Windows ist nach wie vor das am weitesten verbreitete Desktop-Betriebssystem. Mit rund 73 % dominiert es den Markt. Kein Wunder also, dass auch viele OT-Umgebungen (Operational Technology, Betriebstechnologie) mit Windows ausgestattet sind, jedoch nicht immer die neueste Version unterstützen. Veraltete Windows-Systeme sind daher auf Steuerungssystemen und Maschinen weit verbreitet und stellen eine erhebliche Herausforderung für die Cyber-Sicherheit dar, denn diese Systeme sind oft integraler Bestandteil von Produktions- und Steuerungsprozessen. Da sie aber keine Updates, Patches oder offizielle Entwicklerunterstützung mehr erhalten, sind sie gegen moderne Cyber-Bedrohungen besonders anfällig. Hinzu kommt, dass viele dieser alten Maschinen nicht darauf ausgelegt waren, jemals im Rahmen einer Industrie 4.0 und Digitalisierung vernetzt zu werden. Nun sind sie aber direkt oder indirekt dem Internet ausgesetzt worden.

Warum viele Unternehmen den Status quo nicht verändern

Die OT ist ein wesentlicher Bestandteil vieler industrieller und kritischer Infrastrukturen (KRITIS). Sie umfasst Hard- und Software zur Überwachung und Steuerung physischer Prozesse. Der gesamte Maschinenpark und alle Fertigungsstraßen hängen von ihrer Sicherheit ab. Viele Maschinen sind aber auf einen jahrzehntelangen Betrieb ausgelegt worden und wurden daher meist nicht für regelmäßige Software-Updates oder Austauschzyklen optimiert. Zudem könnten neue Betriebssysteme erhebliche Kosten verursachen und den reibungslosen Betrieb gefährden, denn die Maschinen müssten für Updates abgeschaltet werden, was die Produktion stören würde.

Trotz der Verfügbarkeit neuerer und sicherer Betriebssysteme bleiben Unternehmen deshalb häufig bei veralteten Systemen und somit beim Status quo. Viele industrielle Steuerungssysteme laufen weiterhin auf Windows 7, Windows XP und älter, obwohl diese Betriebssysteme seit Jahren nicht mehr vom Hersteller unterstützt werden. Neben technologischer Trägheit ergibt sich das Problem aus einem komplexen Zusammenspiel wirtschaftlicher, betrieblicher und technischer Faktoren:

• Zeit ist Geld: vor allem bei einem Stillstand der Produktion: Die Modernisierung von OT-Systemen ist nicht nur kostspielig, sondern birgt auch das Risiko von Produktionsausfällen und betrieblichen Unterbrechungen. Eine Überarbeitung der Infrastruktur erfordert häufig umfangreiche Tests und Anpassungen, um die reibungslose Integration neuer Systeme zu gewährleisten. Zudem sind viele Unternehmen auf eine kontinuierliche Produktion angewiesen, sodass geplante Ausfallzeiten minimiert werden müssen.
• Aus Alt mach Neu: das Problem der Kompatibilität: Viele OT-Anlagen wurden für spezifische Hardware- und Software-Umgebungen konzipiert. Neue Betriebssysteme sind oft nicht mit der bestehenden Steuerungs-Software kompatibel, was erhebliche Anpassungen oder sogar einen kompletten Austausch der Hardware erforderlich machen würde. Dies betrifft insbesondere ältere Maschinen, die mit veralteten Systemen arbeiten und daher nicht ohne Weiteres migriert werden können.
• Fehlender oder eingeschränkter Support: In vielen Fällen sind die Anbieter der ursprünglichen Systeme entweder nicht mehr existent oder haben den Support für ihre alten Produkte eingestellt. Dies erschwert die Wartung und Modernisierung, da spezialisiertes Fachwissen und Ersatzteile immer schwieriger zu beschaffen sind. Hinzu kommt, dass viele ältere Systeme mit proprietären Schnittstellen arbeiten, die nur schwer in moderne IT-Infrastrukturen integriert werden können.

Sicherheitsrisiken durch Altsysteme

Veraltete Systeme, die beispielsweise noch auf Windows XP laufen, stellen eine ernsthafte Bedrohung für die Cyber-Sicherheit dar, denn lang bekannte Schwachstellen können von Hackern gefunden und ausgenutzt werden. Besonders Windows-Versionen, die keine aktuellen Sicherheits-Updates mehr erhalten, sind daher ein attraktives Ziel für Angriffe geworden. Die Bedrohungslage wird durch mehrere Faktoren verstärkt:

• Keine Antivirenlösungen: Viele Sicherheitsanbieter stellen keine Updates und keinen Support mehr für ihre Sicherheits-Software auf alten Windows-Systemen bereit. Unternehmen müssen somit entweder auf veraltete Schutzlösungen zurückgreifen oder mehrere Endpunktschutzlösungen verwalten, um die Legacy-Umgebung möglichst vollständig abzusichern. Beides ist kostspielig und erschwert das Management der OT.
• Bekannte Schwachstellen: Während Windows XP, Windows 7 und andere alte Betriebssysteme nicht mehr aktualisiert werden, sind ihre Schwachstellen gut dokumentiert. Sie sind somit anfälliger für moderne Malware und können von Angreifern leicht attackiert werden. In vielen Fällen sind Exploits dieser Systeme öffentlich zugänglich, was das Risiko gezielter Angriffe erhöht.
• Erweiterte Angriffsfläche durch Vernetzung: Da viele OT-Systeme zunehmend mit IT-Netzwerken und dem Internet verbunden sind, steigt das Risiko, dass Sicherheitslücken in Altsystemen für Angreifer als Einstiegspunkte in das gesamte Netzwerk genutzt werden. Dies betrifft insbesondere OT-Netzwerke, die ursprünglich nicht für eine enge Verzahnung mit IT-Systemen ausgelegt worden sind und nicht über die neuesten Updates und Patches verfügen.

Die richtigen Schutzstrategien für Altsysteme

Auf dem Dashboard von ‚ElementOne‘ werden Asset- Informationen aus dem ‚Portable Inspector‘ und ‚Safe Port‘ angezeigt. Hier zu sehen sind die erfassten Windows-Systeme. Das älteste Betriebssystem in diesem Beispiel ist Windows XP. © TXOne Networks

Da ein Austausch für viele Unternehmen, zum Beispiel aus der Fertigungsindustrie oder dem Gesundheitswesen, oft nicht möglich ist, sind alternative Schutzmaßnahmen erforderlich. Der Schutz dieser Legacy-OT-Systeme sollte eine nahtlose Abwehr und eine umfassende Überwachung alter und neuer OT-Anlagen umfassen, um zu verhindern, dass unbeabsichtigte Systemänderungen den Betrieb beeinträchtigen:

• Netzwerk- und Mikrosegmentierung: Durch eine gezielte Trennung von OT- und IT-Netzwerken lässt sich das Risiko eines Angriffs von einem in den anderen Bereich reduzieren.
• Virtuelles Patching: Ein OT-natives Intrusion-Prevention-System (IPS) von spezialisierten Anbietern ist hervorragend geeignet, um bekannte Schwachstellen in Echtzeit zu überwachen und Angriffe abzuwehren.
• OT-native Sicherheitslösungen bevorzugen: Eine gute OT-Sicherheitslösung kann mit über 500 industriellen Steuerungsprotokollen umgehen, passt auf eine gängige Hut-schiene oder in einen gängigen Schaltkasten und lässt sich offline ohne Cloud-Anbindung betreiben.
• Kontinuierliche Überwachung: Durch den Einsatz von Sicherheitsplattformen, die den gesamten OT-Bereich kontinuierlich analysieren, lassen sich Anomalien frühzeitig erkennen und Sicherheitsvorfälle verhindern.
• Regelmäßige Audits und Schwachstellenbewertung: Unternehmen sollten Sicherheitsaudits durchführen, um gezielt gegen Schwachstellen vorzugehen.
• Schutz von USB-Ports: Da viele Malware-Angriffe noch immer über USB-Geräte erfolgen, sollten Unternehmen spezielle Sicherheitslösungen implementieren, die angeschlossene Geräte auf Schadprogramme prüfen.
• Endpunktschutz: OT-nativer Endpunktschutz konzentriert sich darauf, Abläufe und Geräte zu verstehen und in einen Kontext mit Sicherheitsereignissen einzubetten.

Beliebtes Ziel für Hacker

Der Autor: Mirco Kloss ist Business Development Director DACH bei TXOne Networks. © TXOne Networks

Die Nutzung veralteter Windows-Systeme in OT-Umgebungen bleibt eine der größten Herausforderungen der Cyber-Sicherheit, doch ist sie unvermeidbar, denn die Maschinen können nicht einfach ausgetauscht oder aktualisiert werden. Ihr Betrieb ist auf Jahrzehnte ausgelegt worden. Ein Wechsel wäre daher mit hohen Kosten, technischen Komplikationen und betrieblichen Herausforderungen verbunden. Aus diesem Grund stellen diese Legacy-Systeme ein beliebtes Ziel für Hacker dar, weshalb OT-native und pragmatische Schutzmaßnahmen dringend erforderlich sind.