch-Maschine-Schnittstellen (HMIs) wird oft übersehen. Doch wie das Censys Research Team in seinem Bericht schreibt, "stellen HMIs die besorgniserregendsten und zwingendsten Gefährdungen im ICS-Bereich dar".
Mensch-Maschine-Schnittstelle (HMI) sind für die Überwachung und Verwaltung von Industriesystemen unverzichtbar, und ihre zunehmende Internetanbindung, die den Fernzugriff ermöglicht, hat sie zu einem leichten Ziel für Bedrohungsakteure gemacht. Was HMIs besonders anfällig macht, ist ihr Mangel an robusten Sicherheitsmaßnahmen. Viele sind ohne Authentifizierung zugänglich oder basieren auf schwachen Standardkonfigurationen, was sie zu einem attraktiven Ziel für Angreifer macht. Die Einfachheit des Zugriffs auf und der Manipulation von ungeschützten HMIs hat zu bemerkenswerten Angriffen geführt, wie etwa auf kommunale Wassersysteme in den Jahren 2023 und 2024.
In dem Bericht "The 2024 State of the Internet Report" hat das Censys Research Team über 7.700 exponierte HMIs in 80 Ländern identifiziert, von denen sich fast 70 % in Nordamerika befinden.
Unter den 20 beobachteten HMI-Softwaretypen nahm das Team den am weitesten verbreiteten, AutomationDirect C-More HMI, genauer unter die Lupe, um mehr über die Auswirkungen auf die Branche zu erfahren.
Die C-More-Bediengeräte verfügen über einen öffentlichen Webserver mit einer Nur-Lese-Ansicht jedes programmierten Bildschirms. Sie verwenden außerdem ein proprietäres Protokoll, das speziell für die Programmierung der HMIs entwickelt wurde, standardmäßig aktiviert ist und eine schwache oder keine Authentifizierung aufweist.
Bei der Untersuchung von Branchen, die C-More HMIs einsetzen, stellte Censys fest, dass mehr als ein Drittel der Expositionen mit Wasser und Abwasser zusammenhängt.
Die jüngsten Untersuchungen von GreyNoise Intelligence über die Gefährdung durch Mensch-Maschine-Schnittstellen decken sich mit den Erkenntnissen von Censysüber die von Mensch-Maschine-Schnittstellen ausgehenden Risiken. In ihrem Blogartikel, der auch den Bericht "The 2024 State of the Internet Report" enthält , teilt GreyNoise mit, dass sie beobachtet haben, dass mit dem Internet verbundene HMIs schneller gescannt und untersucht werden als Basissensoren. GreyNoise führt weiter aus, dass "über 30 % der IPs, die die HMIs vor einem typischen GreyNoise-Sensor berührten, später als bösartig identifiziert wurden."
2. ICS-Belastung: Eine anhaltende Sicherheitsherausforderung
Der diesjährige State of the Internet Report analysiert auch die weit verbreitete Aufdeckung von ICS-Protokollen, auch bekannt als Automatisierungsprotokolle, die, wie bereits erwähnt, für den industriellen Betrieb grundlegend, aber notorisch unsicher sind.
Weltweit wurden auf Censys mehr als 148.000 ICS-Dienste in 175 Ländern beobachtet, wobei 38 % dieser Gefährdungen in Nordamerika und 35 % in Europa zu finden sind. Dies unterstreicht zwar die große Chance, die die USA bei der Bekämpfung von Protokollgefährdungen haben, aber die USA verfügen auch über die größte Anzahl an zugewiesenen IPv4-Adressen. Betrachtet man die ICS-Dienste im Verhältnis zum gesamten Internet-Footprint, stehen Litauen, Weißrussland und die Türkei an der Spitze der Liste.
Zu den wichtigsten gefährdeten ICS-Protokollen gehören:
- Modbus: Weit verbreitet in allen Branchen, aber oft fehlt es an Verschlüsselung und Authentifizierung.
- IEC 60870-5-104: Unverzichtbar für Stromversorgungssysteme, aber zunehmend Ziel von Malware-Kampagnen.
- CODESYS und OPC UA: Fortgeschrittene Protokolle, die für die Automatisierung unentbehrlich sind, aber häufig aufgrund von Fehlkonfigurationen gefährdet sind.
Obwohl diese Protokolle vor Jahrzehnten entwickelt wurden, sind sie nach wie vor von entscheidender Bedeutung für industrielle Prozesse. Leider sind sie aufgrund ihres veralteten Designs und des Mangels an moderner Sicherheit sehr anfällig für Angriffe.
3. Regionale Unterschiede und globale Trends bei der IKS-Belastung
Censys stellt fest, dass die ICS-Belastung je nach Region unterschiedlich ist. In Europa dominieren ältere Protokolle wie Modbus, während in Nordamerika verstärkt ISPs und Mobilfunknetze für ICS-Verbindungen genutzt werden.
Eine beträchtliche Anzahl der exponierten Geräte läuft über 5G- oder LTE-Netze, was die Zuordnung erschwert und die Bestimmung der Eigentumsverhältnisse erschwert.
Diese Abhängigkeit von mobilen Netzwerken für die ICS-Konnektivität führt zu einzigartigen Herausforderungen. Bedrohungsakteure können das Fehlen von Metadaten im Zusammenhang mit diesen Geräten ausnutzen, wodurch es für Sicherheitsteams schwieriger wird, bösartige Aktivitäten zu erkennen und zuzuordnen.
Der Blick nach vorn: Sicherung kritischer Infrastrukturen
Wie unser 2024 State of Internet Report deutlich macht, gibt es eine Vielzahl von Schwachstellen in der globalen ICS-Angriffsfläche. Die Schwachstellen von Mensch-Maschine-Schnittstellen und ICS-Protokollen sind zwar unterschiedlich, aber sie haben eine gemeinsame Herausforderung: Die Exposition gegenüber dem Internet erhöht die Wahrscheinlichkeit von Angriffen.
Um die Nase vorn zu haben, müssen ICS-Betreiber und Sicherheitsteams Folgendes tun:
- Identifizierung und Sicherung von gefährdeten HMIs und ICS-Protokollen.
- Vermeiden Sie nach Möglichkeit die Verbindung von ICS-Protokollen und HMIs mit dem Internet.
- Vermeiden Sie die Verwendung schwacher oder voreingestellter Anmeldedaten.
- Nutzung von Echtzeit-Internet-Intelligenz zur Überwachung und Bekämpfung neuer Bedrohungen.
Laden Sie den vollständigen Bericht zur Lage des Internets 2024 für noch detailliertere Ergebnisse und umsetzbare Erkenntnisse.
Bericht abrufen
Sind Sie daran interessiert, direkt vom Censys Research Team zu hören? Nehmen Sie an unserem speziellen 2024 State of the Internet Report Webinar am 11. Dezember 2024 um 13 Uhr EST teil! Sichern Sie sich Ihren Platz.
