Ohne Zweifel beschleunigte die COVID-Krise die Konvergenz von IT- und Operational Technology (OT)-Netzwerken.
Selbst Unternehmen in Branchen, die von physischen Prozessen abhängig sind, wie die verarbeitende Industrie, die Lebensmittel- und Getränkeindustrie, die Pharmabranche oder die Energieversorger, ermöglichten zumindest einem Teil ihrer OT-Belegschaft, von zu Hause aus zu arbeiten. Fast über Nacht konnten Mitarbeiter, die zuvor in der Fertigung gearbeitet hatten, von ihrem Home-Office aus Änderungen an Produktionslinien und Fertigungsprozessen vornehmen. Unternehmen, die in Sachen digitaler Wandel schon fortgeschritten und dadurch in der Lage waren, sich schneller auf ein neues, verteiltes Modell einzustellen, konnten ihren Betrieb aufrechterhalten und sich so einen Wettbewerbsvorteil verschaffen. Teilweise ließen sich auf diese Weise sogar die Prozesse optimieren. Insgesamt hat sich die Denkweise grundlegend verändert, sodass es jetzt kaum mehr ein Zurück gibt.
Diese beschleunigte Konvergenz hat jedoch auch Sicherheitslücken aufgedeckt. Vor einigen Monaten gaben die Nationale Sicherheitsbehörde der USA (NSA) und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung heraus. Den Behörden zufolge bestehe derzeit „ein Zustand erhöhter Spannungen und zusätzlicher Risiken und Gefährdungen.“ Entsprechend erhielt die Warnung vor bevorstehenden und ernsthaften Bedrohungen detaillierte Empfehlungen für den Schutz von OT-Umgebungen. Insbesondere wird ein ganzheitlicher Ansatz empfohlen, der auf eine Risikominderung im gesamten Unternehmen abzielt.
Zwei Netzwerke, ein Ziel
Noch bis vor kurzem wurden OT- und IT-Netzwerke aufgrund ihrer unterschiedlichen Charakteristiken und Zielsetzungen auf unterschiedliche Weise verwaltet. Für IT-Teams hat die Vertraulichkeit von Daten in der Regel oberste Priorität vor Integrität und Verfügbarkeit. Bei der OT liegt der Fokus in erster Linie auf Safety, Ausfallsicherheit und Produktivität, während Integrität und Vertraulichkeit eine sehr untergeordnete Rolle spielen. Zudem betrachten Unternehmen häufig OT und IT als unterschiedliche, getrennte Netzwerke. Ganz im Gegensatz zu den Angreifern, wie wir in der Vergangenheit gesehen haben: Für sie ist ein Netzwerk ein Netzwerk und Angriffe durchbrechen oftmals diese Grenzen, etwa bei Ransomware-Attacken, die Wege von den IT- in die OT-Infrastrukturen finden.
Selbstverständlich weisen die Netzwerke Unterschiede auf und erfordern entsprechend unterschiedliche Sicherheitsansätze. Allerdings, um das gleiche Ziel zu erreichen: Risikominimierung. Verteidiger müssen hierzu in der Lage sein, Bedrohungen zu identifizieren und die verschiedenen Schritte in der Angriffskette zu erkennen – überall in diesen Netzwerken. Um die Risiken also zu minimieren, bedarf es Lösungen, die eine domänenübergreifende Sichtbarkeit bieten und gleichzeitig die Unterschiede verstehen und einbeziehen.
Proaktives Risikomanagement setzt voraus, dass man in der Lage ist, das Risiko aus verschiedenen, sich ergänzenden Perspektiven zu untersuchen und zu entscheiden, wie man das Risiko adressiert. Die Kombination dieser Perspektiven bietet einen wertvollen Kontext und ein umfassenderes Bild der Sicherheitslage in der modernen OT-Umgebung. Schlüsselaspekte hierbei sind der Risikostatus der Assets sowie Informationen über den Netzwerkverkehr.
Das Erfassen der Risikolage von Assets setzt einen Einblick in die Netzwerke und Endpunkte von industriellen Steuerungssystemen (ICS) voraus, mit vollständigen IT- und OT-Anlageninformationen in einem zentralen System, auf das sowohl IT- als auch OT-Teams zugreifen können, ohne dass zusätzliche Konnektivität erforderlich ist. IT-basierte ICS-Ressourcen wie Mensch-Maschine-Schnittstellen (HMIs) oder Engineering-Workstations (EWs) können mit Informationen über IT-Bedrohungen und Schwachstellen angereichert werden, um die Sicherheitslage proaktiv zu verbessern, ohne die Produktivität zu gefährden oder Ausfallzeiten zu riskieren.
Für eine effektive Verteidigung ist zudem der Einblick in den Netzwerkverkehr entscheidend. Sicherheitsteams müssen in der Lage sein, Bedrohungen zu identifizieren und zu verfolgen, die die IT/OT-Grenze überschreiten, zumal Angriffe sehr häufig in IT-Netzwerken beginnen und ihren Weg in OT-Netzwerke finden. Wir konnten dies in den letzten Jahren insbesondere in der Fertigungsindustrie beobachten, als dieser Sektor stark von Ransomware betroffen war. Mit Lösungen, die das konvergierte IT/OT-Unternehmen absichern, ohne eine Neukonfiguration der Signaturen oder manuelle Updates (die insbesondere auf der „OT-Seite“ oftmals problematisch sind) zu benötigen, werden die Erkennung und Reaktion deutlich verbessert.
Letztlich ist es ganz logisch: Eine konvergente IT/OT-Umgebung erfordert einen konvergenten Ansatz für die IT/OT-Sicherheit, bei dem IT- und OT-Teams zusammenarbeiten können, um eine effektivere Sicherheits-Governance und eine verbesserte Sicherheitslage über alle verbundenen Standorte hinweg zu erreichen. Diesem Ziel sind wir durch die Umstände des letzten Jahres deutlich schneller als ursprünglich geplant nähergekommen. Viele Unternehmen haben die Vorteile und Möglichkeiten erkannt, die sich aus der zunehmenden Konvergenz ergeben – auch in Bezug auf die Produktivität und das Betriebsergebnis. Gehen wir nun also auch noch die letzten Schritte hin zu einer umfassenden industriellen Cybersicherheit.