John Simmons vom FortiGuard-Incident-Response-Team von Fortinet schildert einen Einsatz im Nahen Osten, bei dem sein Team einen mutmaßlich Iran-nahen APT-Akteur identifizierte, der vom IT- in das OT-Netz eines Kunden wechseln wollte. Bei jedem Eindämmungsversuch passte sich der Angreifer an, brachte neue Malware aus und baute Infrastruktur und Zugang fast sofort wieder auf. Statt einzelne Symptome zu bekämpfen, ging das Team zu einer vollständigen Untersuchung über und stieß dabei auf einen unerwarteten Persistenzmechanismus: eine „n-Day"-Schwachstelle, die öffentlich nicht als aktiv ausgenutzt dokumentiert war und einen verlässlichen Wiedereinstieg ermöglichte. Den Angaben zufolge gelang es, den Zugang zu kappen und die Umgebung zu stabilisieren, bevor das OT-Netz vollständig kompromittiert war.

Drastischer fällt die Erinnerung von Brian Proctor, Gründer und CEO von Frenos, aus: In einem Gas-und-Dampf-Kraftwerk wollte ein Mitarbeiter der Compliance-Abteilung einen Schwachstellen-Scan auf den Turbinennetzen ausführen, gestützt auf Anweisungen aus der Führungsebene. Zwei Minuten und elf Sekunden nach dem Start des Scans hätten beide Turbinen vollständig gestoppt – mit einem Geräusch, das noch über eine Meile entfernt zu hören war. Das Sicherheitsteam sei vom Gelände begleitet und jahrelang nicht mehr zugelassen worden. Sein Fazit: keine IT-Werkzeuge in OT-Umgebungen einsetzen.

Kevin Paige, Field CISO bei C1, bewertete eine bundesstaatliche Ingenieurbehörde vor einem Audit. Bei der Netzwerkerkundung fand er nicht inventarisierte Solaris-Server und Netzwerkkameras hinter einer selten genutzten Tür – beide mit Werkseinstellungen und Standard-Zugangsdaten, die Server seit Jahren ungepatcht. Sie steuerten die industriellen Feldsysteme der Behörde und galten als physisch isoliert. Tatsächlich konnte Paige von einem entfernten Arbeitsplatz und später aus dem öffentlichen Internet auf Server und Kameras zugreifen, sich mit Standardzugangsdaten anmelden, Root-Rechte erlangen und Befehle direkt an die Feldsteuerung senden. Der ursprüngliche Entwickler war im Ruhestand, der Wartungsvertrag ausgelaufen.

Mehrere weitere Berichte kreisen um dasselbe Muster. Tenable beschreibt, wie nach einer millionenschweren Firewall-Investition eines Fertigungsunternehmens die eingesetzte OT-Lösung dennoch tausende Geräte per Fernerkennung über das Netzwerk auslesen konnte – die Firewalls behinderten den internen Verkehr nicht. Bei einem Lebensmittelhändler fand Tenable nach wenigen Tagen über 1.000 zuvor unbekannte Anlagen hinter anderen Steuerungssystemen, darunter Geräte am Ende ihres Supportzyklus.

Jose Bonilla von Nozomi Networks berichtet von einem Sensor in einer Fertigungszelle, der wiederkehrend fehlerhaften DNS-Verkehr meldete: ungewöhnlich lange, codierte Subdomains in auffälliger Frequenz. Die Analyse durch das IT-SOC des Kunden bestätigte bekannte Malware, die über DNS-Tunneling mit einem Command-and-Control-Server kommunizierte und Daten ausschleuste. Agnidipta Sarkar von ColorTokens schildert die Suche nach Schatten-IT auf dem Hallenboden eines Pharmaunternehmens, wo offene USB-Ports an einer aktiven Etikettiermaschine, Windows-XP-Konsolen und alte Netzwerkdrucker zutage traten – erschwert durch die in der Pharmaindustrie vorgeschriebene Computer Systems Validation (CSV), die zwischen vier Wochen und 18 Monaten dauern kann.

Nicholas DiCola von Zero Networks und Vivek Ponnada von Frenos fassen das gemeinsame Thema zusammen: Viele Organisationen halten ihre Netze für segmentiert, in der Praxis sind sie weit durchlässiger als beabsichtigt – und ein einziger Brückenkopf in der IT kann die produktionskritischen Systeme erreichen.