Implementierung von OT-Security Tipps für sichere OT-Umgebungen

Autor: Melanie Staudacher

Oft vernachlässigt und doch so wichtig: die Operational Technology. Mit zunehmender Konnektivität der Systeme und wachsenden Cyberbedrohungen braucht es in der industriellen Produktion mehr Sicherheit. Tenable hat Tipps für Unternehmen zusammengefasst.

Firma zum Thema

Auch OT-Umgebungen benötigen ein ausgefeiltes Sicherheitskonzept.
Auch OT-Umgebungen benötigen ein ausgefeiltes Sicherheitskonzept.
(Bild: drazen – adobe.stock.com)

In der Fertigungsindustrie, dem Transportwesen sowie der Energie- und Wasserwirtschaft kommen industrielle Steuerungssysteme (ICS) zum Einsatz. Obwohl diese zwar an ein Netzwerk angeschlossen sind, erhalten sie aus Sicht der Security meistens nicht die Aufmerksamkeit, die sie benötigen. Die Sicherheit in der Operational Technology (OT) umfasst oftmals nicht mehr als die sogenannte Air Gap. Diese trennt IT- und OT-Netzwerke physisch voneinander, damit Cyberbedrohungen nicht von einem in das andere Netzwerk gelangen können.

Doch mit der wachsenden Konnektivität von OT-Umgebungen, sowohl intern wie auch mit lokalen Netzwerken und extern mit dem Internet und Drittanbietern, muss auch das Sicherheitsbewusstsein wachsen. Aus diesem Grund hat der amerikanische Security-Hersteller Tenable die OT-Sicherheit genauer unter die Lupe genommen.

Herausforderungen für die OT-Sicherheit

Die Grenzen zwischen IT und OT werden verschwimmen und die IT-Sicherheit wird sich als fester Bestandteil in der OT etablieren. Doch die Verschmelzung dieser beiden zuvor getrennten Umgebungen stellt laut Tenable ein Risiko dar. Denn dadurch entstehen mehr Angriffsvektoren und es wird schwieriger für Unternehmen, Bedrohungen zu erkennen, zu untersuchen und zu beheben.

Denn die herkömmliche, passive Netzwerküberwachung reiche nicht mehr aus, um alle OT-Risiken zu erkennen. Deswegen empfiehlt Tenable den Einsatz von passivem wie auch aktivem Scanning, um alle ICS-Ressourcen automatisch zu erkennen und zu klassifizieren. Diese reichen von Windows-Rechnern bis hin zu Geräten der unteren Ebene wie SPS (Speicherprogrammierbare Steuerung), RTU (Remote Terminal Unit) und DCS (Distributed Control System), selbst wenn sie nicht über das Netzwerk kommunizieren.

Der Unterschied zwischen aktivem und passivem Monitoring

Bei der Überwachung des Netzwerkes geht es grundlegend darum, Rohdaten zu sammeln. Diese können entweder passiv oder aktiv gesammelt werden.

Beim passiven Monitoring belauscht man das Netzwerk und sammelt alle Informationen, die man bekommen kann.
Im Gegensatz dazu wird beim aktiven Monitoring das Netzwerk im Hinblick auf konkrete Fragestellungen gescannt. Dadurch gilt die aktive Methode als effizienter.

Das bedeutet jedoch nicht, dass die passive Überwachung keine brauchbaren Informationen liefert. Und das aktive Monitoring bringt Risiken mit sich. Denn OT-Netzwerke sind viel sensibler als Netzwerke der IT, weswegen die Methoden nicht eins zu eins übernommen werden können. Deshalb besteht bei aktiven Überwachen die Gefahr, dass Geräte ausfallen und die Produktion unterbrochen wird. Im Idealfall setzen Unternehmen beide Methoden als hybrides Modell ein. Dabei kommunizieren die Lösungen nicht mit den hochsensiblen Endpunkten, die unter der Last der Abfrage zusammenbrechen könnten, sondern direkt mit der Steuerungshardware.

Das aktive Scanning kann auch lokale Änderungen in den Metadaten der Geräte identifizieren, wie beispielsweise die Firmware-Version, Konfigurationsdetails und -zustand, sowie Änderungen im Code oder in den Funktionsblöcken der Gerätelogik. Da durch das aktive Überwachen nicht jeder Switch einzeln überprüft werden muss, können Unternehmen so Wartungskosten einsparen.

Mitarbeiter, Auftragnehmer und Systemintegratoren, die über ein serielles Kabel oder ein USB-Gerät mit den Steuergeräten verbunden sind, stellen ebenfalls ein Risiko dar. Ein böswilliger Akteur mit physischem Zugriff auf das Netzwerk könnte sich direkt mit dem Gerät verbinden. Ebenso könnte ein Mitarbeiter oder Dienstleister die Steuergeräte unwissentlich einer Infektion aussetzen, wenn er sich mit einem infizierten Laptop oder USB-Laufwerk verbindet.

So verbessern Unternehmen die OT-Sicherheit

Um die Bedrohung möglichst gering zu halten, hat Tenable einen Masterplan für die OT-Sicherheit erstellt. Dieser umfasst folgende Schritte:

  • Bereitstellung von OT-Cybersicherheitsschulungen: Fachleute gilt es, mit Fähigkeiten auszustatten, um Cyberangriffe auf ICS-Einrichtungen zu bewältigen.
  • Threat Intelligence Sharing, also der regelmäßige Austausch von Daten zu einzelnen Bedrohungen: Je mehr Zusammenarbeit stattfindet, desto schneller lassen sich Bedrohungen erkennen, bevor sie Schaden verursachen. Beim Threat Intelligence Sharing müssen keine sensiblen Informationen aufs Spiel gesetzt werden. Stattdessen konzentrieren sich die Anstrengungen auf das Teilen von Bedrohungsindikatoren und cyberkriminellen Profilen, was hilft, Risiken zu priorisieren.
  • Umsetzung staatlicher Verordnungen wie BSI-KritisV: Von großer Bedeutung für Versorgungsunternehmen ist die am 3. Mai 2016 in Kraft getretene BSI-Kritis-Verordnung zur Bestimmung kritischer Infrastrukturen in den Sektoren Energie, Wasser, Ernährung und Informationstechnik und Telekommunikation. Wenn jeweils 500.000 oder mehr Bürger von einer Versorgungsleistung abhängig sind, fällt die jeweilige Anlage unter die Meldepflicht. Die BSI-KritisV beschreibt, welche Anlagen in den jeweiligen Sektoren als kritisch gelten und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik.
  • „Security by Design“ bei der Evaluierung neuer OT- und IT-Systeme berücksichtigen: Bevorzugt werden sollten OT-Gerätehersteller und Serviceprovider, die Cybersicherheitsmaßnahmen bereits in der Entwicklungsphase implementieren.

Ein effektives OT/IT-Sicherheitsprogramm sollte laut Tenable risikobasiert sein und Prioritäten setzen. Dies erfordert, dass das Unternehmen versteht, an welchen Stellen es gefährdet ist. „Beim risikobasierten Schwachstellenmanagement lautet die Frage nicht: ‚Wie schützen wir uns vor all diesen Schwachstellen und beseitigen sie?‘, sondern ‚Welche Schwachstellen stellen das größte Risiko dar?‘“, sagt Adam Palmer, Chief Cybersecurity Strategist bei Tenable. „Ein effektives Schwachstellenmanagement ist in der Lage, die Kosten und den Arbeitsaufwand erheblich zu reduzieren und gleichzeitig die Cybersicherheit zu verbessern.“

(ID:47385793)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH