Datenschutz | Impressum
News abonnieren
HomeAllgemeinTechnikSecurityClaroty-Report analysiert XIoT-Risiken

Claroty-Report analysiert Risiken

Viele XIoT-Schwachstellen können
aus der Ferne ausgenutzt werden

Laut einem Report des IT-Security-Spezialisten Claroty sind die in der zweiten Jahreshälfte 2022 bekannt gewordenen Schwachstellen in cyber-physischen Systemen nach dem Höchststand im zweiten Halbjahr 2021 um 14 Prozent zurückgegangen. Gleichzeitig haben die von internen Forschungs- und Produktsicherheitsteams entdeckten Schwachstellen im gleichen Zeitraum um 80 Prozent zugenommen.

Der State of XIoT Security-Report wurde vom Claroty-Forschungsteam Team82 zusammengestellt und soll eine tiefgreifende Untersuchung und Analyse von Schwachstellen bieten, die sich auf das XIoT auswirken, einschließlich Betriebstechnik und industrielle Kontrollsysteme (OT/ICS), das Internet of Medical Things (IoMT), Gebäudemanagementsysteme und Enterprise-IoT. Der Report umfasst Schwachstellen, die im zweiten Halbjahr 2022 von Team82 und weiteren Quellen wie etwa der National Vulnerability Database (NVD), dem Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), CERT@VDE, MITRE und den Industrieautomationsherstellern Schneider Electric und Siemens veröffentlicht wurden. Die Claroty-Spezialisten kommen zu folgenden Ergebnissen:

Betroffene Geräte: 62 Prozent der veröffentlichten OT-Schwachstellen betreffen Geräte der Stufe 3 des Purdue-Modells für industrielle Kontrollsysteme. Diese Geräte steuern Produktionsabläufe und stellen wichtige Schnittstellen zwischen IT- und OT-Netzwerken dar und sind daher für Angreifer sehr attraktiv.

Schweregrad: 71 Prozent der Schwachstellen wurden mit dem CVSS v3-Score ‘kritisch’ (9,0-10) oder ‘hoch’ (7,0-8,9) bewertet. Dies spiegelt die Tendenz der Sicherheitsforscher wider, sich auf die Identifizierung von Schwachstellen mit den größten potenziellen Auswirkungen zu konzentrieren, um eine maximale Schadensbegrenzung zu erzielen. Darüber hinaus befinden sich vier der fünf bedeutendsten Schwachstellen des Reports auch unter den ersten fünf der von MITRE identifizierten 25 gefährlichsten Software-Schwachstellen 2022. Diese können relativ einfach ausgenutzt werden, so die Claroty-Spezialisten, und es Angreifern ermöglichen, die Systemverfügbarkeit und die Bereitstellung von Diensten zu stören.

  • Angriffsvektoren: 63 Prozent der Schwachstellen können laut Claroty-Report aus der Ferne ausgenutzt werden, das heißt ein Angreifer benötigt keinen lokalen, benachbarten oder physischen Zugang zu dem betroffenen Gerät, um die Schwachstelle auszunutzen.
  • Auswirkungen: Als größte potenzielle Auswirkung identifiziert der Bericht die unbefugte Remote-Code- oder Befehlsausführung (bei 54 Prozent der Schwachstellen), gefolgt von Denial-of-Service (Absturz, Beenden oder Neustart) mit 43 Prozent.
  • Abhilfemaßnahmen: Die wichtigste Abhilfemaßnahme ist die Netzwerksegmentierung (empfohlen in 29 Prozent der Schwachstellenmeldungen), gefolgt von sicherem Fernzugriff (26 Prozent) und Schutz vor Ransomware, Phishing und Spam (22 Prozent).
  • Team82: Team82 hat im zweiten Halbjahr 2022 65 Schwachstellen gemeldet, von denen 30 mit einem CVSS v3-Score von 9,5 oder höher bewertet wurden. Bis heute wurden über 400 Schwachstellen von Clarotys Forschungsabteilung gemeldet.

 

Datum:2. März 2023

Autoren:Claroty

Themen: Security, Technik

Webseite: www.claroty.com

Downloads:

Das könnte Sie auch interessieren

Exklusiv für Abonnenten
Security

Wenn Sicherheit zum Risiko wird

Warum eine fachlich überschätzte IT-Abteilung der IT-Sicherheit schadet

Wenn Sicherheit zum Risiko wird

Vier von fünf Befragten bescheinigen ihrer IT-Abteilung große Kompetenzen. Das ist das Ergebnis einer aktuellen Studie von G Data CyberDefense, Statista und Brand Eins. Die Zuschreibung hervorragender Fähigkeiten der IT-Verantwortlichen zeige das Vertrauen in ihre Arbeit, so die Studienverantwortlichen, gleichzeitig offenbare sich dadurch aber auch ein Risiko für die IT-Sicherheit in Unternehmen.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Quae sequuntur igitur? Istam voluptatem perpetuam quis potest praestare sapienti? Duo Reges: constructio interrete. Vide, quantum, inquam, fallare, Torquate. Quae duo sunt, unum facit. Quasi ego id curem, quid ille aiat aut neget. Quis, quaeso, illum negat et bonum virum et comem et humanum fuisse? Tollitur beneficium, tollitur gratia, quae sunt vincla concordiae. Quae sunt igitur communia vobis cum antiquis, iis sic utamur quasi concessis;

Deprehensus omnem poenam contemnet. Semper enim ex eo, quod maximas partes continet latissimeque funditur, tota res appellatur. Dicet pro me ipsa virtus nec dubitabit isti vestro beato M. Qui autem esse poteris, nisi te amor ipse ceperit? Vide, ne etiam menses! nisi forte eum dicis, qui, simul atque arripuit, interficit. Themistocles quidem, cum ei Simonides an quis alius artem memoriae polliceretur, Oblivionis, inquit, mallem. In quibus doctissimi illi veteres inesse quiddam caeleste et divinum putaverunt. Proclivi currit oratio.

Ex quo, id quod omnes expetunt, beate vivendi ratio inveniri et comparari potest. Nunc de hominis summo bono quaeritur; Etenim nec iustitia nec amicitia esse omnino poterunt, nisi ipsae per se expetuntur.

Dolor ergo, id est summum malum, metuetur semper, etiamsi non aderit; Aeque enim contingit omnibus fidibus, ut incontentae sint. In his igitur partibus duabus nihil erat, quod Zeno commutare gestiret. Sit hoc ultimum bonorum, quod nunc a me defenditur; Huius, Lyco, oratione locuples, rebus ipsis ielunior. Te autem hortamur omnes, currentem quidem, ut spero, ut eos, quos novisse vis, imitari etiam velis. Hic ambiguo ludimur. Sed vos squalidius, illorum vides quam niteat oratio.

Huius ego nunc auctoritatem sequens idem faciam. Consequentia exquirere, quoad sit id, quod volumus, effectum. Qui ita affectus, beatum esse numquam probabis; Haec quo modo conveniant, non sane intellego. Tum Quintus: Est plane, Piso, ut dicis, inquit. Dici enim nihil potest verius. In qua si nihil est praeter rationem, sit in una virtute finis bonorum; Tum Piso: Quoniam igitur aliquid omnes, quid Lucius noster? Tum Triarius: Posthac quidem, inquit, audacius. Omnia contraria, quos etiam insanos esse vultis.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Quae sequuntur igitur? Istam voluptatem perpetuam quis potest praestare sapienti? Duo Reges: constructio interrete. Vide, quantum, inquam, fallare, Torquate. Quae duo sunt, unum facit. Quasi ego id curem, quid ille aiat aut neget. Quis, quaeso, illum negat et bonum virum et comem et humanum fuisse? Tollitur beneficium, tollitur gratia, quae sunt vincla concordiae. Quae sunt igitur communia vobis cum antiquis, iis sic utamur quasi concessis;

Deprehensus omnem poenam contemnet. Semper enim ex eo, quod maximas partes continet latissimeque funditur, tota res appellatur. Dicet pro me ipsa virtus nec dubitabit isti vestro beato M. Qui autem esse poteris, nisi te amor ipse ceperit? Vide, ne etiam menses! nisi forte eum dicis, qui, simul atque arripuit, interficit. Themistocles quidem, cum ei Simonides an quis alius artem memoriae polliceretur, Oblivionis, inquit, mallem. In quibus doctissimi illi veteres inesse quiddam caeleste et divinum putaverunt. Proclivi currit oratio.

Ex quo, id quod omnes expetunt, beate vivendi ratio inveniri et comparari potest. Nunc de hominis summo bono quaeritur; Etenim nec iustitia nec amicitia esse omnino poterunt, nisi ipsae per se expetuntur.

Anzeige
Technik

Zahl der Patentanmeldungen aus Deutschland rückläufig

Im Jahr 2022 hat sich die Zahl der Patentanmeldungen etwas stabilisiert. Wie das Deutsche Patent- und Markenamt mitteilt, kommen allerdings weniger Erfindungen aus Deutschland. Auch die Zahl der Anmeldungen aus Maschinenbau und Automobilindustrie ging zurück.‣ weiterlesen
Robotik und Produktion

Kollege Roboter, kannst Du einen Zahn zulegen?

Industrielle Fertigungsprozesse sollen gleichermaßen effizient, flexibel und für die Beschäftigten sicher sein. Arbeiten Mensch und Roboter gemeinsam an komplexen Aufgaben, gilt es, Zielkonflikte zwischen diesen Anforderungen zu vermeiden. Im EU-Projekt Sharework entwickelte das Team vom Fraunhofer IWU um Aquib Rashid, Ibrahim Al Naser und Mohamad Bdiwi dazu einen Geschwindigkeitsregler sowie ein multimodales, umfassendes Wahrnehmungssystem. Zwar muss die Roboterbewegung bei menschlicher Annäherung auch weiterhin verlangsamt werden, aber deutlich weniger als bisher.‣ weiterlesen
Technik

Schnelle und günstige 6G-Campus-Netze

Mit der sechsten Generation Mobilfunk sollen Unternehmen noch einfacher eigene Campus-Netzwerke zur Steuerung von Maschinen und Anlagen aufspannen können. Im Projekt 6G-Campus werden eine innovative Campus-Netz-Technologie namens OpenXG und darauf basierend spezielle Komponenten und Architekturen entwickelt.‣ weiterlesen
Technik

Das Industrial WLAN im Blick behalten

Zur technischen Basis in Fabrikumgebungen zählen auch drahtlose Netzwerke. Neben drahtlosen Technologien wie 5G und Bluetooth ist auch das Industrial WLAN (IWLAN) ein gängiger Ansatz. Doch was ist eigentlich IWLAN, und wie kann man es monitoren? Felix Berndt, Business Development Manager for IIoT and Data Centers EMEA bei Paessler gibt Tipps.‣ weiterlesen

Exklusiv für Abonnenten
Industrie 4.0

Arbeit an der Produktion der Zukunft

Von der Fabrikplanung über die Fertigung bis zur Logistik: Wie können wir mit Hilfe von Daten einzelne Maschinen, Prozesse und die gesamte Produktion eines Unternehmens effizienter und produktiver gestalten? Im Projekt 'Datenfabrik.NRW' des Spitzenclusters It's OWL haben die Unternehmen Claas und Schmitz Cargobull gemeinsam mit NTT Data Business Solutions, Duvenbeck Kraftverkehr und MotionMiners sowie den Fraunhofer-Instituten IEM, IML, IOSB-INA und IAIS ein Modell für eine datengetriebene Fabrik der Zukunft erarbeitet. Insgesamt sollen 50 Use Cases implementiert werden.‣ weiterlesen