CISA-Bericht analysiert Hürden bei der Authentifizierung sicherer OT-Kommunikation

CISA untersucht Hürden bei der Authentifizierung sicherer OT-Kommunikation

Die Cybersecurity and Infrastructure Security Agency (CISA) hat einen neuen Leitfaden mit dem Titel Barriers to Secure OT Communication: Why Johnny Can’t Authenticate veröffentlicht. Der Bericht untersucht anhaltende Herausforderungen bei der Sicherung veralteter Operational Technology (OT)-Protokolle. In Zusammenarbeit mit OT-Ausrüstungsherstellern und Standardisierungsorganisationen analysiert die CISA, warum fortschrittliche Authentifizierungstechnologien in industriellen Umgebungen trotz bekannter Sicherheitsrisiken nur zögerlich eingesetzt werden.

Technischer Kontext und zentrale Erkenntnisse

Der Leitfaden konzentriert sich auf von Grund auf unsichere Legacy-OT-Protokolle, die ursprünglich ohne moderne Sicherheitskontrollen wie Verschlüsselung oder Authentifizierung entwickelt wurden. Die CISA-Forschung, basierend auf Interviews mit OT-Anlagenbetreibern und -Operateuren, identifiziert systemische Barrieren, die die breite Einführung sicherer Alternativen verhindern. Dazu gehören:

• Abhängigkeiten von Legacy-Systemen: Viele Industrial Control Systems (ICS) sind auf veraltete Protokolle (z. B. Modbus, DNP3) angewiesen, die keine nativen Authentifizierungsmechanismen bieten.
• Betriebliche Einschränkungen: Ausfallzeiten für Upgrades sind in kritischen Infrastrukturbereichen wie Energie, Wasser und Fertigung oft nicht vertretbar.
• Interoperabilitätsprobleme: Sichere Protokolle lassen sich möglicherweise nicht nahtlos in bestehende OT-Infrastrukturen integrieren, was Kompatibilitätslücken schafft.
• Kosten und Komplexität: Die Nachrüstung von Authentifizierung in Legacy-Systeme kann erhebliche Investitionen in Hardware, Software und Schulungen erfordern.

Auswirkungen auf die industrielle Sicherheit

Der Bericht unterstreicht die wachsende Angriffsfläche in OT-Umgebungen, in denen nicht authentifizierte Protokolle für folgende Angriffe ausgenutzt werden können:

• Unautorisierte Befehlsausführung: Bedrohungsakteure können industrielle Prozesse manipulieren, indem sie gefälschte Befehle senden.
• Laterale Bewegung: Schwache Authentifizierung ermöglicht Angreifern das Eindringen von IT- in OT-Netzwerke.
• Datenmanipulation: Ungesicherte Kommunikation kann abgefangen oder verändert werden, was die Prozessintegrität gefährdet.

Die Erkenntnisse der CISA verdeutlichen die Notwendigkeit einer risikobasierten Priorisierung bei der Behebung von OT-Sicherheitslücken, insbesondere in Sektoren, in denen Legacy-Systeme weiterhin verbreitet sind.

Empfehlungen für Stakeholder

Der Leitfaden richtet sich an OT-Anlagenbetreiber, Hersteller und Standardisierungsgremien und empfiehlt:

• Umstellung auf sichere Standardprotokolle: Nutzung moderner Standards (z. B. IEC 62351, OPC UA) mit integrierter Authentifizierung und Verschlüsselung.
• Implementierung kompensierender Kontrollen: Einsatz von Netzwerksegmentierung, Intrusion Detection Systems (IDS) und kontinuierlicher Überwachung, um Risiken in Legacy-Umgebungen zu mindern.
• Zusammenarbeit bei Standards: Engagement in Industriegruppen (z. B. ISA, IEC) zur Entwicklung interoperabler Sicherheitsframeworks für OT.
• Investitionen in Schulungen: Aufbau von Fachwissen für sichere OT-Bereitstellung und Incident Response.

Der CISA-Bericht ist ein Aufruf an die Industrie, systemische Hürden bei der Einführung von Authentifizierung zu überwinden und betriebliche Resilienz mit Cybersicherheitsanforderungen in Einklang zu bringen.

Weitere Details finden Sie im vollständigen Leitfaden hier.