OT- und IT-Netzwerke wachsen zusammen

Lückenlose Abwehrkonzepte

Im Zuge der Digitalisierung wachsen OT- und IT-Netzwerke zusammen. So entstehen komplexe Architekturen, bei denen herkömmliche Security-Maßnahmen an ihre Grenzen stoßen. Ein integrierter Ansatz ist gefragt, der auf die speziellen Bedürfnisse des Industrial Internet of Things (IIoT) abgestimmt ist.

Lückenlose Abwehrkonzepte

Wenn IT und OT konsequent zusammengedacht werden, gibt es für Angreifer kein Durchkommen.

Industrieunternehmen schreiten mit ihrer Digitalisierung weiter voran. Sie vernetzen Systeme und Maschinen, um mithilfe von Daten die Effizienz zu steigern und tiefere Einblicke in Produktionsprozesse zu gewinnen. Laut einer aktuellen Studie von Fortinet und Forrester Consulting setzen bereits 66 Prozent der Befragten IP-verbundene Netzwerke in der Produktion ein und nutzen Echtzeitdaten für ihre Geschäftsentscheidungen. Das Zusammenwachsen der Operational Technology (OT) mit der IT vergrößert jedoch die Angriffsfläche und rückt Industriesteuerungssysteme (ICS) und Produktionsmaschinen ins Visier der Hacker. Erschreckend ist: Nur die Hälfte der Umfrageteilnehmer glaubt, dass ihr Maschinenpark Cyberangriffe abwehren kann.

Schwierige Voraussetzungen

Traditionell sicherte man OT-Netzwerke ab, indem man sie von der Außenwelt abschottete. In der vernetzten Produktion geht das jedoch nicht mehr. Deshalb müssen OT-Systeme heute genauso vor Cyberattacken geschützt werden wie die Unternehmens-IT. Dabei gibt es allerdings besondere Herausforderungen. Ein Problem ist z. B. das Alter. Produktionsmaschinen sind teuer und in der Regel auf lange Laufzeiten ausgelegt. Nicht selten sind sie 30 bis 40 Jahre in Betrieb, wobei die Konfiguration meist unverändert bleibt. Während es in der IT zur etablierten Security-Praxis gehört, regelmäßig Patches und Updates einzuspielen, passiert das bei ICS eher selten. Denn hat man einmal einen stabilen Zustand erreicht, möchte man diesen nur ungern aufs Spiel setzen. Außerdem kann es erforderlich sein, Systeme komplett herunterzufahren, um sie zu patchen. Dann aber würden Maschinen stillstehen – und das verursacht enorme Kosten. Deshalb gibt es in Produktionsanlagen meist viele ungepatchte Systeme. Sie enthalten offene Schwachstellen und sind extrem anfällig für Malware oder andere Cyberangriffe.

Dazu kommt, dass in Maschinenparks häufig harsche Umweltbedingungen wie extreme Hitze, Kälte oder Staub herrschen. Herkömmliche Security-Lösungen wie Firewalls, Sandboxen und Intrusion-Prevention-Systeme sind für solche Umgebungen nicht immer ausgelegt. Außerdem verstehen sie die Sprache der Geräte nicht, denn ICS sprechen meist andere Protokolle als IT-Systeme. Viele der Produktionsmaschinen sind zudem hochempfindlich, sodass bereits ein einfacher Active-Device-Scan die Technik stören könnte. 

Dedizierte OT-Security-Systeme erforderlich

Unternehmen brauchen also Lösungen, die speziell für den Einsatz im OT-Bereich designt wurden. Diese müssen besonders robust sein und die ICS-Protokolle verstehen. Dabei ist ein integrierter Ansatz empfehlenswert, um eine möglichst einfache Security-Architektur aufzubauen. Denn IIoT-Projekte bestehen häufig aus einer Vielzahl verschiedener Geräte und Systeme. Meist ist auch eine Cloud angebunden. Wählt man für jedes System eine eigene Sicherheitslösung, entsteht eine komplexe, unübersichtliche Umgebung. Stattdessen sollten alle Security-Systeme nahtlos zusammenspielen, Informationen miteinander teilen und sich zentral managen lassen. Um dies zu gewährleisten, ist es wichtig, Security bereits grundlegend bei der Konzeption von OT-Netzwerken zu integrieren und sie nicht erst nachträglich anzudocken.

Der erste Schritt bei der Absicherung von OT-Umgebungen besteht darin, vollständig sichtbar zu machen, was im Netzwerk passiert. Dafür müssen erst einmal alle angeschlossenen Geräte identifiziert werden. Mithilfe von Network Access Control (NAC) lässt sich dies automatisiert durchführen. Solche Lösungen können zudem kontinuierlich verfolgen, welche Geräte hinzukommen, weggehen oder sich von einem Standort an einen anderen bewegen. Außerdem muss der Netzwerkverkehr überwacht werden. Um Auffälligkeiten zu identifizieren, definiert man zunächst, wie normales Verhalten aussieht. In OT-Umgebungen ist das zum Glück recht einfach, da der Traffic meist vorhersehbaren Mustern folgt. Anschließend geht es darum, Funktionen aufzusetzen, die solche Abweichungen von der Norm erkennen und in Echtzeit reagieren.

Sicherheit nach Zero-Trust-Prinzip

Da der OT-Bereich lange ein in sich abgeschotteter Kosmos war, fehlt hier oft noch das Bewusstsein für Cyberrisiken. Traditionell herrscht eine Atmosphäre des Vertrauens – sowohl gegenüber Mitarbeitern als auch Systemen. Christian Pellkofer, Team Lead Systems Engineering OT/IoT des IT-Sicherheitsexperten Fortinet weiß aus Erfahrung: „Nicht selten kann ein Ingenieur von seinem Laptop aus z. B. jede beliebige speicherprogrammierbare Steuerung (SPS) im Netzwerk kontrollieren. Außerdem kommt es häufig vor, dass ein Mitarbeiter, der Wartungsarbeiten durchführt, dabei uneingeschränkten Systemzugriff hat. Früher mag dieses implizierte Vertrauen akzeptabel gewesen sein. In einer vernetzten Umgebung, in der hochverwundbare OT-Systeme von außen angreifbar sind, ist dies jedoch brandgefährlich.“ Unternehmen sollten daher umdenken und ein Zero-Trust-Modell einführen – also erst einmal niemandem vertrauen und Zugriffsrechte auf kritische Assets streng reglementieren.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Ein Zero-Trust-Modell bedeutet mehr, als nur Policies zu ändern. Security-Verantwortliche müssen auch Strategien implementieren, um Sicherheit proaktiv statt reaktiv umzusetzen. Wichtige Maßnahmen sind z. B. Segmentierung und Multi-Faktor-Authentifizierung. Segmentierung ermöglicht es, geschützte Netzwerkzonen für verschiedene Gerätegruppen zu bilden. So lassen sich kritische Assets von anderen trennen. Internal Segmentational Firewalls (ISFW) können solche Netzwerksegmente schnell und dynamisch einrichten und den ein- und ausgehenden Netzwerkverkehr kontrollieren. Wenn ein Mitarbeiter oder ein Gerät dann für eine bestimmte Sektion des OT-Netzwerks autorisiert ist, kann er oder es auch nur innerhalb dieser eingeschränkten Zone agieren. Alle Aktivitäten außerhalb erfordern eine weitere Autorisierung.

Gemeinsam Verantwortung übernehmen

Nicht zuletzt braucht man für die Absicherung von IIoT-Netzwerken klare Verantwortlichkeiten und Prozesse. Dabei müssen OT- und IT-Security-Teams eng zusammenarbeiten. Häufig ist das jedoch noch nicht der Fall. In 51 Prozent der Unternehmen agieren die beiden Abteilungen isoliert voneinander, so die eingangs erwähnte Studie. Während sich das OT-Team um die ICS-Systeme kümmert, sorgt das IT-Team für die Cyber Security der Informationstechnologie. Mehr als ein Drittel der Befragten wusste zudem nicht, wer die Hauptverantwortung für die Cyber Security hat. Dabei ist die überwältigende Mehrheit (91 Prozent) der Ansicht, dass IT und OT die Sicherheit des Maschinenparks gemeinsam verantworten sollten. 

Bei der Absicherung von vernetzten Produktionsanlagen müssen Unternehmen also viele Hürden überwinden. Hier nachlässig zu sein, wäre jedoch fahrlässig. Denn wenn es Cyberkriminellen gelingt, ICS-Systeme zu kompromittieren, kann das nicht nur die Produktivität beeinträchtigen. Fehlfunktionen könnten auch die physische Sicherheit von Mitarbeitern gefährden. Die Herausforderung besteht darin, umfassende Security für die vernetzten OT- und IT-Systeme umzusetzen, ohne die Produktion zu stören. Wichtige Schritte auf dem Weg dorthin sind Transparenz im Netzwerk zu schaffen sowie Zugriffskontrollen und Segmentierung einzuführen. Dabei sollten die eingesetzten Security-Systeme für OT-Umgebungen designt sein und in einer Security Fabric nahtlos zusammenarbeiten. Außerdem müssen IT- und OT-Teams an einem Strang ziehen. All dies bildet die Grundlage für eine skalierbare Security-Architektur, die wachsen kann und für die künftige Weiterentwicklung von OT-Umgebungen gewappnet ist.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok