Zwischen IT und OT

„Die beste Strategie ist ein ganzheitlicher, offener Security-Ansatz“

Wie schafft man es, Operational-Technology-Umgebungen (OT) abzusichern, ohne dabei die Leistung und Flexibilität zu beeinträchtigen? Joe Robertson, Alain Sanchez und Rick Peters vom IT-Sicherheits-spezialisten Fortinet geben Einblicke in aktuelle Herausforderungen und Lösungsansätze.

Alain Sanchez, Field CISO und Senior Security Evangelist, Fortinet

Alain Sanchez, Field CISO und Senior Security Evangelist, Fortinet: „Um der verschärften Angriffssituation gewachsen zu sein, brauchen Security-Teams Unterstützung durch neue Technologien.“

ITM: Herr Robertson, Herr Peters und Herr Sanchez, die Digitalisierung hat OT-Netzwerke radikal verändert: Traditionell abgeschottete Umgebungen sind plötzlich von außen angreifbar. Vor welchen Herausforderungen stehen Security-Experten heute?
Joe Robertson:
Die meisten Chief Information Security Officer (CISO) kommen aus dem IT-Security-Umfeld. Jetzt müssen sie plötzlich auch die OT-Security verantworten. Das ist für viele von ihnen Neuland, denn Produktionsanlagen haben ihre ganz eigenen Risiken, mit denen man sich erst einmal vertraut machen muss. OT-Umgebungen sind extrem verwundbar, da sie meist veraltete Technologie nutzen und über kaum oder gar keine interne Security verfügen. Sie abzusichern und gleichzeitig zu garantieren, dass wichtiger Traffic sein Ziel erreicht, das ist die große Herausforderung.

Rick Peters: In Produktionsumgebungen gehen Betriebskontinuität und Safety, also die Betriebssicherheit, immer vor. CISOs können daher nicht einfach IT-Security-Konzepte eins-zu-eins auf die OT-Welt übertragen. Erschwerend kommt hinzu, dass bei der Optimierung von Produktionsprozessen eine Vielzahl von Sensoren eingesetzt werden und riesige Datenmengen anfallen. Auch das verkompliziert die Absicherung.

Alain Sanchez: Auch im Zwischenmenschlichen gibt es Herausforderungen. Denn bisher war das Verhältnis zwischen IT- und OT-Abteilung von einer Art „Hass-Liebe“ geprägt. Sie hatten unterschiedliche Prioritäten und Kommunikationsprobleme. Die OT-Experten hüteten ihr Fachwissen und bezogen die Security-Beauftragten nicht mit ein. Das ändert sich jetzt. Mit dem Zusammenwachsen der Netzwerke entwickeln auch die beiden Abteilungen glücklicherweise gegenseitiges Verständnis.

ITM: Haben CISOs während der Corona-Krise neue Erkenntnisse in der OT-Security gewonnen?
Robertson:
In den vergangenen Monaten mussten viele Produktionsteams Anlagen und Prozesse remote überwachen. Diese plötzliche Fernwartung hat die Angriffsfläche vergrößert. Cyberkriminelle versuchen das auszunutzen. CISOs tun ihr Bestes, um ihnen die Stirn zu bieten. Viele sind aber noch unerfahren in der Absicherung von OT-Systemen.

Peters: In Stresszeiten sind Menschen meist unaufmerksamer und machen mehr Fehler. Darauf spekulieren Hacker. Sie haben bei ihren jüngsten Angriffen weniger komplexe Techniken angewandt, attackieren aber häufiger und heftiger. CISOs müssen daher an vielen verschiedenen Fronten kämpfen.

Sanchez: Um der verschärften Angriffssituation gewachsen zu sein, brauchen Security-Teams Unterstützung durch neue Technologien. Machine-Learning-Algorithmen können Systeme automatisiert überwachen und Security-Events korrelieren. Dadurch gewinnen Mitarbeiter mehr Zeit, um Verteidigungsstrategien zu entwickeln. Die beiden wichtigsten Security-Praktiken sind meiner Meinung nach Automatisierung und Segmentierung. Automatisierung hilft, Netzwerke auch bei Remote-Arbeit zu schützen, und Segmentierung kann Auswirkungen von Angriffen erheblich mindern.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

 

ITM: Welche Security-Strategie ist für den langfristigen Schutz von OT-Umgebungen besonders wichtig?
Sanchez:
Die goldene Regel besteht aus drei Schritten: Erstens sollte man seine kritischen Assets identifizieren, um die Netzwerksegmentierung passgenau zu planen. Zweitens muss man die IT-Prioritäten und die operativen Ziele in Einklang bringen, denn sonst kommt es erfahrungsgemäß zu längeren Ausfallzeiten, die sich keiner leisten kann. Und drittens ist es entscheidend, sowohl die Besonderheiten von IT als auch von OT im Schutzplan zu berücksichtigen. Es geht darum, die konvergente Welt abzusichern, ohne die Produktionsperformance zu beeinträchtigen.

Robertson: Die beste Strategie ist ein ganzheitlicher, offener Security-Ansatz, bei dem „Threat Intelligence“ von verschiedenen Geräten und Anbietern gesammelt und an alle Security-Devices in der IT- und OT-Umgebung ausgespielt wird. Dafür braucht man Sichtbarkeit ins gesamte OT-Netzwerk, muss die vorhandenen Geräte und Applikationen identifizieren und leistungsstarke Gateways mit rollenbasierter Zugangskontrolle aufsetzen. Alle Sicherheits-Tools sollten sich zentral managen und überwachen lassen. Vorteilhaft ist ein offenes Ökosystem, in dem Geräte aus der IT- und OT-Welt zusammenarbeiten. Die Fortinet Security Fabric ermöglicht dies, indem sie geprüfte Schnittstellen zu Produkten hunderter IT- und OT-Hard- und Software-Anbieter hat.

Peters: Meiner Meinung nach ist es entscheidend, dass man sich der vielen Schwachstellen bewusst wird, die durch die Konvergenz von IT- und OT-Netzwerken entstehen. CISOs müssen Best Practices implementieren, die über den Schutz und die Bedrohungserkennung am Perimeter hinausgehen. Der Fokus sollte darauf liegen, ungewöhnliches und unbekanntes Verhalten zu identifizieren. Dafür braucht man zunächst Transparenz im OT-Netzwerk und muss „Earned-Trust“ für alle Geräte durchsetzen.

Eines ist klar: In digitalisierten Produktionsumgebungen können Sicherheitsvorfälle passieren – oder sind bereits passiert. Dessen muss man sich bewusst sein. Entscheidend ist, dass man jedes Ereignis erkennt, das die Produktivität beeinträchtigen könnte. Der beste Weg, um dies zu erreichen, ist eine ÖkosystesStrategie.

Bildquelle: Fortinet

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok