Vom Cyberspace in die physische Welt: Wie vernetzte Systeme sicher gemacht werden können

Die Grenzen zwischen virtuellen und physischen Gefahren verschwimmen zunehmend. „Cyberphysische“ Attacken stellen hierbei eine neue Form von Übergriff dar, bei der digitale Handlungen direkte Auswirkungen auf die physische Welt haben. Mit dem Aufkommen vernetzter Systeme beschränken sich Angriffe nicht allein auf Daten, sondern zielen darauf ab, physische Vermögenswerte wie kritische Infrastrukturen, Unternehmensdienste oder sogar wichtige Alltagsprozesse zu schädigen. Dieses Szenario gefährdet nicht nur Ressourcen wie Strom, Wasser und Gas, sondern auch die Sicherheit von Menschen, Organisationen und allen angrenzenden Bereichen, die von diesen Systemen abhängig sind.

Ein typisches Beispiel hierfür ist der im August 2024 erfolgte Cyberangriff auf den Hafen von Seattle in den USA, der zu einer Unterbrechung essenzieller Hafenabläufe führte. Ein weiterer Vorfall dieser Art war der Angriff auf das Fahrradverleihunternehmen RideMovi in Bologna (Italien) im Juni 2024. In diesem Fall wurden die Systeme des Unternehmens durch eine gehackte App kompromittiert, sodass Fahrräder unbefugt entsperrt werden konnten. Als Folge dieses Missbrauchs fielen 80 Prozent der Fahrräder aufgrund von Schäden und beschleunigtem Verschleiß aus, was die Verfügbarkeit des Dienstes stark beeinträchtigte. 

Diese Vorfälle zeigen, wie die zunehmende Verschmelzung von Informationstechnologie (IT) und Betriebstechnologie (OT) neue Angriffsmöglichkeiten eröffnet, die es Cyberkriminellen ermöglichen, in Systeme einzudringen, sich lateral zu bewegen und sowohl die digitale als auch die physische Sicherheit zu beeinträchtigen.

Wie funktionieren diese Angriffe? 

Cyberphysische Angriffe setzen auf herkömmliche Angriffsvektoren, um vernetzte Systeme zu kompromittieren und digitalen Aktionen spürbare physische Einschnitte folgen zu lassen. Die gängigsten Einfallstore im Überblick:

• Ausnutzung von Schwachstellen: Cyberkriminelle identifizieren Lücken und nutzen Schwachstellen in Software, Hardware oder Kommunikationsprotokollen aus, um sich Zugang zu sensiblen Systemen zu verschaffen und den physischen Betrieb zu gefährden.
• Konfigurationsfehler und Altsysteme: Viele Organisationen arbeiten mit veralteten oder falsch konfigurierten Infrastrukturen, die böswilligen Akteuren den Zugang erleichtern.
• Bedrohungen, die auf die Konvergenz von IT und OT abzielen: Hacker nutzen die fortschreitende Verschmelzung von Betriebs- und Informationsnetzen aus, um in Systeme einzudringen, sich lateral zu bewegen und physische Prozesse zu gefährden.
• Unzureichend gesicherte Fernzugriffstechniken: Unzureichend konfigurierte Tools wie RDP ermöglichen es Angreifern, in vernetzte IT-Infrastrukturen einzudringen. Dadurch können kritische physische Prozesse gestört werden, indem der Zugang zu Steuerungen blockiert wird – beispielsweise in Form des Herunterfahrens von Maschinen oder der Deaktivierung kritischer automatisierter Systeme.
• Taktische Nutzung schlecht segmentierter Netzwerke: Hacker nutzen Netzwerke ohne effektive Segmentierung aus, indem sie sich seitlich bewegen, um kritische Systeme zu erreichen. Auf diese Weise können sie mehrere Punkte innerhalb der verbundenen Infrastruktur kompromittieren – für einfachen Zugang zu physischen Systemen und mehr Reichweite innerhalb des Unternehmens.

Drei wichtige Säulen für den Schutz vernetzter Systeme

Der Schutz vernetzter Systeme gegenüber cyberphysischen Angriffen erfordert eine umfassende Strategie, die fortschrittliche Technologien mit bewährten Verfahren kombiniert. Werkzeuge, die in der Lage sind, bösartige Aktivitäten frühzeitig zu erkennen und Verhaltensmuster zu analysieren, ermöglichen es, die Sicherheit physischer und digitaler Infrastrukturen zu erhöhen. Sie bieten eine robustere, an die aktuelle Situation angepasste Verteidigung.

Durch die Integration eines Systems wie ThreatSync+ NDR von WatchGuard erhalten Unternehmen hocheffektive Funktionalität zur Erkennung und Abwehr von Netzwerkgefahren sowie zur Einhaltung von Compliance-Vorgaben. ThreatSync+ NDR wurde speziell für Cybersicherheitsteams mit verteilten Netzwerken entwickelt. Diese können die besonderen Herausforderungen bei der Absicherung vernetzter Infrastrukturen entlang dieser drei wichtigen Säulen angehen:

1. Proaktive Überwachung und Erkennung:

Kontinuierliche Überwachung in Verbindung mit einer detaillierten Analyse des Netzwerkverkehrs hilft bei der Erkennung anomaler Muster (beispielsweise im Hinblick auf laterale Bewegungen oder nicht autorisierte Netzwerkaktivitäten), so dass Bedrohungen eingedämmt werden können, bevor sie kritische Systeme gefährden.

2. Automatisierte Reaktion:

Sobald Netzwerkrisiken und Bedrohungen identifiziert sind, werden sie automatisch an eine XDR-Plattform zur Behebung weitergeleitet. Dies ermöglicht eine einheitliche Reaktion, die schnelle und effektive Maßnahmen koordiniert, um die Auswirkungen von cyberphysischen Vorfällen zu minimieren und die Reaktionszeit erheblich zu verkürzen.

3. Zentralisierte Sichtbarkeit:

Durch die integrierte Überwachung von IT- und OT-Netzwerken ergibt sich eine einheitliche Sicht auf alle miteinander verbundenen Umgebungen – inklusive stichhaltiger Identifizierung und Priorisierung von Risiken.

In einer Welt, in der sich digitale Bedrohungen auf die physische Welt auswirken können, muss der Schutz vernetzter Systeme über herkömmliche Maßnahmen hinausgehen. Es bedarf einer präzisen Koordination zwischen Technologie, Prozessen und Menschen, um Angriffe zu antizipieren und effektiv darauf zu reagieren. Durch die Umsetzung umfassender Strategien, bei denen Transparenz, Automatisierung und Früherkennung im Vordergrund stehen, können Unternehmen nicht nur Risiken minimieren, sondern auch einen zuverlässigen und stabilen Betrieb in einer sich ständig verändernden Umgebung sicherstellen.