In vielen Unternehmen lautet eine der wichtigsten Fragen bezüglich der Betriebstechnologie (Operational Technology, OT): Wie schützt man die sogenannten Alt-Systeme richtig?
Gerade im OT-Bereich ist viel veraltete Software im Einsatz, denn die Geräte und Maschinen in den Produktionsumgebungen wurden oft vor 10, 15 oder gar 20 Jahren angeschafft. Entsprechend alt sind auch die Betriebssysteme (Windows XP und älter). Sie bieten mittlerweile keine oder nur rudimentäre Sicherheitskonzepte. Allerdings können diese alten Maschinen, wenn sie überhaupt noch unterstützt werden, nicht einfach mit einem Patch oder Update versehen werden, wie dies in der IT-Umgebung möglich ist. Im Weg steht die Ausfallsicherheit, denn zur Aktualisierung muss die Maschine wahrscheinlich abgeschaltet werden, was zum Stillstand der Produktion und damit zu einem finanziellen Schaden führen kann, der schnell in die Millionen geht. Dies sind völlig andere Voraussetzung als in der IT-Sicherheit, wo der Ausfall eines Computers in der Büro-IT einfacher verkraftet werden kann.
Im Zuge der digitalen Transformation anlässlich der Idee der Industrie 4.0 werden diese veralteten Systeme jedoch zuerst ans interne Unternehmensnetzwerk und dadurch schließlich ans Internet angeschlossen – mit verheerenden Folgen, denn diese ungesicherten Alt-Systeme mit teils bekannten Schwachstellen waren nie für diese Vernetzung gedacht und öffnen nun Hackern Tür und Tor ins Unternehmensnetz. Eine erfolgreiche Infiltration bzw. ein damit einhergehender Ausfall kann im OT-Bereich verheerende Folgen nach sich ziehen: Produktionsausfall mit enormen finanziellen Einbußen, Geldstrafen oder Maschinenschäden bis hin zu lebensbedrohlichen Worst-Case-Szenarien im Falle von beispielsweise der chemischen Industrie. Doch Unternehmen müssen diesen Schritt der Vernetzung ihrer Anlagen gehen, um langfristig konkurrenzfähig bleiben zu können, weil dies die Produktivität und Effizient erhöht. Ein Dilemma.
Mit neuen Regularien wie der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) verpflichtet die EU zwar Unternehmen, Ihre IoT- und OT-Umgebungen zu schützen und fordert dafür ein Mindestmaß an Sicherheit, doch dies ist kein Garant für ein sicheres Netzwerk. Will heißen, nur weil man alle Richtlinien befolgt, ist man nicht zwangsweise geschützt. Wegen jüngerer Entwicklungen wie im Bereich der Künstlichen Intelligenz (KI) sind Angriffe sowohl zahlreicher als auch professioneller geworden. Der Gesetzgeber dagegen kann mit der Geschwindigkeit, mit der diese neuen Technologien bereitgestellt werden, nur bedingt Schritt halten.
Es ist daher entscheidend, dass Unternehmen dem Thema der OT-Sicherheit über die Compliance hinaus eine besondere Beachtung schenken und es in den ständigen Fokus ihrer Cyber-Sicherheitsstrategie stellen. Vor allem, jedoch nicht ausschließlich dann, wenn es sich um Alt-Systeme handelt. Die folgenden Punkte sind entscheidende Schritte zu einer umfänglichen OT-Sicherheit trotz Alt-Systemen:
- Ein Risiko-Management durchführen: Durch Beurteilung der Kritikalität eines bestimmten Legacy-Kontrollsystems können gezielte technische Vorkehrungen für bestimmte, als kritisch eingestufte, Assets durchgeführt werden, ohne Ressourcen und Zeit in anderen Bereichen zu verschwenden.
- Ein OT-spezifisches Netzwerkgerät installieren: Vor eine einzelne Anlage oder eine Gruppe von Legacy-Systemen wird ein spezielles Device platziert, dass als Schutzschild dient und virtuelle Patching-Funktionen bietet. Damit wird das Gerät mit modernen Methoden geschützt, obwohl das Betriebssystem veraltet ist.
- Mit einem Passwort geschützte Geräte durch Biometrik ersetzen: Durch KI ist das Stehlen von Passwörtern in einem weitaus größeren und professionelleren Stil möglich geworden. Mit Biometrik geschützte Geräte und Funktionen sind hier die sicherere Wahl, weil diese Faktoren nur schwierig nachgeahmt werden können, zum Beispiel Fingerabdrücke.
- IT- und OT-Netzwerke trennen: Um den digitalisierten Betrieb am Laufen zu halten, müssen OT-Geräte im Unternehmensnetzwerk die Möglichkeit haben, miteinander zu kommunizieren, ohne von Angreifern, die sich in der IT gerade tummeln, gesehen zu werden. Das heißt, es bedarf einer physischen wie virtuellen Trennung von IT- und OT-Netzwerken innerhalb eines Unternehmens. Ist Ersteres infiltriert, kann der Angreifer nicht auf Letzteres zugreifen. Eine sogenannte Virtual Air Gap sorgt dafür, dass auf OT-Geräte nur über eine sichere Verbindung zum Netz zugegriffen werden kann und dass OT-Netzwerk von der IT und somit vom Rest der Welt abgeschirmt bleibt.
- Mikro-Segmentierung einführen: Hierbei bestimmt ein Netzwerkgerät, welche Kommunikation zwischen den einzelnen Geräten und Maschinen zugelassen wird. Dazu kommt ein virtueller Patch. Es helfen auch bereits bekannte Angriffe: Mit Signaturen auf dem Netzwerkgerät sieht man, wenn diese alten Schwachstellen ausgenutzt werden sollen und kann entsprechend darauf reagieren. Nach der Segmentierung des Netzwerks also in einen OT- und einen IT-Bereich wird nun innerhalb des OT-Teils auf Mikro-Ebene nochmal segmentiert, um wiederum isolierte Zonen mit scharfen Kontrollen des Datenverkehrs an ihren Grenzen zu erschaffen. Wiederum verhindert dies, dass ein Hacker, der in eine Zone eindringt, die gesamte OT-Umgebung attackieren kann.
Zusammenfassung
Im Zuge der digitalen Transformation und der Industrie 4.0 ist es für Unternehmen überlebensnotwendig geworden mit der neuesten Technologie Schritt zu halten. Ihre Produktionsumgebungen laufen jedoch zumeist noch auf teils sehr alten Systemen, die zu ersetzen oder zu aktualisieren kaum oder nicht möglich ist. Bekannte Schwachstellen werden durch die Anbindung dieser Legacy-Systeme ans Internet zu Einfallstoren für Cyber-Kriminelle und stellen somit ein erhebliches Risiko dar. Durch den richtigen Schutz der OT-Umgebungen können Unternehmen aber dafür Sorge tragen, dennoch sicher und somit konkurrenzfähig zu bleiben. Eine ausgearbeitete OT-Sicherheitsstrategie ist dabei entscheidend und unumgänglich, denn es ist möglich, die alten Systeme angemessen zu schützen, wenn eine OT-native Sicherheitsstrategie mit OT-nativen Sicherheitslösungen angegangen wird.
Autor: Klaus Stolper, Sales Director DACH bei TXOne Networks