Remote-Access-Tools sind zwar in OT-Systemen (Operative Technologies) zum Zugriff erforderlich. Eine Analyse des Sicherheitsanbieters Claroty ergab aber, dass 55 Prozent der Unternehmen in ihren OT-Umgebungen vier oder mehr Remote-Access-Tools ein setzen, 33 Prozent sogar mindestens sechs. Eine unnütze Erhöhung der Sicherheitsrisiken.
Anzeige
Wildwuchs bei den Remote-Access-Tools
OT-Systeme wie Industriesteuerungen oder Prozessleitsysteme sind für den Fernzugriff durch Wartungspersonal und/oder Hersteller ausgelegt. Und solche Fernzugriffe sind i.d.R. auch notwendig. Zum Problem wird das aber, wenn gleich mehrere Remote-Access-Tools zum Einsatz gelangen.
In einer neuen Studie hat Claroty, ein Spezialist für die Sicherheit von cyber-physischen Systemen (CPS), die Daten von mehr als 50.000 Remote-Access-fähigen Geräten analysiert. Das Ergebnis dieser Untersuchung ist erschreckend.
- 55 Prozent der Unternehmen setzen in ihren OT-Umgebungen vier oder mehr Remote-Access-Tools ein.
- 33 Prozent der Unternehmen setzen in ihren OT-Umgebungen sogar mindestens sechs solcher Remote-Access-Tools ein.
Die von Team82, der Forschungsabteilung von Claroty, durchgeführte Untersuchung ergab außerdem, dass bei 79 Prozent der Unternehmen mehr als zwei nicht für den Unternehmenseinsatz geeignete Fernzugriffs-Tools auf OT-Netzwerkgeräten installiert sind.
Diesen, als ungeeignet klassifizierten Remote-Access-Tools, fehlt es an grundlegenden Funktionen für die Verwaltung des privilegierten Zugriffs, wie z. B. Sitzungsaufzeichnung, Auditing, rollenbasierte Zugriffskontrollen und sogar an grundlegenden Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA). Diese übermäßige Verbreitung von sowie die Verwendung ungeeigneter Fernzugriffs-Lösungen birgt dabei deutliche Sicherheitsrisiken. Ich hatte hier im Blog ja mehrfach über die Probleme mit Fernwartungssoftware wie z.B. AnyDesk (siehe AnyDesk: Zugriffsversuche aus Spanien; Unsignierter Client verteilt) berichtet.
Anzeige
"Seit der Pandemie setzen Unternehmen verstärkt auf Fernzugriffslösungen für ihre Mitarbeiter und Drittanbieter. Der Fernzugriff ist zwar eine Notwendigkeit dieser neuen Realität, hat aber gleichzeitig ein Sicherheits- und Betriebsdilemma geschaffen", erklärt Tal Laufer, VP Products, Secure Access bei Claroty. "Auch wenn es für Unternehmen sinnvoll ist, Fernzugriffs-Tools für IT-Dienste und die OT einzusetzen, lässt sich der in unserer Studie festgestellte Tool-Wildwuchs innerhalb der sensiblen OT-Netzwerke nicht rechtfertigen. Dieser führt zu einem erhöhten Risiko und einer enormen Komplexität."
Viele der identifizierten Fernzugriffslösungen in OT-Netzwerken sind für den Einsatz in der IT ausgelegt und bergen in industriellen Umgebungen potenziell kritische Risiken und zusätzliche Sicherheitsprobleme:
- Mangelnde Transparenz: Wenn Drittanbieter über ihre eigenen Fernzugriffslösungen eine Verbindung zur OT-Umgebung herstellen, haben OT-Netzwerkadministratoren und Sicherheitsverantwortliche, die diese Lösungen nicht zentral verwalten, wenig bis gar keinen Einblick in die damit verbundenen Aktivitäten.
- Größere Angriffsfläche: Mehr externe Verbindungen in das Netzwerk über Fernzugriffstools bedeuten mehr potenzielle Angriffsvektoren, die durch mangelnde Sicherheitspraktiken oder entwendete Anmeldedaten ausgenutzt werden können.
- Komplexes Identitätsmanagement: Durch den Einsatz mehrerer Fernzugriffslösungen ist ein größerer Aufwand erforderlich, um konsistente Verwaltungs- und Governance-Richtlinien zu erstellen, die regeln, wer auf was wie lange zugreifen darf. Diese erhöhte Komplexität führt häufig zu blinden Flecken in der Verwaltung der Zugriffsrechte.
Die Experten von Gartner empfehlen Sicherheitsverantwortlichen, "eine vollständige Bestandsaufnahme aller Remote-Verbindungen im gesamten Unternehmen durchzuführen, da es wahrscheinlich überall in den Netzwerken Schatten-Remote-Zugänge gibt, insbesondere an den entfernten Standorten." Zudem sollten sie "ältere Remote-Zugangslösungen entfernen, wenn neuere CPS-Lösungen für sicheren Fernzugriff implementiert werden. Unternehmen setzen häufig neue Lösungen ein, ohne sich darum zu kümmern, was bestehen bleibt. Da die Zahl der ausgenutzten VPN-Schwachstellen zunimmt, stellt dies einen erheblichen blinden Fleck dar." (Gartner, Innovation Insight: CPS Secure Remote Access Solutions, Katell Thielemann, Abhyuday Data, Wam Voster, 18 April 2024.)
Der komplette Claroty-Report "The Problem with Remote Access Sprawl" kann von Claroty nach Angabe der Kontaktdaten kostenlos heruntergeladen werden.
Anzeige
Direktlink der PDF-Studie ohne Dateneingabe & anonym-VPN-tauglich zu Claroty hier.
Tja und genau deswegen sind Zulieferer ganz klar "an die Hand zu nehmen". Und bevor jemand behauptet, das sei nicht möglich oder zu kompliziert oder sonstiges bla bla..
https://blog.jakobs.systems/blog/20231010-supplychain-management/
Das kenne ich aus eigener Erfahrung nur zu gut. Jeder Maschinenhersteller nutzt eine andere Lösung (TeamViewer, AnyDesk, irgendein China-Router mit VPN, etc.) und die wenigsten sind bereit oder überhaupt in der Lage, irgendetwas anderes einzusetzen. Die Techniker installieren nur nach Anleitung ihres Arbeitgebers und der IT-"Support" sitzt irgendwo in Indien. Da hilft nur Netzwerksegmentierung, um den Schaden möglichst klein zu halten. Oder den Zugriff nur bei Bedarf freizuschalten.
Genau so ist es, OT Firmen haben absolut null Ahnung von dem was sie da IT technisch aufstellen. Es geht nur darum, dass die Maschine den Angaben nach funktioniert und dass sie irgendwie auf die Systeme zur Wartung kommen.
Da hilft dann wirklich nur noch Segmentierung, sobald man auf technisches KnowHow hofft oder Anpassungsfähigkeit…ist man verloren.
Welche Wahl haben diese Hersteller denn auch?
Du könntest jetzt berechtigterweise fordern "auf meine Systeme kommt ihr nur mit (bitte eins – und nur eins – auswählen) VPN (welches?), Citrix, Anydesk, Teamviewer, Splashtop, LogMeIn, AnyDesk, GoToMyPC, Chrome Remote-Desktop, Dameware Remote Everywhere, BeyondTrust Remote Support, WebEx Remote, Teams, VNC, SSH, … usw. drauf" und das auch durchsetzen.
Ein anderer Kunde fordert dann "auf meine Systeme kommt ihr nur mit (bitte eins – und nur eins – davon auswählen) VPN (welches?), Citrix, Anydesk, Teamviewer, Splashtop, LogMeIn, AnyDesk, GoToMyPC, Chrome Remote-Desktop, Dameware Remote Everywhere, BeyondTrust Remote Support, WebEx Remote, Teams, Zoom, VNC, SSH, … usw. drauf".
Zwei Kunden dieses Herstellers, zwei Tools um Remote auf die zu wartenden Maschinen drauf zu kommen.
Dritter Kunde fordert wieder anderses Tool. Vierter, fünfter, sechtere, tausendeins, zwölftausendsiebenhunderdachtundsechzig… verschiedene Remotetools, genauso viele Benutzeraccounts, usw.
Das kann es auch nicht sein, oder?
So sieht es aus, deswegen musst Du als Admin die Zulieferer an die feste Hand nehmen und denen eine einheitliche Plattform vor die Nase setzen inkl. 2FA mit TOTP ohne irgendwelche 3rd Party Software, die irgendwo zu installieren ist. Ein einfacher Webbrowser reicht aus.
Siehe meinen Beitrag weiter oben