Die versteckten Gefahren 
von Windows
in OT-Netzen

Windows-Geräte sind aufgrund ihrer weiten Verbreitung und der bekannten Schwachstellen oft das primäre Ziel von Malware- und Ransomware-Angriffen. Die berüchtigte WannaCry-Ransomware, die eine Schwachstelle im Server-Message-Block(SMB)-Protokoll ausnutzte, ist ein Paradebeispiel dafür. Solche Angriffe können kritische industrielle Prozesse stören und zu erheblichen betrieblichen und finanziellen Auswirkungen führen.

Im Gegensatz zu speziell dafür entwickelte OT-Systemen sind Windows-Geräte nicht immer mit strengen Sicherheitsmaßnahmen konfiguriert. Dies kann zu unbefugtem Zugriff, Systemkompromittierung und potenziellen Prozessunterbrechungen führen. Die Standardeinstellungen auf Windows-Geräten aktivieren oft verschiedene Dienste und Protokolle, die zwar in IT-Umgebungen nützlich sind, aber in industriellen Netzwerken Schwachstellen verursachen können.

Es ist gängige Praxis, dass Windows-Geräte Tools von Drittanbietern nutzen, um die Funktionalität und den Komfort zu verbessern und bestimmte Anforderungen zu erfüllen. Diese Tools können zwar die Sicherheit und die betrieblichen Möglichkeiten verbessern, sie können aber auch Schwachstellen oder Störungen verursachen, wenn sie nicht sorgfältig in das OT-Netzwerk integriert oder getestet werden.

Angriffsvektor: Schwachstellen in Dateifreigabeprotokollen können von Angreifern genutzt werden, um Zugriff auf vertrauliche Dateien zu erlangen, Malware zu verbreiten oder sich im Netzwerk weiter auszubreiten.

OT-Nutzung: Bei OT-Systemen ist das Teilen von Dateien und Druckerdaten in der Regel nicht erforderlich, was in Büroumgebungen häufiger der Fall ist.

Angriffsvektor: RDP ist ein häufiges Ziel um initial in das Netzwerk zu gelangen. Dies wurde in Vergangenheit oft im Zusammenhang mit Ransomware beobachtet.

OT-Nutzung: In OT-Umgebungen wird der Remote-Zugriff in der Regel innerhalb des Netzwerks zu Konfigurationszwecken verwendet. Er sollte jedoch nicht von außerhalb des lokalen Netzwerks genutzt werden.

Angriffsvektor: Ein falsch konfiguriertes WinRM kann eine nicht autorisierte Fernverwaltung und -steuerung von OT-Geräten ermöglichen.

OT-Verwendung: In der Regel erfolgt die Fernverwaltung im OT-Bereich über spezielle, sichere Kanäle.

Angriffsvektor: SMB-Schwachstellen (z. B. EternalBlue) können ausgenutzt werden, um Remote-Code auszuführen, Daten zu stehlen oder Malware zu verbreiten, insbesondere bei Verwendung veralteter Versionen wie SMB v1 und v2.

OT-Verwendung: Die Dateifreigabe im OT ist unüblich und erfolgt in der Regel über sicherere, kontrollierte Methoden.

Angriffsvektor: Dieser Dienst sucht nach Updates und installiert sie automatisch. Die Implementierung automatischer Updates kann dazu führen, dass ungeprüfte Änderungen eingeführt werden, die möglicherweise den OT-Betrieb stören.

OT-Nutzung: Es ist gängige Praxis, Updates manuell zu verwalten, um Kompatibilität und Stabilität in OT-Umgebungen zu gewährleisten.

Angriffsvektor: SNMP wird für die Verwaltung und Beobachtung von mit dem Netzwerk verbundenen Geräten eingesetzt. Es kann dazu verwendet werden, detaillierte Informationen über Netzwerkgeräte zu sammeln, die für gezielte Angriffe ausgenutzt werden können.

OT-Verwendung: Die Netzwerkverwaltung im OT-Bereich erfolgt in der Regel über spezielle, sichere Systeme.

 [EH1]Kann weg oder ?

Angriffsvektor: Telnet ermöglicht den Zugriff auf virtuelle Terminals von entfernten Systemen in lokalen Netzwerken oder im Internet. Es überträgt Daten im Klartext, was die Daten dadurch anfällig für Abfangungen und Missbrauch macht.

OT-Verwendung: Sichere Alternativen wie SSH sollten für Fernverbindungen im OT-Bereich bevorzugt werden.