Sicherheit in OT-Umgebungen

Oft leider immer noch noch sträflich vernachlässigt, verbunden mit stetig wachsender Bedeutung: die Betriebstechnik / OT bzw. Operational Technology. Da die Systeme immer stärker vernetzt werden und Cyber-Bedrohungen zunehmen, benötigt die industrielle Produktion dazu wesentlich mehr Sicherheit. Speziell das Thema Digitalisierung der Produktion treibt die weitere Vernetzung der OT noch weiter voran und öffnet damit vielfach die Büchse der Pandorra.

Industrielle Steuerungssysteme (ICS) werden in der Fertigungs-, Transport-, Energie- und Wasserindustrie und vielen anderen Bereichen eingesetzt. Obwohl sie mit dem Netzwerk verbunden sind, wird ihnen in der Regel nicht genügend Aufmerksamkeit in Bezug auf die Sicherheit geschenkt. Bei der Sicherheit der Betriebstechnik (OT) geht es oft nur um wenig mehr als den sogenannten Air Gap. Dadurch werden IT- und OT-Netzwerke nur physisch voneinander getrennt, um zu verhindern, dass Cyber-Bedrohungen aus der IT in die OT überspringen (und umgekehrt...).

Aber da OT-Umgebungen mehr und mehr stärker vernetzt werden (sowohl intern mit lokalen Netzwerken als auch extern mit dem Internet und Dritten), sollte auch das Sicherheitslevel dem entsprechen - man sollte meinen, hier sind alle Hausaufgaben gemacht und alle Unternehmen da entsprechend aufgestellt. Leider weit gefehlt, nach wie vor ist zu beobachten, dass Industrielle Steuerungssysteme sich fast ohne jeglichen Schutz aus dem Netz heraus manipulieren lassen - und das passiert leider auch jeden Tag aufs neue. Nur als Beispiel mal der Wartungstechniker, der sich mit Consumer-Software remote aufschalten soll.

Herausforderungen der OT-Sicherheit

Die Grenzen zwischen IT und OT sind sehr durchlässig geworden, und die IT-Sicherheit muss flächendeckend (und nicht nur bei den ganz großen Unternehmen!) zu einem integralen Bestandteil der OT werden. Die Verschmelzung dieser beiden bisher getrennten Umgebungen birgt jedoch vielfältige Risiken. Natürlich kommt es zu allererst zum Kompetenzgerangel der beteiligten Parteien, zusätzlich liegt es daran, das beide Abteilungen zwar im Prinzip die identischen Wörter verwenden - aber teilweise vollkommen unterschiedliche Dinge damit meinen. Darüber hinaus kommt noch dazu, dass durch stetige Vernetzung von IT und OT mehr Angriffsvektoren entstehen und es für Unternehmen schwieriger wird, Bedrohungen überhaupt zu erkennen, zu untersuchen und zu beseitigen.

Denn die traditionelle passive Netzwerküberwachung reicht nicht mehr aus, um alle OT-Risiken zu erkennen. Fachleute empfehlen daher unisono, sowohl passives als auch aktives Scannen zu verwenden, um alle ICS-Ressourcen automatisch zu erkennen und zu klassifizieren. Diese reichen von Windows-Maschinen bis hin zu untergeordneten Geräten wie RTUs (Remote Terminal Units) und SPS (Speicherprogrammierbare Steuerungen) etc., auch wenn sie nicht über das Netzwerk kommunizieren.

Durch aktives Scannen können auch lokale Änderungen in den Metadaten des Geräts, wie z. B. Firmware-Version, Konfigurationsdaten und Status, sowie Änderungen im Logikcode des Geräts oder in Funktionsblöcken erkannt werden. Da durch aktives Scannen die Notwendigkeit entfällt, jeden Switch einzeln zu überprüfen, können Unternehmen Wartungskosten einsparen.

!!! Aber:

Aktives Scannen funktioniert, indem Testverkehr an das Netzwerk gesendet und einzelne Endpunkte abgefragt werden. Aktives Scannen kann daher sehr effektiv sein, um grundlegende Profilinformationen wie Gerätename, IP-Adresse, NetFlow- oder Syslog-Daten sowie detailliertere Konfigurationsinformationen wie Marke und Modell, Firmware-Versionen, installierte Software/Versionen und Betriebssystem-Patch-Level zu sammeln.
Durch das Senden von Paketen direkt an die Endpunkte kann das aktive Scannen daher die Datenerfassung beschleunigen. Dies erhöht jedoch das Risiko, dass Endpunkte nicht mehr funktionieren, wenn inkompatible Anfragen an sie geleitet werden oder kleinere Netzwerke mit Datenverkehr übersättigt sind.
Vor allem aber sind OT-Controller (Software und Hardware!) oft nicht darauf vorbereitet, ihre Aufgaben zu erfüllen, wenn sie Datenverkehr empfangen und diese auch noch entsprechend zurücksenden. Das Risiko, das OT-Controller nicht mehr wie erwartet funktionieren und möglicherweise sich sogar aufhängen bzw. abstürzen, ist Realität. Viele dieser Systeme sind proprietär und daher empfindlicher gegenüber äußeren Einflüssen.

Damit wäre ja mit eines der obersten Ziele der OT, die Verfügbarkeit, komplett untergraben. Verfügbarkeit beschreibt die fehlerlose Funktion eines Systems und den uneingeschränkten (berechtigten) Zugriff auf Systeme und Daten. Gerade in Automatisierungsnetzen ist dieser Aspekt von großer Bedeutung, da ungeplante Ausfälle oft unmittelbare finanzielle Schäden zur Folge haben. In einer Produktionsstraße kann das Versagen eines einzigen Systems den kompletten Produktionsablauf stören. Typische Maßnahmen zur Einhaltung der Verfügbarkeit sind die Beachtung einer niedrigen Systemauslastung, Herstellung von Redundanz, der Einsatz von Segmentierung zur Minimierung unbefugten Zugriffs und ausgeklügelte Sicherungs- und Wiederherstellungskonzepte.

Also ist aktives Scannen in der OT auch nicht der Weisheit letzter Schluss - kann aber in Teilen dazu zumindest beitragen!

Mitarbeiter, Auftragnehmer und Systemintegratoren, die über ein serielles Kabel oder ein USB-Gerät mit den Monitoren verbunden sind, stellen ebenfalls ein Risiko dar. Ein böswilliger Akteur mit physischem Zugriff auf das Netzwerk könnte sich direkt mit dem Gerät verbinden. Ebenso könnte ein Mitarbeiter oder Dienstanbieter unwissentlich Überwachungsgeräte einer Infektion aussetzen, indem er sie mit einem infizierten Laptop oder USB-Laufwerk verbindet.

Möglichkeiten für Unternehmen, die OT-Sicherheit zu verbessern

  • Schulen Sie Ihre Fachleute zu Cyberangriffen gegen ICS-Geräte, damit die Fachleute und auch damit das Unternehmen darauf vorbereitet it.
  • Teilen Sie Bedrohungsinformationen, d. h. regelmäßiger Austausch von Informationen über einzelne Bedrohungen (direkter Austausch auch mit direkten Mitbewerbern, innerhalb von Verbänden etc.): Je mehr Zusammenarbeit, desto schneller können Bedrohungen für ganze Industrien erkannt werden, bevor tatsächlich Schaden angerichtet wurde. Der Austausch von Bedrohungsdaten erfordert keine Offenlegung sensibler Informationen. Stattdessen liegt der Fokus auf dem Austausch von Bedrohungsindikatoren, wodurch potenzielle Risiken bereits priorisiert werden.
  • Umsetzung staatlicher Vorschriften wie BSI CritisV: Von herausragender Bedeutung für beispielsweise Versorgungsunternehmen ist die BSI Critis-Verordnung, welche bereits am 3. Mai 2016 in Kraft getreten ist und kritische Infrastrukturen in den Bereichen Energie, Wasser, Lebensmittel, IT und Telekommunikation definiert. Wenn mehr als 500.000 Bürger gleichzeitig von einem Versorgungsunternehmen abhängig sind, unterliegt das Unternehmen der Meldepflicht. Die Kritikalitätsverordnung des BSI legt fest, welche Einrichtungen in den einzelnen Sektoren als kritisch eingestuft werden, und verlangt von interessierten Betreibern den Nachweis über den Schutz ihrer Informationstechnologie.
  • Berücksichtigen Sie "Security by Design" bei der Evaluierung neuer IT und IT-Systeme: Vorrangig sollten Hersteller von IT-Geräten und Dienstleister Maßnahmen zur Cybersicherheit bereits in der Designphase umsetzen.

Darüber hinaus hilft Schwachstellenmanagement: Ein effektives OT/IT-Cybersicherheitsprogramm muss risikobasiert und mit Prioritäten versehen sein. Dies erfordert, dass die Organisation versteht, wo sie gefährdet ist. Risikobasiertes Schwachstellenmanagement ist nicht dazu da, um Schutz vor Schwachstellen zu bieten, sondern weist auf Schwachstellen hin, welche Risiken darstellen. Ein effektives Schwachstellenmanagement kann die Kosten und den Aufwand erheblich reduzieren und gleichzeitig die Cybersicherheit verbessern.

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • VOESTALPINE.png
  • DEUTSCHE_BANK.png
  • Exponet Infrakon 4c.png
  • CLAAS.png
  • idRoboTica.png
  • VENTURETEC.png
  • hvb.jpg
  • Tsystems.gif
  • NXP.png
  • 1_LOGO_SEMATICON.png
  • commerzbank.gif
  • 1_LOGO_FARSITE.png
  • gieseckedevrient.gif
  • 1_LOGO_VEEAM.png
  • netcologne.gif
  • sbb.gif
  • 1_LOGO_SSH.png
  • TDT-AG.JPG
  • 1_LOGO_Avalara.jpg
  • BAYER.png