Statische Superuser Passwörter, wackelige proprietäre Protokolle oder unsichere Netzwerkarchitekturen sind nur einige von unzähligen Schwachstellenkategorien, die in Penetration Tests von Industrie und kritischer Infrastruktur tatsächlich identifiziert werden. Besonders in OT Penetration Tests werden oft exotischere Komponenten, wie PLCs, HMIs oder Leitsysteme verwendet, die sich mit moderner Infrastruktur mischen. Aus dieser Kombination ergeben sich viele interessante Schwachstellen und Angriffsvektoren.

Manchmal sind diese so unglaublich, dass man meinen könnte, sie wären frei erfunden. Im Vortrag werden wie bei X-Faktor, tatsächlich vorgefallene mit frei erfundenen Beispielen gemischt. Am Ende des Vortrags darf das Publikum raten welche Geschichten sich tatsächlich so zugetragen haben und welche frei erfunden sind.

Nach einer Einleitung zum typischen Vorgehen bei solchen Assessments, das primär an technische Tester gerichtet ist, werden Beispiele von tatsächlichen bzw. erfundenen Schwachstellen präsentiert:

• Wie man Smart-Cards falsch verwendet und somit sichere Mechanismen unsicher macht (aka “Not so smart”)
• Denial-of-Service Schwachstellen auf mehreren Ebenen (aka. “DoS everywhere”)
• Was Hersteller manchmal unter Encryption verstehen (aka. “I am cool, I made my own encryption”)
• OT Protokolle nicht als solches erkannt und daher nicht geschützt (aka. “Do I need that everywhere?“)

Anschließend werden Maßnahmen und Lessons-Learned für verschiedene Zielgruppen erläutert. Im Kern sind das:

• An alle: Security Testing ist wichtig, besonders in der OT
• Betreiber: Einer Eigenerklärung sollte nicht blind vertraut werden. Ohne Testing hat man keine Wahrnehmungen zu Schwächen
• Hersteller: Nur bewährte Methoden verwenden, Obfuskierung bringt tatsächlich wenig
• Integratoren: Proprietär ist nicht gleich sicher, lieber zusätzliche Maßnahmen ergreifen oder Nachweise einholen, dass etwas sicher ist