Zwar sind sich Unternehmen ihrer Verwundbarkeit hinsichtlich Cyberangriffen bewusst. Dennoch fokussieren sie dabei häufig nicht die Sicherheit ihrer operativen Technologie (OT), also ihrer Fertigungsanlagen oder Infrastruktureinrichtungen. Dabei kann gerade hier das Schadenspotenzial enorm sein – und sogar zu Gefahren für Leib und Leben führen.
Operational Technology (OT) Security muss also einen essenziellen Bestandteil des IT-Sicherheitskonzepts eines Unternehmens darstellen, aber auch die besonderen Herausforderungen wie veraltete Systeme oder raue, industrielle Betriebsumgebungen beachten – etwa durch die Belastung mit hohen Temperaturen oder Staub. Unternehmen sollten für eine Einführung ein schrittweises Vorgehen wählen und auf zeitgemäße Security Verfahren setzen.
Berichte über Cyberangriffe auf Unternehmen sind in den Medien allgegenwärtig – betroffen sind Unternehmen wie z.B. große Elektronikketten genauso wie öffentliche Verwaltungen. Angreifer(-gruppen) zeichnet eine hohe kriminelle Energie aus – sie sind hochmotiviert in ihrem Handeln, gut vernetzt und haben kommerzielle oder politische Interessen, ihr Zielunternehmen auszuspionieren, zu erpressen und ihm finanziell oder hinsichtlich seiner Reputation zu schaden.
Ein Großteil von Unternehmen sind deswegen bemüht, für ihre IT Security ein angemessenes Niveau zu erreichen und zu halten. Begrenzte IT Security-Budgets und mangelnde Zeit- sowie Personal-Ressourcen limitieren aber oft ihre Möglichkeiten. Hinzu kommt: Die Operational Technology (OT) Security – also die Sicherung von operativer Technologie wie Fertigungs- und Industrieanlagen oder Infrastruktureinrichtungen – steht häufig noch gar nicht im Fokus der Security Konzepte in Unternehmen. Dabei können die Schäden immens sein: Folgen von Fehlfunktionen und Ausfällen können von Umsatzeinbußen bis zur Gefährdung von Leib und Leben oder auch der Umwelt reichen.
Unternehmen sind jedoch häufig nicht in der Lage, potenzielle Bedrohungen für ihre OT rechtzeitig zu erkennen oder verdächtigen Datenverkehr durchgehend zu überwachen. Es fehlen Kontrollfunktionen, um die Sicherheit und die Risiken, die der Bereich IoT (Internet of Things) mit sich bringt, zu verwalten und zu überwachen. Dabei steht die Integration von IoT mit künstlicher Intelligenz, maschinellem Lernen, automatisierten Prozessen und Cloudtechnologien noch ganz am Anfang. Gleichzeitig findet zu häufig noch das Paradigma „Never change a running system“ Anwendung. Das ist fatal, denn im dynamischen Zeitalter der Digitalisierung sollten nicht nur die eigene IT-Strategie und -Infrastruktur regelmäßig in Hinblick auf ihre Sicherheit hinterfragt, sondern auch grundlegende Systementscheidungen auf den Prüfstand gestellt werden.
Trotz einiger Überschneidungen von OT und IT, wie z.B. dem Einsatz identischer Betriebssysteme, Infrastruktur- oder Netzwerkkomponenten, gibt es fundamentale Aspekte in der OT, die berücksichtigt werden müssen:
- Safety First: Ein OT System muss sicher und stabil laufen, denn bei Störungen kann es im schlimmsten Falle zu Gefährdungen von Leib und Leben kommen.
- Keine Unterbrechungen des Regelbetriebes: Das Herunter- und Herauffahren der Anlage ist mit großem Aufwand verbunden.
- In der OT befindet sich oft noch alte Hardware mit Betriebssystemen im Einsatz, die keinen herstellerseitigen Support und Sicherheitspatches mehr erhalten.
- Verbreitet ist häufig ebenfalls noch der Einsatz von Lösungen IT-fremder, oft mittelständischer Systemhersteller.
- Vielen Komponenten und Geräten steht nur wenig Personal gegenüber.
- Es werden andere Protokolle als in der IT verwendet (ICCP, Modbus oder DNP3).
- Die Betriebsumgebungen der Industrieanlagen sind herausfordernd und rau, etwa hinsichtlich der herrschenden Temperaturen, mechanischen Einwirkungen wie Vibrationen oder Staub- und Schmutzbelastungen.
Für die Operational Technology (OT) Security müssen also Systeme aus zwei Welten miteinander verbunden werden; diese Systeme können aber teilweise schon über Jahrzehnte in Betrieb und wenig dokumentiert sein. OT Security ist auch deshalb kein Quick Win, sondern komplex und mühsam. Deswegen empfiehlt sich ein schrittweises Vorgehen, um das Sicherheitslevel auf OT Ebene langfristig und nachhaltig zu heben.
1. Bestandsaufnahme der Anlagen
Hier wird das Inventar an Vermögenswerten erfasst (Asset Inventory). Das heißt, es wird recherchiert und analysiert, wie die OT Systemlandschaft aussieht, wie sie im Netzwerk integriert ist und welche Daten, Software, Systeme, Geräte und Prozesse geschützt werden müssen. Es erfolgt eine Schwachstellenanalyse in Verbindung mit möglichen Patches. Dabei ist es entscheidend, keine blinden Flecken zu übersehen, die Angreifer ausnutzen können.
2. Risikoanalyse
Bestandsaufnahme und Schwachstellenanalyse liefern die notwendigen Informationen für die Risikoanalyse. Manchmal kann es zum Beispiel sicherer sein, mit einer älteren Systemversion ohne Patches zu arbeiten und ein potenzielles Sicherheitsproblem durch gezielte Überwachung zu mindern: Man akzeptiert dann ein Risiko oder schwächt es ab, anstatt das System durch Änderungen, deren Komplexität und Abhängigkeiten nicht in ihrem ganzen Umfang vorhersehbar sind, möglicherweise zum Absturz zu bringen. Für die Risikoanalyse bietet das MITRE ATT&CK Framework für Industrial Control Systems (ICS) eine geeignete Hilfestellung.
3. Zentrales Logging
Cyberangriffe, oder auch nur eine Fehlfunktion eines Systems oder einer Komponente hinterlassen ihre Spuren in Logfiles. Die zentrale Sammlung dieser Logfiles ist deswegen die Grundvoraussetzung für Analyse, Alerting und automatisierte Eindämmung eines Angriffs. Es ist entscheidend, dass die Protokolldaten der unterschiedlichsten, teilweise alten Subsysteme in einem normalisierten Format abgelegt werden: Performante Analysemethoden und Machine Learning benötigen saubere Daten.