Immer wieder hört man von Security-Vorfällen, wo Angreifer durch Fernwartungszugänge Zugriff auf Systeme erlangt haben. So unter anderem zuletzt bei einem Wasserversorger in Oldsmar, Florida, wo sich ein Angreifer über TeamViewer Zugriff auf eine Bedienoberfläche verschaffen hat. Viele Kunden in der Industrie verwenden TeamViewer als Remote-Access-Lösung. Im Rahmen von OT Infrastructure Assessments helfen wir unseren Kunden, Technologien zu bewerten, bevor diese im Unternehmen ausgewählt werden.
Fernwartungszugänge sind für OT-Systeme extrem wichtig und praktisch, sowohl für das Bedienpersonal als auch den Anlagenbauer oder Integrator. Es gibt praktisch kein OT-System, das nicht auf irgendeine Art und Weise einen Fernzugriff integriert hat (für Instandhaltung, Wartung, Störungsbehebung, etc.). Wenn die Fernwartungszugänge, wie bei dem Wasserversorger in Oldsmar, unzureichend abgesichert sind, können diese direkt aus dem Internet angesteuert werden. In Fällen, wo eine einfache Portweiterleitung an der Firewall eingerichtet ist (wenn die verwendeten Ports TCP/5938 und UDP/5938 bzw. TCP/80 oder TCP/443 beispielsweise direkt durchgeschalten sind), kann ein Angreifer diese Fernwartungsdienste aus dem Internet als solche erkennen. Werden einfach zu erratende Benutzer (z.B.: admin) und Passwörter (z.B.: remote) verwendet, ist es für den Angreifer ein Leichtes, Zugriff zu erlangen.
Wie kann ich mich als Unternehmen schützen?
Der erste Schritt in Richtung sichere Fernwartungszugänge ist die Untersuchung der eigenen Angriffsoberfläche. Mit unserem Distributed Cyber Recon System identifizieren wir die reale Angriffsfläche und identifizieren potentielle Schwachstellen. Durch einen Penetration-Test werden ebenso unterschiedliche Fernwartungszugänge aufgedeckt und genutzt, da bei einem Pentest insbesondere die Schnittstellen nach außen aus Sicht eines Angreifers geprüft werden. Eine technische Prüfung der Sicherheit von eingesetzten Fernwartungslösungen ist ebenso möglich. Wir bei Limes Security arbeiten herstellerunabhängig und prüfen Systeme objektiv, unabhängig vom eingesetzten Hersteller. Präventiv ist es beispielsweise durchaus sinnvoll Instanzen von TeamViewer zu identifizieren und zu prüfen, wie diese mit dem Internet verbunden sind. Eine Prüfung, welche Art der Konnektivität TeamViewer nutzt (einfache Port-Weiterleitung oder getunnelte Verbindung), schafft hier Klarheit.
Unabhängig von der eingesetzten Remote-Access-Lösung empfehlen wir zwei Dinge:
Sie haben Fragen zur Sicherheit Ihrer OT oder Ihrer OT-Fernwartungslösung?
