Nozomi Networks Labs OT & IoT Security Report

In jüngster Zeit wurden mehrere Jahre andauernde feindliche Operationen wie Volt Typhoon und Salt Typhoon aufgedeckt, die zeigen, wie nationalstaatliche Akteure kritische Infrastrukturen und Kommunikationssysteme infiltriert haben und dabei oft jahrelang unentdeckt blieben.

Das Team von Nozomi Networks Labs gibt in diesem halbjährlich erscheinenden Bericht einen Einblick, wie sich die weltweit größten Industrieunternehmen und Betreiber kritischer Infrastrukturen vor diesen fortschrittlichen Bedrohungen schützen können. Mithilfe eines Netzwerks von mehr als 50.000 globalen Honeypots, drahtlosen Überwachungssensoren, eingehenden Telemetriedaten, Partnerschaften, Bedrohungsdaten und anderen Ressourcen deckt das Team Trends, neue Angriffsmethoden und einzigartige Erkenntnisse auf.

Während sich Cybersicherheitsberichte häufig auf Bedrohungen konzentrieren, die auf kabelgebundene Netzwerke wie Ethernet, industrielles Ethernet und Glasfaser abzielen, geht der Bericht über kabelgebundene Netzwerke hinaus und fokussiert sich auf eine Vielzahl von drahtlosen Transportprotokollen.

Der neue OT & IoT Security Report von Nozomi Networks Labs zeigt, dass drahtlose Netzwerke kaum geschützt sind, während sich Angreifer weiterhin weitreichenden Zugang zu kritischen Infrastrukturen verschaffen. In der zweiten Jahreshälfte 2024 wurden Organisationen mit sensiblen Infrastrukturen in den USA am häufigsten angegriffen, wobei die Fertigungsindustrie am stärksten gefährdet war.

Insbesondere in Deutschland hat sich die Bedrohungslage im zweiten Halbjahr 2024 deutlich verschärft. Deutschland liegt nun auf Platz 3 der am häufigsten angegriffenen Nationen, nachdem es zuvor nicht unter den Top 5 vertreten war.

Hohes Sicherheitsrisiko durch drahtlose Netzwerke

Der Bericht von Nozomi Networks Labs stellt fest, dass nur 6 % der weltweit über 500.000 drahtlosen Netzwerke ausreichend gegen Angriffe auf die Wireless-Authentifizierung gesichert sind. Das bedeutet, dass die meisten drahtlosen Netzwerke, einschließlich jener in unternehmenskritischen Umgebungen, weiterhin stark gefährdet sind. Im Gesundheitswesen beispielsweise könnten Schwachstellen in solchen Netzwerken zu einem unbefugten Zugriff auf Patientendaten oder zur Störung essenzieller Systeme führen. Auch in Produktionsumgebungen könnten diese Angriffe automatisierte Prozesse unterbrechen, Betriebsabläufe zum Stillstand bringen oder die Sicherheit der Arbeitnehmer gefährden.

Viele Branchen von Cyberangriffen bedroht

Dem Bericht zufolge wurden in der zweiten Hälfte des vergangenen Jahres in 48,4 Prozent der beobachteten Gefährdungsmeldungen in der sogenannten Impact-Phase der Cyber-Kill-Chain – ein Sicherheitsmodell zur Erkennung und Abwehr von Cyberangriffen – ausgelöst. Dies betrifft unterschiedliche Branchen, insbesondere kritische Bereiche wie Fertigung, Transport, Energie, Versorgungsunternehmen und Wasser/Abwasser. Dicht gefolgt von Command-and-Control-Techniken (C&C) mit 25 % aller erfassten Warnmeldungen. Die Resultate der Labore belegen, dass die Angreifer in erheblichem Maße in die Systeme kritischer Infrastrukturen eingedrungen sind und und dabei versuchen, die Kontrolle über den Zugang zu behalten.

Schwachstellen im Überblick

Die Forscher fanden außerdem heraus, dass von den 619 neu veröffentlichten Schwachstellen im zweiten Halbjahr 2024 71 Prozent als kritisch eingestuft werden. Darüber hinaus weisen 20 Sicherheitslücken hohe EPSS-Werte (Exploit Prediction Scoring System) auf, was auf eine hohe Wahrscheinlichkeit hindeutet, dass sie in Zukunft angegriffen werden. Darüber hinaus wurden vier weitere Schwachstellen entdeckt, die bereits angegriffen werden (KEV- Known Exploited Vulnerabilities). Diese Ergebnisse zeigen die Dringlichkeit für Unternehmen, die kritischsten und gefährlichsten Sicherheitslücken umgehend zu beheben und unschädlich zu machen.

Die vor sechs Monaten von der CISA (Cybersecurity & Infrastructure Security Agency) veröffentlichte Liste hinsichtlich ICS-Sicherheitshinweisen (Industrielle Steuerungs- und Automatisierungssysteme) werden in der Fertigungsindustrie verortet, die als besonders gefährdet gilt und die Liste damit anführt. 75 Prozent aller gemeldeten CVEs (Common Vulnerabilities and Exposures) entfielen auf diesen Sektor; die Bereiche Energie, Kommunikation, Transport und kommerzielle Einrichtungen folgten.

Sicherheitseinblicke und Empfehlungen zum Schutz kritischer Infrastrukturen

„Cyberangriffe auf die kritischen Infrastrukturen der Welt nehmen zu“, sagt Chris Grove, Director of Cybersecurity Strategy bei Nozomi Networks. „Die Systeme, die wir entwerfen und verteidigen, müssen nicht nur einer Vielzahl von Bedrohungen in einer vielfältigen Welt standhalten, sondern auch die Notwendigkeit eines sicheren Betriebs in großem Maßstab berücksichtigen, bei dem Menschenleben auf dem Spiel stehen. Durch das Verständnis dieser sich entwickelnden Bedrohungen und die Nutzung umsetzbarer Erkenntnisse können wir unsere kritischen Infrastruktursysteme verteidigen, um die Widerstandsfähigkeit, Sicherheit und Betriebskontinuität in einer zunehmend unsicheren Welt zu gewährleisten.“

Nozomi Networks Labs “OT/IoT Cybersecurity Trends and Insights” bietet Sicherheitsexperten aktuelle Informationen zur Neubewertung von Risikoszenarien und Sicherheitsinitiativen sowie Empfehlungen zum Schutz kritischer Infrastrukturen.

Recent revelations of multi-year hostile operations such as Volt Typhoon and Salt Typhoon demonstrate how nation-state actors have infiltrated critical infrastructure and communications systems, often going undetected for years.

In this bi-annual report, the Nozomi Networks Labs team provides insight into how the world’s largest industrial organizations and critical infrastructure operators are protecting themselves from these advanced threats. Leveraging a network of more than 50,000 global honeypots, wireless monitoring sensors, inbound telemetry, partnerships, threat intelligence and other resources, the team uncovers trends, new attack methods and unique insights.

While cybersecurity reports often focus on threats targeting wired networks such as Ethernet, Industrial Ethernet and fiber, this report goes beyond wired networks to focus on a variety of wireless transport protocols.

The new OT & IoT Security Report from Nozomi Networks Labs shows that wireless networks are poorly protected, while attackers continue to gain widespread access to critical infrastructure. In the second half of 2024, organizations with sensitive infrastructure in the U.S. will be attacked the most, with the manufacturing industry being the most vulnerable.

In particular, the threat situation in Germany deteriorated significantly in the second half of 2024. Germany is now the third most attacked nation, having previously not been in the top 5.

 Wireless networks pose a high security risk

The Nozomi Networks Labs report found that only 6% of the world’s more than 500,000 wireless networks are adequately secured against wireless authentication attacks. This means that most wireless networks, including those in mission-critical environments, remain highly vulnerable. In healthcare, for example, vulnerabilities in these networks could lead to unauthorized access to patient data or disruption of critical systems. In manufacturing environments, these attacks could also disrupt automated processes, bring operations to a halt, or threaten the safety of employees.

Many industries at risk from cyber attacks

According to the report, in the second half of last year, 48.4 percent of observed threat reports were triggered in the so-called impact phase of the cyber kill chain – a security model for detecting and defending against cyber attacks. This affects various industries, particularly critical sectors such as manufacturing, transportation, energy, utilities, and water/wastewater. Command and control (C&C) techniques followed closely behind with 25% of all alerts recorded. The lab results show that attackers have made significant inroads into critical infrastructure systems to gain control over access.

Vulnerabilities at a glance

The researchers also found that of the 619 new vulnerabilities published in the second half of 2024, 71% are rated critical. In addition, 20 vulnerabilities have high EPSS (Exploit Prediction Scoring System) scores, indicating a high likelihood of being attacked in the future. In addition, four other vulnerabilities were discovered that are already under attack (KEV – Known Exploited Vulnerabilities). These results underscore the urgency for organizations to immediately fix and mitigate the most critical and dangerous vulnerabilities.

Six months ago, the Cybersecurity & Infrastructure Security Agency (CISA) released a list of industrial control and automation systems (ICS) vulnerabilities, and the manufacturing sector, which is considered particularly vulnerable, topped the list. 75 percent of all reported CVEs (Common Vulnerabilities and Exposures) were in this sector, followed by energy, communications, transportation, and commercial facilities.

Security Insights and Recommendations for Critical Infrastructure Protection

„Cyberattacks on the world’s critical infrastructure are on the rise,“ said Chris Grove, director of cybersecurity strategy at Nozomi Networks. „The systems we design and defend must not only withstand a variety of threats in a diverse world, but also meet the need to operate securely at scale with lives on the line. By understanding these evolving threats and leveraging actionable intelligence, we can defend our critical infrastructure systems to ensure resilience, security and operational continuity in an increasingly uncertain world.“

The Nozomi Networks Labs „OT/IoT Cybersecurity Trends and Insights“ provides security professionals with the latest information to reassess risk scenarios and security initiatives, as well as recommendations for protecting critical infrastructure.