site-logo
site-logo
site-logo

Der USB-Stick, der eine Raffinerie lahmlegen könnte

Der USB-Stick, der eine Raffinerie lahmlegen könnte

Der USB-Stick, der eine Raffinerie lahmlegen könnte

Schnittstellen-Prüfstation für Wechselmedien
author

Team Shieldworkz

Wechseldatenmedien gehören nach wie vor zu den am häufigsten ausgenutzten Angriffsvektoren in Operational Technology (OT)-Umgebungen. Folgendes müssen OT-Sicherheitsverantwortliche darüber wissen – und dagegen tun.

Im Jahr 2010 löste ein einziger USB-Stick – von einem externen Dienstleister an einer Workstation der Nuklearanlage Natanz im Iran angeschlossen – den folgenschwersten Cyberangriff aus, der je gegen eine industrielle Infrastruktur verübt wurde. Stuxnet gelangte nicht über das Internet dorthin. Es war weder eine Phishing-E-Mail noch ein kompromittiertes VPN-Gateway erforderlich. Die Schadsoftware gelangte über ein Wechselmedium in das System, breitete sich lautlos aus und zerstörte Zentrifugen, während die Bediener auf Dashboards blickten, die einen völlig normalen Betrieb anzeigten.

Mehr als fünfzehn Jahre später stellen Wechselmedien nach wie vor eine der am wenigsten kontrollierten und gefährlichsten Angriffsflächen in OT-Umgebungen dar. Die Bedrohung hat sich nicht verringert. Im Gegenteil, sie hat sich intensiviert: Ransomware-Gruppen haben erkannt, dass Wechselmedien eine zuverlässige Möglichkeit bieten, netzwerkbasierte Sicherheitsvorkehrungen zu umgehen. Nationalstaatliche Akteure haben es gezielt auf physisch vom Internet getrennte (air-gapped) Industrieanlagen abgesehen, da herkömmliche Einbruchstechniken dort scheitern, und der stark zugenommene Zugriff von externen Partnern und Dienstleistern hat die Angriffsfläche drastisch vergrößert.

Dieser Artikel bietet eine praxisnahe Untersuchung der Bedrohung durch Wechselmedien in OT-Umgebungen, der Prinzipien, die einer effektiven Medienscan-Kontrolle zugrunde liegen, sowie der Governance- und Betriebsstrukturen, die erforderlich sind, damit diese Kontrollmechanismen in der Praxis auch eine Wirkung erzielen.

„Ein Air-Gap ist keine Sicherheitsmaßnahme. Es ist eine Grenze. Ein Wechselmedium ist die Straße, die diese Grenze überquert – und ohne einen Kontrollpunkt steht diese Straße jedem offen.“

Warum OT-Umgebungen in einzigartiger Weise gefährdet sind

Die grundlegende Herausforderung bei der Absicherung von Wechselmedien in der OT ist keine technische – sie ist kontextabhängig. Derselbe USB-Stick, der auf einem Unternehmens-Laptop ein kalkulierbares Risiko darstellt, wird zu einem potenziell katastrophalen Vektor, sobald er an ein Prozessleitsystem (DCS) angeschlossen wird, das einen chemischen Prozess steuert, an ein Sicherheitsgerichtetes System (SIS) in einem Kraftwerk oder an eine Speicherprogrammierbare Steuerung (PLC) in einer Produktionslinie.

Mehrere Eigenschaften von OT-Umgebungen verschärfen dieses Risiko:

Lange Lebenszyklen von Anlagen. OT-Anlagen sind routinemäßig 15 bis 25 Jahre im Einsatz. Viele laufen unter Windows XP, Windows 7 oder eingebetteten Betriebssystemen, für die der Support bereits beendet ist und die keine Sicherheits-Patches mehr erhalten. Legacy-Schwachstellen – darunter USB-AutoRun-Exploits, die in IT-Umgebungen vor Jahren behoben wurden – sind in der OT nach wie vor aktiv.

Eingeschränkte Wartungsfenster. Im Gegensatz zu IT-Systemen, die im laufenden Betrieb gepatcht und neu gestartet werden können, werden OT-Systeme oft nur bei geplanten Abschaltungen offline genommen, was mitunter nur ein- oder zweimal im Jahr vorkommt. Dies schränkt die Möglichkeit, Endpoint-Security-Software zu installieren, stark ein.

Hohe Abhängigkeit von Herstellern und Dienstleistern. OT-Systeme müssen regelmäßig von Anlagenherstellern, Systemintegratoren und Spezialdienstleistern gewartet werden. Diese reisen mit Laptops und USB-Sticks an, die bereits mit zahlreichen anderen Kundenumgebungen verbunden waren – von denen jede kompromittiert gewesen sein könnte.

Produktionspriorität vor Sicherheit. In operativen Umgebungen hat die Systemverfügbarkeit oberste Priorität. Sicherheitskontrollen, die zu Verzögerungen oder Risiken für die Produktion führen, werden umgangen – manchmal genau von den Personen, die für deren Durchsetzung verantwortlich sind.

Trügerische Sicherheit durch Air-Gaps. Betreiber von air-gapped OT-Netzwerken gehen häufig davon aus, dass die Netzwerkisolierung die Bedrohung eliminiert. Dies trifft zwar auf netzwerkbasierte Bedrohungen zu, trägt jedoch nichts dazu bei, Risiken durch Wechselmedien zu verhindern.

Das Dienstleister-Problem: In den meisten Industrieumgebungen ist das risikoreichste Szenario für Wechselmedien nicht ein böswilliger Insider, sondern ein unwissentlich kompromittierter Dienstleister-Laptop. Ein Servicetechniker wartet im Jahr oft Dutzende Kundenstandorte und verbindet seinen Engineering-Laptop sowie tragbare Medien mit verschiedenen OT-Umgebungen. Ein einziger infizierter Standort in dieser Kette kann Malware auf jeden nachfolgenden Kunden übertragen. Dies ist kein hypothetisches Risiko, sondern ein dokumentiertes Muster bei zahlreichen OT-Sicherheitsvorfällen.

Die Bedrohungslage: Wovor Sie sich tatsächlich schützen müssen

Bedrohungen durch Wechselmedien in der OT decken ein breites Spektrum ab – von opportunistischer Malware, die sich wahllos verbreitet, bis hin zu zielgerichteten Schadprogrammen, die für spezifische industrielle Systeme entwickelt wurden. Das Verständnis dieser Bedrohungskategorien ist für die bedarfsgerechte Auslegung von Sicherheitskontrollen unerlässlich.

Medientypen und Risiko

USB-Flash-Laufwerke stellen mengenmäßig den am häufigsten genutzten Risikovektor dar. Externe Festplatten und tragbare Workstations bieten eine größere Speicherkapazität und werden häufig für System-Backups, die Datenextraktion aus Historian-Systemen und Inbetriebnahmen genutzt – was sie zu attraktiven Zielen sowohl für das Einschleusen von Malware als auch für den Datenabfluss macht. Medien für Firmware-Updates gehören zu den vertrauenswürdigsten und damit gefährlichsten Medien: Vom Hersteller bereitgestellte Firmware-Pakete werden in der Regel ungeprüft übernommen, obwohl die Kompromittierung der Lieferkette bei Firmware-Verteilkanälen bereits in mehreren industriellen Vorfällen dokumentiert wurde.

Angriffsmechanismen

Zu den gängigen Mechanismen zur Verbreitung von Schadsoftware über Wechselmedien in OT-Umgebungen gehören die Ausnutzung von Windows-AutoRun (auf Altsystemen nach wie vor effektiv), Angriffe über LNK-Verknüpfungsdateien, die beim Durchsuchen eines Verzeichnisses Payloads ausführen, DLL-Side-Loading unter Verwendung manipulierter Bibliotheken im Verzeichnis legitimer OT-Software sowie die Ausnutzung von Engineering-Software – hierbei lösen manipulierte Projektdateien beim Öffnen Schwachstellen in SCADA- oder PLC-Programmierwerkzeugen aus. Besonders gefährlich ist ruhende Malware, die sich erst bei Verbindung mit einem bestimmten Netzwerk oder nach einer programmierten Verzögerung aktiviert, da sie die Erstprüfung unentdeckt passieren kann.

Historische Vorfälle: Lehren, die nach wie vor gelten

Stuxnet – 2010: Über einen USB-Stick in eine kerntechnische Anlage ohne Internetanbindung eingeschleust. Nutzte vier Windows-Zero-Day-Schwachstellen aus. Der Vorfall zeigte, dass eine physische Trennung gegenüber einem entschlossenen, gut ausgestatteten Angreifer, der Wechselmedien als Übertragungskanal nutzt, unzureichend ist.

Conficker in ICS – 2008–2014: Ein für IT-Umgebungen entwickelter Wurm breitete sich über USB-AutoRun in die OT aus. Industrieanlagen meldeten Infektionen noch Jahre nach der Verfügbarkeit von Patches – ein Beleg dafür, wie Trägheit beim Patchen in der OT bekannte Schwachstellen aktiv hält, lange nachdem sie in der IT als behoben gelten.

TRITON/TRISIS – 2017: Zielte auf Triconex-Sicherheitsgerichtete Systeme in einer petrochemischen Anlage ab. Wechselmedien wurden als einer der Einstiegswege identifiziert. Die Absicht, Sicherheitssysteme zu deaktivieren, machte diesen Vorfall von einem reinen Cybersicherheitsereignis zu einem Ereignis der Anlagensicherheit (Process Safety Event).

Wiederherstellung nach NotPetya – 2017: Die primäre Verbreitung erfolgte netzwerkbasiert, doch die Wiederherstellungsmaßnahmen bargen ein sekundäres Risiko: Kontaminierte Wiederherstellungsmedien an mehreren Standorten erschwerten die Systemwiederherstellung. Wiederherstellungsphasen sind für die Mediensicherheit hochgradig risikoreich – ein Aspekt, den Organisationen bei ihrer Planung häufig vernachlässigen.

Die Gemeinsamkeit dieser Vorfälle liegt nicht in ihrer technischen Komplexität, sondern in der Kombination aus blindem Vertrauen in Wechselmedien und dem Fehlen einer systematischen Prüfung an der Schnittstelle zur OT-Umgebung.

Was Medienscans tatsächlich leisten

Medien-Scanning-Lösungen sind speziell entwickelte Sicherheitsplattformen, die Wechselmedien auf Malware, unbefugte Inhalte und Richtlinienverstöße prüfen, bevor diese Medien in der OT-Umgebung verwendet werden dürfen. Der wesentliche architektonische Unterschied zu Endpoint-Security-Lösungen besteht darin, dass sie extern betrieben werden – als Kontrollinstanz (Gatekeeper) an der Grenze zwischen der Außenwelt und dem geschützten OT-Bereich – und nicht als lokal installierte Software auf den OT-Anlagen selbst.

Dieses zerstörungsfreie, nicht-invasive Design ist keine Schwachstelle, sondern ein wesentlicher Vorteil. Medienscans können eingeführt werden, ohne Altsysteme zu beeinträchtigen, ohne Änderungen am Betriebssystem vornehmen zu müssen und ohne Risiken hinsichtlich der Softwarekompatibilität zu erzeugen. Sie arbeiten hersteller- und anlagenunabhängig von den geschützten Systemen.

Zentrale Erkennungsfunktionen:

Signaturbasierte Erkennung – Schnelle, zuverlässige Erkennung bekannter Malware durch den Abgleich von Dateihashes und Byte-Mustern mit kontinuierlich aktualisierten Datenbanken.

Verhaltensanalyse (Anomalieerkennung) – Erkennt Indikatoren für böswilliges Verhalten in Dateistrukturen und Mustern im Programmiercode, ohne dass eine bekannte Signatur vorliegen muss – besonders effektiv gegen neuartige Varianten.

Sandboxing – Führt verdächtige Dateien in einer isolierten Testumgebung aus, um das tatsächliche Laufzeitverhalten zu beobachten. Effektiv gegen komplexe Packer und Verschleierungstechniken.

Content Disarm and Reconstruction (CDR) – Entfernt sämtliche aktiven und ausführbaren Inhalte aus Dokumenten und rekonstruiert eine sichere Kopie. Dadurch werden Zero-Day-Risiken für Dokumententypen ohne Erkennungsabhängigkeit minimiert.

Prüfung von Prüfsummen (Hash-Validierung) – Verifiziert die Dateiintegrität anhand von Prüfsummen des Herstellers. Dies ist besonders kritisch bei Firmware-Images und signierten Softwarepaketen.

Makro- und Skriptanalyse – Untersucht Office-Dokumente und Engineering-Dateien auf eingebettete Makros und Skripte, die bei zielgerichteten Angriffen auf die Industrie häufig als Einfallstor dienen.

CDR: Die am wenigsten genutzte Sicherheitsfunktion in der OT-Mediensicherheit: CDR (Content Disarm and Reconstruction) versucht nicht, Schadsoftware zu erkennen. Es eliminiert die Möglichkeit schädlicher aktiver Inhalte, indem es Dateien zerlegt, alle ausführbaren Elemente entfernt und eine funktional identische, absolut sichere Version rekonstruiert. Für gängige Dateitypen wie PDFs und Office-Dokumente bietet CDR Sicherheitsgarantien, die signatur- und verhaltensbasierte Scanner nicht leisten können – auch im Hinblick auf Zero-Day-Bedrohungen. CDR ist die wirksamste Ergänzung, die Betreiber für ein einfaches Scan-Verfahren einführen können, und dennoch bleibt die Technologie in den meisten OT-Umgebungen ungenutzt.

Bereitstellungsmodelle: Abstimmung der Sicherheitskontrollen auf die Betriebliche Realität

Freistehende Scan-Kioske sind physische Stationen an Zugangspunkten oder Sicherheitsschleusen von Standorten. Anwender schließen dort ihre Medien an, erhalten das Scan-Ergebnis und bekommen – bei gut organisierten Prozessen – einen physischen Freigabenachweis ausgehändigt, der das Medium begleiten muss. Diese eignen sich besonders für Standorte mit fest definierten Zugängen und hohem Dienstleisteraufkommen.

Mobile Scan-Stationen sind robuste Geräte für den Außeneinsatz – beispielsweise zur Unterstützung bei Revisionen, an abgelegenen Standorten oder während Inbetriebnahmen. Sie ermöglichen eine konsequente Überprüfung auch an Orten, an denen ein dauerhafter Kiosk unpraktikabel ist.

Zentralisierte Scan-Architekturen verbinden mehrere Scan-Terminals mit einem zentralen Verwaltungsserver. Dies ermöglicht ein konsistentes Signaturmanagement, eine zentrale Protokollierung und die Anbindung an SIEM-Systeme. Sie eignen sich für etablierte Sicherheitskonzepte mit Verteilung über mehrere Standorte.

Eine wesentliche operative Einschränkung: In air-gapped Umgebungen müssen Signatur-Updates über einen kontrollierten Offline-Kanal eingespielt werden – typischerweise über eine gehärtete Update-Workstation oder eine Datendiode. Der Versuch, die Scan-Infrastruktur von den Kontrollen auszunehmen, die für die eigentlichen OT-Anlagen gelten, stellt einen schwerwiegenden Governance-Fehler dar, der bereits mehrere Implementierungen kompromittiert hat.

Governance: Der Faktor, der Tatsächlich über den Erfolg Entscheidet

Die häufigste Ursache für das Scheitern von OT-Mediensicherheitsprogrammen ist kein technologisches Defizit, sondern eine mangelhafte Governance. Unternehmen richten Scan-Kioske ein, stellen fest, dass das Personal sie als lästig empfindet, und lassen nach und nach informelle Ausnahmen zu, bis die Kioske nur noch von Dienstleistern genutzt werden, dann unregelmäßig und schließlich überhaupt nicht mehr. Die Technologie ist vorhanden. Die Richtlinie existiert. Es mangelt jedoch an der Durchsetzung.

Eine effektive Governance erfordert das präzise Zusammenspiel von vier Säulen:

Klare Verantwortlichkeiten. Ein namentlich benannter Verantwortlicher an jedem Standort muss für die Einhaltung der Mediensicherheit sorgen. Ohne lokale Zuständigkeit fühlt sich letztendlich niemand für die Durchsetzung verantwortlich.

Formales Ausnahmemanagement. Ausnahmen lassen sich im betrieblichen Alltag nicht vermeiden – sei es bei Notfallwartungen, durch Einschränkungen veralteter Systeme oder bei zeitkritischen Herstellereinsätzen. Ohne einen formalisierten Prozess nehmen informelle Ausnahmen überhand. Mit einem festen Prozess werden Ausnahmen dokumentiert, zeitlich befristet, von autorisierter Stelle genehmigt und einer anschließenden Überprüfung unterzogen.

Vertragliche Anforderungen an Dienstleister. Pflichten zur Nutzung von Medienscans müssen fest in den Dienstleistungsverträgen und Rahmenvereinbarungen verankert sein – anstatt sie erst mündlich am Werkstor zu kommunizieren. Dienstleister, die unvorbereitet eintreffen, versuchen andernfalls und oft erfolgreich, Kontrollmechanismen informell zu umgehen.

Kennzahlen und Rechenschaftspflicht. Scan-Erfüllungsquoten, die Anzahl genehmigter Ausnahmen, die Aktualität von Signaturen und Trends bei der Erkennung müssen dem lokalen Management und aggregiert dem OT-Sicherheitsverantwortlichen regelmäßig gemeldet werden. Was nicht gemessen wird, wird auch nicht gesteuert.

Reifegradmodell: Wo stehen Sie, und wo müssen Sie hin?

Stufe 1 — Ad-hoc Keine Richtlinien. Unbeschränkte USB-Nutzung. Keine Scans. Rein reaktives Verhalten.

Stufe 2 — Grundlegende Kontrollmaßnahmen Eine grundlegende Richtlinie ist vorhanden. Erste Scan-Möglichkeiten sind installiert. Die Durchsetzung ist jedoch unbeständig, Ausnahmen werden informell erteilt.

Stufe 3 — Gesteuert (Soll-Zustand nach KRITIS) Scan-Kioske sind an allen Standorten etabliert. Die Einhaltung wird überwacht. Ein formaler Ausnahmeprozess ist in Kraft. Das Personal ist geschult, und eine auditfähige Dokumentation wird gepflegt.

Stufe 4 — Integriert Medienscans sind vollständig in das OT-SOC integriert. Es gibt automatisierte Alarmierungen und Reaktionen. CDR ist implementiert. Anforderungen an Dienstleister werden vertraglich durchgesetzt. Kennzahlen werden direkt an die Geschäftsführung berichtet.

Stufe 5 — Optimiert Fortgeschrittene Verhaltensanalyse und Sandboxing. Integration von Bedrohungsdaten (Threat Intelligence). Gezielte Red-Team-Tests zur Überprüfung von Medienkontrollen. Überprüfung der Integrität der Lieferkette. Branchen-Benchmarking.

Die meisten Industrieunternehmen befinden sich aktuell auf Stufe 1 oder 2. Das Ziel für die meisten Sicherheitsinitiativen innerhalb einer Frist von 12 bis 18 Monaten sollte die Erreichung einer verlässlichen Stufe 3 sein: konsequente Durchsetzung, formale Governance und nachweisbare Compliance.

Übereinstimmung mit gängigen Sicherheitsstandards

IEC 62443-2-1 — Erfordert dokumentierte Richtlinien zur Absicherung von tragbaren und mobilen Geräten, einschließlich Scan-Vorgaben für Wechselmedien.

IEC 62443-3-3 SR 3.2 — Vorgabe zum Schutz vor Schadsoftware. Medienscans erfüllen diese Sicherheitskontrolle direkt für den Eintrittspunkt von Wechseldatenträgern.

NIST SP 800-82 Rev 3 — Spezifische Leitlinien zur Handhabung, Überprüfung und Bereinigung von Speichermedien in ICS-Umgebungen (Industrial Control Systems).

NIST CSF 2.0 PR.PS-05 — Fordert Kontrollen für Softwareinstallationen, einschließlich Dateien, die über Wechselmedien eingebracht werden.

NIS-2-Richtlinie Artikel 21 — Verlangt angemessene technische und organisatorische Maßnahmen zur Handhabung von Medien und zur Sicherung der Lieferkette.

CIS Control 10 — Erfordert Implementierungen von Anti-Malware-Lösungen an allen relevanten Eintrittspunkten, explizit einschließlich Wechselmedien.

Empfohlene Sofortmaßnahmen für OT-Sicherheitsbeauftragte

Sofort (0–30 Tage): Erstellen oder aktualisieren Sie eine formale Richtlinie zur Nutzung von OT-Wechselmedien. Installieren Sie mindestens eine Scan-Station am Hauptzugangspunkt Ihres wichtigsten Standorts. Teilen Sie Ihren zehn wichtigsten Dienstleistern die neuen Scan-Anforderungen vor deren nächstem Einsatz mit.

Kurzfristig (1–6 Monate): Statten Sie alle betroffenen OT-Standorte mit Scan-Stationen aus. Führen Sie einen formalen Prozess für Ausnahmeregelungen ein. Integrieren Sie Klauseln zur Mediensicherheit in die Verträge mit Ihren Dienstleistern. Beginnen Sie mit der Erfassung von Erfüllungsquoten und berichten Sie diese an die Betriebsleitung.

Mittelfristig (6–18 Monate): Integrieren Sie die Protokolldateien der Scan-Stationen in Ihr OT-SOC oder SIEM. Implementieren Sie CDR für kritische Dateitypen an Standorten mit hohem Risiko. Entwickeln Sie standortspezifische Notfallverfahren für Scans. Führen Sie Wirksamkeitsprüfungen mit definierten Testdateien durch.

Fortlaufend: Halten Sie die Signaturen aktuell – streben Sie mindestens wöchentliche Updates an, an Hochrisiko-Standorten täglich. Führen Sie jährliche Programmbewertungen anhand des Reifegradmodells durch. Überprüfen Sie die Einhaltung durch Dienstleister im Rahmen Ihrer jährlichen Lieferantenbewertungen.

Fazit für die Geschäftsführung

Die Absicherung von Wechselmedien ist kein technisches Detail, das bedenkenlos an die Konzern-IT delegiert und dann ignoriert werden kann. Es handelt sich um ein gravierendes operationelles Risiko mit direkten Auswirkungen auf die Produktionskontinuität, die Betriebssicherheit und regulatorische Pflichten. Der Stuxnet-Angriff im Jahr 2010 hat gezeigt, welchen Schaden ein einziger, nicht überprüfter USB-Stick anrichten kann. Fünfzehn Jahre später existiert diese Schwachstelle weiterhin – während Angreifer fähiger, zahlreicher und gezielter auf industrielle Prozesse spezialisiert sind.

Die Investition in ein ausgereiftes Medienscan-Programm ist minimal im Vergleich zu den Kosten eines einzigen nennenswerten OT-Sicherheitsvorfalls. Unternehmen, die die Sicherheit von Wechselmedien als grundlegende OT-Sicherheitskontrolle betrachten – und nicht als reine Pflichterfüllung für Auditoren –, sind nachweislich besser in der Lage, eine der hartnäckigsten Bedrohungen in der industriellen Cybersicherheitslandschaft abzuwehren, zu erkennen und darauf zu reagieren.

Dieser Artikel basiert auf etablierten OT-Sicherheitsprinzipien, öffentlich dokumentierten Sicherheitsvorfällen und anerkannten Branchenstandards wie IEC 62443, NIST SP 800-82 und NIST CSF 2.0. Organisationen sollten fundierte Risikoanalysen im Kontext ihrer spezifischen Betriebsumgebungen durchführen.

Erfahren Sie hier mehr über die Shieldworkz Media Scan-Lösung.

Zusätzliche Ressourcen

Zero Trust in industriellen Umgebungen: Ein praktischer Leitfaden zur Implementierung finden Sie hier
Leitfaden zur NIST SP 800-160 Compliance und Behebung finden Sie hier
Leitfäden zur Schadensbehebung finden Sie hier 

Wöchentlich erhalten

Ressourcen & Nachrichten

Erfahren Sie, wie unsere branchenführenden OT-Security-Lösungen kritische Sicherheitsherausforderungen gemäß KRITIS-Anforderungen bewältigen

Dies könnte Ihnen auch gefallen.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.