Blinde Flecken bei OT-Sicherheit
Kritische Schwachstellen in vielen CPS-Geräten
Fortsetzung des Artikels von Teil 1
Gefährliche Angriffe unter dem CVSS-Radar
Richtig interessant wurde es dann, als die Experten ihre eigene Risikoeinschätzung mit den CVSS-Daten abglichen. Bei dieser Analyse stellten sie fest, dass 38 Prozent der als extrem risikobehaftet identifizierten Systeme nur einen CVSS-Score von unter 9,0 aufweisen. Damit werden sie im Rahmen des herkömmlichen Schwachstellenmanagements oft nur nachrangig priorisiert oder ganz übersehen. Somit kann es also passieren, dass die Nutzung des Scoring-Systems das genaue Gegenteil der dadurch erhofften Sicherheitsverbesserung erreicht, indem die Aufmerksamkeit auf eine Vielzahl nicht unmittelbar gefährlicher Schwachstellen gelenkt wird, während gleichzeitig hochriskante Lücken in Assets unter dem Radar bleiben.
Hier muss betont werden, dass der vermeintlich geringe Anteil der betroffenen Systeme in absoluten Zahlen durchaus eine relevante Größe erreicht. Angesichts von zig Millionen im Einsatz befindlichen CPS ist hier zumindest von hunderttausenden Geräten auszugehen, deren gravierende Schwachstellen Angreifer aus der Ferne ausnutzen können, um sich unberechtigten Zugriff zu verschaffen, sie zu manipulieren, kompromittieren und auszuspionieren. Damit stellen die entsprechenden Systeme eine erhebliche und unmittelbare Gefahr für Unternehmen und oft auch Dritte dar, sind zugleich aber blinde Flecken in den Sicherheitsstrategien.
»Selbst wenn sie irgendwie die unmögliche Aufgabe meistern würden, jede einzelne 9.0+ CVSS-Schwachstelle zu beheben, würden sie immer noch fast 40 Prozent der gefährlichsten Bedrohungen für ihr Unternehmen übersehen«, erklärt Preminger. Er fordert die Einführung eines risiko-basierten Schwachstellenmanagements, um die Sicherheit von Industrie, Infrastrukturen und Patienten sicherstellen zu können: »Unternehmen müssen einen ganzheitlichen Ansatz für das Risiko-Management verfolgen, der sich auf die tickenden Zeitbomben in ihrer Umgebung konzentriert.«
- Kritische Schwachstellen in vielen CPS-Geräten
- Gefährliche Angriffe unter dem CVSS-Radar
Lesen Sie mehr zum Thema
