{"id":29576,"date":"2022-12-07T18:22:42","date_gmt":"2022-12-07T16:22:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29576"},"modified":"2022-12-07T18:22:42","modified_gmt":"2022-12-07T16:22:42","slug":"updating-ot-infrastructure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/","title":{"rendered":"Das Gegenmittel zum Konservatismus der operativen Technologie"},"content":{"rendered":"

Ich habe es bereits des \u00d6fteren erw\u00e4hnt: Antivirus-Software hat seit langem ausgedient<\/a>.<\/p>\n

Ein solches Statement mag aus meinem Mund zun\u00e4chst seltsam klingen \u2013 vor allem deshalb, weil ich mich seit den fr\u00fchen Anf\u00e4ngen<\/a> von Viren und AV-Programmen in den sp\u00e4ten Achtzigern<\/a> und fr\u00fchen Neunzigern<\/a> mitten in der Materie befinde. Betrachtet man das Thema AV jedoch etwas genauer und konsultiert einige ma\u00dfgebliche Quellen auf diesem Gebiet, dann wird die Aussage schnell recht logisch: Zum einen haben sich herk\u00f6mmliche Antivirenprogramme mittlerweile in Schutzl\u00f6sungen \u201egegen alles\u201c verwandelt; zum anderen sind Viren \u2013 als spezifische Schadprogrammart \u2013 ausgestorben. Besser gesagt: fast ausgestorben. Doch eben dieses scheinbar harmlose, vernachl\u00e4ssigbare \u201efast\u201c, bereitet der Cybersicherheit auch heute noch Probleme \u2013 und das Ende 2022! Und dieses \u201efast\u201c ist auch die Grundlage des heutigen Beitrags\u2026<\/p>\n

Also. Viren. Die letzten Verbliebenen auf der Roten Liste<\/a> \u2013 wo sind sie heute, und was machen sie?\u2026<\/p>\n

Sie haben sich in einem der konservativsten Teilbereiche der industriellen Automatisierung angesiedelt: der operativen Technologie<\/a> (OT \u2013 nicht zu verwechseln mit IT). OT steht f\u00fcr \u201eHardware und Software, die \u00c4nderungen erkennt oder verursacht, indem sie industrielle Anlagen, Anlagen, Prozesse und Ereignisse direkt \u00fcberwacht und\/oder steuert\u201c. Im Wesentlichen bezieht sich OT auf die Umgebung des industriellen Kontrollsystems (ICS), und stellt einen Gegensatz zur IT dar. OT = spezialisierte Steuerungssysteme in Fabriken, Kraftwerken, Transportsystemen, Versorgungsunternehmen, Bergbau, Verarbeitung und anderen Industriebereichen. Ja, Infrastruktur. Ja \u2013 oft kritische Infrastruktur. Und ja, es ist diese industrielle\/kritische Infrastruktur, die von \u201etoten\u201c Computerviren angegriffen wird. Etwa 3 % der Cybervorf\u00e4lle, die heute OT-Computer betreffen, werden durch diese Art von Malware verursacht.<\/p>\n

Wie kann das?<\/p>\n

Eigentlich haben wir die Antwort auf diese Frage bereits oben gegeben: Die OT \u2013 oder besser gesagt, ihre Anwendung in der Industrie \u2013 ist sehr konservativ. Wenn es jemals einen Bereich gab, der an dem alten Spruch \u201eWenn etwas nicht kaputt ist, repariere es nicht\u201c festh\u00e4lt, dann ist es definitiv der Bereich der OT. Das Wichtigste in der OT ist vor allem Stabilit\u00e4t, nicht der neueste Schnickschnack. Neue Versionen, Upgrades\u2026 selbst einfache Aktualisierungen (z. B. von Software) werden skeptisch oder gar \u00e4ngstlich betrachtet! Tats\u00e4chlich ist die operative Technologie in industriellen Kontrollsystemen in der Regel mit uralten Computern ausgestattet, auf denen\u2026 Windows 2000 (!) und eine Reihe anderer veralteter Software voller Schwachstellen l\u00e4uft (au\u00dferdem gibt es gigantische L\u00f6cher in den Sicherheitsrichtlinien und eine ganze Reihe anderer schrecklicher Albtr\u00e4ume f\u00fcr IT-Sicherheitsbeauftragte). Ein kurzer Blick auf die IT jedoch zeigt: Jegliche IT-Ausr\u00fcstung (z. B. im B\u00fcro, nicht in der Fertigungshalle oder in den Hilfs-\/Technikr\u00e4umen) ist seit langem gegen alle Viren geimpft, da sie regelm\u00e4\u00dfig aktualisiert, aufger\u00fcstet und \u00fcberholt wird und gleichzeitig durch moderne Cybersicherheitsl\u00f6sungen vollst\u00e4ndig gesch\u00fctzt ist. Bei der OT ist das genaue Gegenteil der Fall, weshalb Viren hier nicht nur \u00fcberleben, sondern auch gedeihen k\u00f6nnen.<\/p>\n

Werfen Sie einen Blick auf die Top-10 der h\u00e4ufigsten\u201cOld-School\u201c-Schadprogramme im Jahr 2022 auf ICS-Computern:<\/p>\n

\"\"<\/p>\n

\u00a0<\/p>\n

Sality<\/a>! Virut<\/a>! Nimnul<\/a>!<\/p>\n

Was zeigt diese Grafik uns?<\/p>\n

Moment, zun\u00e4chst<\/strong> m\u00f6chte ich Ihnen noch sagen, dass sich die oben genannten Prozents\u00e4tze auf eine \u201eSchlafphase\u201c dieser Old-School-Viren beziehen. Doch ab und an k\u00f6nnen solche Viren die Grenzen eines einzelnen infizierten Systems \u00fcberschreiten und sich \u00fcber das gesamte Netzwerk ausbreiten \u2013 was zu einer ernsthaften lokalen Epidemie f\u00fchrt. Statt einer aufwendigen Problembehebung wird meist auf gute alte Backups zur\u00fcckgegriffen, die aber nicht immer \u201esauber\u201c sind. Dar\u00fcber hinaus kann diese Infektion nicht nur ICS-Computer, sondern auch speicherprogrammierbare Steuerungen (SPS) betreffen. Der Sality<\/a>-Loader beispielsweise existierte schon lange vor Blaster<\/a> (ein Proof-of-Concept-Wurm, der SPS-Firmware infizieren konnte); zwar nicht in der Firmware, aber in Form von Skripten in den HTML-Dateien der Webinterface.<\/p>\n

Also ja! Sality kann automatisierte Produktionsprozesse wirklich durcheinander bringen \u2013 aber das ist noch nicht alles. Zudem kann er \u00fcber einen b\u00f6sartigen Treiber den Arbeitsspeicher verwirren und auch die Dateien und den Speicher von Anwendungen infizieren; das wiederum kann innerhalb weniger Tage zum kompletten Ausfall industrieller Steuerungssysteme f\u00fchren. Au\u00dferdem kann im Falle einer aktiven Infektion das gesamte Netzwerk ausfallen. Seit 2008 verwendet Sality die Peer-to-Peer-Kommunikation, um seine Liste aktiver Kontrollzentren zu aktualisieren. ICS-Anbieter haben ihren Code wohl nicht mit Blick auf eine so feindliche Arbeitsumgebung geschrieben.<\/p>\n

Zweitens<\/strong>: 0,14% in einem Monat \u2013 das klingt nicht viel, aber\u2026 das entspricht Tausenden von kritischen Infrastrukturen weltweit. Eine Schande, wenn man bedenkt, dass ein solches Risiko vollst\u00e4ndig, einfach und mithilfe der fundamentalsten Methoden ausgeschlossen werden k\u00f6nnte.<\/p>\n

Und drittens<\/strong> ist es angesichts der Tatsache, dass die Cybersicherheit in den Fabriken so l\u00f6chrig ist, kaum verwunderlich, dass wir oft von erfolgreichen Angriffen auf derartige Fabriken durch andere Arten von Malware h\u00f6ren \u2013 insbesondere Ransomware (zum Beispiel: Snake vs. Honda<\/a>).<\/p>\n

Es ist offensichtlich, weshalb die OT-Branche konservativ denkt: F\u00fcr sie steht an erster Stelle, dass die industriellen Prozesse, die sie \u00fcberwacht, nicht unterbrochen werden, und die Einf\u00fchrung neuer Technologien\/Aktualisierungen\/Upgrades kann genau zu solchen Unterbrechungen f\u00fchren. Aber was ist mit den Ausf\u00e4llen, die durch Angriffe mit Old-School-Viren verursacht werden? Ein wahrhaftiges Dilemma! Dennoch entscheidet sich die OT-Branche meist daf\u00fcr, der Zeit hinterherzuhinken, was sich dann in Form der in der Grafik dargestellten Zahlen widergespiegelt.<\/p>\n

Aber wissen Sie was? Dieses Dilemma kann dank unserer Hilfe bald der Vergangenheit angeh\u00f6ren.<\/p>\n

Im besten Fall muss es m\u00f6glich sein, OT-Kits zu erneuern, zu aktualisieren und aufzur\u00fcsten, ohne dabei die Kontinuit\u00e4t der industriellen Prozesse zu gef\u00e4hrden. Und wissen Sie was? Letztes Jahr haben wir ein System patentiert, das genau das gew\u00e4hrleistet.<\/p>\n

Kurz gesagt: Bevor man etwas Neues in unabdingbare Prozesse einf\u00fchrt, testet man es an einem Mock-up, welches die kritischen industriellen Funktionen realistisch emuliert.<\/p>\n

Das Mock-up besteht aus einer Konfiguration des gegebenen OT-Netzwerks, das die gleichen Arten von Ger\u00e4ten aktiviert, die auch im industriellen Prozess verwendet werden (Computer, SPS, Sensoren, Kommunikationsger\u00e4te, verschiedene IoT-Kits) und l\u00e4sst sie miteinander interagieren, um den Fertigungsprozess oder einen anderen industriellen Ablauf zu replizieren. Im Eingabeterminal befindet sich eine Probe der getesteten Software, die von einer Sandbox<\/a> beobachtet wird, die all ihre Aktionen aufzeichnet: dazu geh\u00f6ren beispielsweise auch die Reaktionen der Netzwerkknoten, Leistungsver\u00e4nderungen, die Erreichbarkeit der Verbindungen und viele andere Merkmale. Die auf diese Weise gewonnenen Daten erm\u00f6glichen die Erstellung eines Modells, das die Risiken der neuen Software beschreibt. So k\u00f6nnen wiederum fundierte Entscheidungen dar\u00fcber getroffen werden, ob es Sinn macht, eine neue Software einzuf\u00fchren oder nicht und ob etwas an der OT getan werden muss, um aufgedeckte Schwachstellen zu schlie\u00dfen.<\/p>\n

Aber es wird noch besser!<\/p>\n

Sie k\u00f6nnen buchst\u00e4blich alles im Eingabeterminal testen \u2013 nicht nur neue Software und zu installierende Updates. Sondern beispielsweise auch die Widerstandsf\u00e4higkeit gegen Schadprogramme, die externe Schutzmechanismen umgehen, um in ein gesch\u00fctztes Industrienetz einzudringen.<\/p>\n

Diese Technologie hat gro\u00dfes Potenzial f\u00fcr die Versicherungsbranche. Versicherer k\u00f6nnen Cyber-Risiken besser einsch\u00e4tzen, Pr\u00e4mien genauer kalkulieren und sicherstellen, dass Versicherte nicht unn\u00f6tig zu viel zahlen. Auch Hersteller von Industrie-Equipment k\u00f6nnen diese Art der \u00dcberpr\u00fcfung f\u00fcr die Zertifizierung von Software und Hardware von Drittentwicklern nutzen. Wenn man dieses Konzept weiterentwickelt, w\u00fcrde sich ein solches System auch f\u00fcr branchenspezifische Akkreditierungszentren eignen. Und dann ist da noch das Forschungspotenzial in Bildungseinrichtungen!\u2026<\/p>\n

Jedem sollte klar sein, dass keine Emulation die gesamte Vielfalt der Prozesse in OT-Netzen mit 100%iger Genauigkeit reproduzieren kann. Aber anhand dieses Modells, das auf unserer jahrelangen Erfahrung beruht, wissen wir ungef\u00e4hr, wo wir nach der Einf\u00fchrung neuer Software \u201e\u00dcberraschungen\u201c zu erwarten haben. Zudem k\u00f6nnen wir die Situation mit anderen Methoden zuverl\u00e4ssig kontrollieren \u2013 zum Beispiel mit unserem Anomalie-Fr\u00fchwarnsystem MLAD<\/a> (\u00fcber das ich bereits hier<\/a> schon ausf\u00fchrlich berichtet habe), das Probleme in bestimmten Abschnitten eines Industriebetriebs auf der Grundlage direkter oder sogar indirekter Korrelationen aufsp\u00fcren kann. Auf diese Weise kann man finanzielle Verluste in Millionen- oder sogar Milliardenh\u00f6he vermeiden!<\/p>\n

Was w\u00fcrde die OT-Branche also daran hindern, auf ein Modell wie unseres zu setzen?<\/p>\n

Es k\u00f6nnte sein, dass sie vielleicht gar nicht aktiv nach einer L\u00f6sung wie der unseren suchen, da sie eine solche vielleicht nicht f\u00fcr notwendig halten (!). Selbstverst\u00e4ndlich werden wir unser Bestes tun, um unsere Technologie zu f\u00f6rdern und der Branche somit Verluste in Millionenh\u00f6he zu ersparen. Bis dieser Traum jedoch Wirklichkeit wird, m\u00f6chte ich noch Folgendes hinzuf\u00fcgen: Unser Modell ist zwar komplex, aber es wird sich sehr schnell amortisieren, wenn es von einer gro\u00dfen industriellen\/infrastrukturellen Organisation \u00fcbernommen wird. Und nein, es handelt sich hierbei nicht um ein Abonnement-Modell: Es wird einmal gekauft und rettet Unternehmen dann jahrelang ohne zus\u00e4tzliche Investitionen den Tag (indem es regulatorische, Reputations- und operative Risiken minimiert). Ah, und es gibt noch eine weitere Sache, die es mit Sicherheit retten wird: Die Nerven der OT-Mitarbeiter\u2026 oder ihren Verstand.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Besonderheiten des Schutzes und der Aktualisierung der OT-Infrastruktur.<\/p>\n","protected":false},"author":13,"featured_media":29577,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[2188,2861,4018,4019,218],"class_list":{"0":"post-29576","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ics","11":"tag-mlad","12":"tag-operative-technologie","13":"tag-ot","14":"tag-viren"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/updating-ot-infrastructure\/24942\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/updating-ot-infrastructure\/20439\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/updating-ot-infrastructure\/10478\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/updating-ot-infrastructure\/27499\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/updating-ot-infrastructure\/25272\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/updating-ot-infrastructure\/27424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/updating-ot-infrastructure\/34311\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/updating-ot-infrastructure\/46467\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/updating-ot-infrastructure\/33951\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/updating-ot-infrastructure\/28791\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/updating-ot-infrastructure\/25628\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/updating-ot-infrastructure\/31318\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/updating-ot-infrastructure\/31027\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29576"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29576\/revisions"}],"predecessor-version":[{"id":29579,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29576\/revisions\/29579"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29577"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}