IoT: Weniger öffentlich erreichbare Industriesteuerungssysteme im Netz

IT-Sicherheitsforscher haben rund 100.000 Industriesteuerungssysteme (ICS) ausfindig gemacht, die aus dem Internet erreichbar sind. Damit sinkt die Zahl exponierter Systeme, bleibt aber auf hohem Niveau. Die Forscher haben unter anderem die verwendeten Kommunikationsprotokolle der exponierten Systeme untersucht.

Wie die Analysten von Bitsight schreiben, können Angreifer damit auf physikalische Infrastruktur wie Stromnetze, Verkehrskontrollsysteme wie Ampeln, Sicherheitssysteme und Wasserversorgung und weitere zugreifen. Mit den ICS steuerten viele Organisationen kritische Prozesse. Der Sektor der kritischen Infrastrukturen setze etwa stark auf ICS zur Kontrolle der physikalischen Systeme, sodass die exponierten Systeme ein signifikantes Risiko darstellen könnten.

Industriesteuerungen: Weit verbreitet und zugreifbar

Unter den Organisationen, die zugreifbare ICS einsetzen, finden sich auch solche aus der Fortune-1000-Liste. Exponierte Systeme fanden sich in 96 Ländern in zahlreichen Sektoren.

Die Industriesteuerungssysteme enthalten etwa Sensoren, die Daten von Einsatzorten übermitteln, oder Aktuatoren, Schalter, Ventile und Relais, die Bewegungen von Maschinen steuern. Gebäudeverwaltungssysteme (Building Management Systems, BMS), die Fahrstühle und Rolltreppen kontrollieren, Brandschutz- und weitere Sicherheitssysteme zählen ebenfalls dazu. Wasser- und Stromversorger lenken damit Wasser- und Stromflüsse. Die Systeme sind daher meist stark automatisiert und weitverbreitet.

Sicherheitslücken in Internet-of-Things-Geräten und Industriesteuerungssystemen werden sehr regelmäßig gemeldet. Oftmals sind die Systeme schwer zu aktualisieren. Die US-amerikanische Cybersicherheitsbehörde CISA warnt regelmäßig vor ICS-Schwachstellen. So etwa im August vergangenen Jahres, als es teils kritische Sicherheitslücken in IoT-Systemen mehrerer Hersteller gab.

Während 2019 noch mehr als 135.000 Industriesteuerungen aus dem Internet zugreifbar waren, sank die Zahl stetig auf jetzt rund 100.000 Systeme. Damit sind jedoch noch immer sehr viele potenziell angreifbare Systeme exponiert. Deutschland landet in den Top-Ten der Länder mit den meisten Organisationen, die mindestens ein ICS ins Internet gestellt haben:

1. USA
2. Kanada
3. Italien
4. Vereinigtes Königreich
5. Frankreich
6. Niederlande
7. Deutschland
8. Spanien
9. Polen
10. Schweden

Die zumeist betroffenen Sektoren umfassen Bildung, Technologie und Regierungseinrichtungen/Politik. Etwa Energie und Ressourcen finden sich erst auf dem achten Rang.

Organisationen sollten überprüfen, ob ihre IoT-Steuerungssysteme aus dem Netz erreichbar sind und gegebenenfalls den Zugang verhindern. Sofern externe Zugänge nötig sind, sollten diese gesichert und geschützt etwa mittels VPN erfolgen.

(dmk)