Um Montagehallen, Produktionsstätten oder Energienetze zu betreiben, kommen industrielle Steuerungssysteme (ICS) sowie Supervisory Control And Data Acquisition (Scada) zum Einsatz. Diese Operational Technology (OT) steuert die physischen Prozesse der Maschinen. Die Netzwerke, in denen diese OT-Systeme betrieben werden, sind traditionell von der IT-Umgebung des Unternehmens sowie vom Internet durch einen Air-Gap – wörtlich ein Luftspalt – getrennt. Und das aus gutem Grund, kann doch der Ausfall der OT-Systeme zu hohen Kosten führen und sogar zur Gefahr für die Mitarbeiter werden. Der Air-Gap trennt IT- und OT-Systeme physisch und logisch voneinander und soll dennoch die Übertragung von Nutzdaten zulassen.
Vorteile und Nachteile
Bisher hielten sich die Bedrohungen für die OT durch die Trennung von der IT in Grenzen. Der Luftspalt sorgte für eine Distanz zu den Cyber-Bedrohungen. Der Wartungszugang zu industriellen Maschinen, die Aktualisierung von ICS-Tools aus der Ferne oder Remote-Firmware-Updates boten allerdings schon immer potenzielle Hintertüren in die OT-Umgebung. Der Hauptgrund für eine zunehmende Bedrohung ist jedoch, dass im Zuge der Digitalisierung IT- und OT-Netzwerke immer mehr zusammenwachsen. Der Zusammenschluss schafft einerseits viele Vorteile: Die Kombination von Daten und Produktion ermöglicht es Unternehmen beispielsweise, schneller auf Marktveränderungen zu reagieren und Systeme aus der Ferne zu verwalten und zu steuern. Doch die Vorteile sind auch mit Risiken verbunden. So kursiert aktuell beispielsweise speziell auf OT-Anlagen zugeschnittene Malware, die IT-Umgebung und ihre Netzwerkverbindungen ausnutzen kann, um Zugang zu industriellen Steuerungssystemen zu erhalten.
Raffiniertere Methoden
Zudem werden Angreifer immer raffinierter und die Angriffsmethoden ausgereifter. Mit hochkomplexen und vielseitigen Techniken sind Angreifer in der Lage, eine Vielzahl an Mechanismen zu nutzen, um IT- und zunehmend auch die OT-Umgebung zu infiltrieren. Die große Anzahl an Security-Tools kann ebenfalls dazu führen, dass Bedrohungsabwehr in gewisser Weise sogar eher erschwert wird. In zu vielen Fällen hat das IT-Sicherheitspersonal nicht die Zeit, sich mit diesen einzelnen Tools zu befassen, wodurch Cyber-Bedrohungen buchstäblich im Rauschen der vielen Alerts untergehen können. Dazu verschärft der Fachkräftemangel in der IT-Security die Situation. Zusätzlich haben die Vorschriften für Cybersecurity und den Schutz persönlicher Daten die Komplexität der Sicherheit für IT- und OT-Manager in letzter Zeit laufend erhöht. So gelten allgemeine Standards wie PCI-DSS (Payment Card Industry Data Security Specification), DSGVO (Datenschutzgrundverordnung) und das NIST (National Institute of Standards and Technology)-Framework – allesamt Richtlinien, die Unternehmen verstehen und umsetzen müssen.
Was kann schützen?
Bislang wurde oft wenig in die Sicherheit von ICS- oder Scada-Systeme investiert. Und ungeachtet dessen, ob ein Industrieunternehmen IT und OT zusammenführt oder nicht, sollten produzierende Gewerbe Ihre OT mit einigen bewährten Sicherheitsverfahren schützen:
- Unternehmen sollten Werkzeuge einrichten, die eine breite Sichtbarkeit in das OT-Netzwerk und die IT bieten. Dazu gehören das Aufspüren und die Inventarisierung von Geräten sowie die Errichtung von Zugangskontrollen für das Netzwerk. Außerdem sollten sie sich einen Überblick über Anwendungen und Datenverkehr verschaffen.
- Firmen benötigen eine Strategie für die Segmentierung ihres Netzwerks. So helfen Gateways mit strengen Richtlinien bei der Trennung zwischen der IT- und der OT-Umgebung. Das Gleiche lässt sich auf verschiedenen Ebenen des OT-Netzwerks einrichten. Ziel ist es, sicherzustellen, dass jedes System und Subsystem seine Aufgabe erfüllt – und zwar nur seine Aufgabe. Die Segmentierung verhindert, dass sich ein Angriff flächendeckend ausbreitet.
- Ein offenes, vertrauensbasiertes Zugriffsmodell sollte durch eine Zero-Trust-Zugriffsstrategie ersetzt werden. Benutzer müssen sich authentifizieren und sind auf die Systeme beschränkt, die sie für ihre Arbeit benötigen. Auch sollten Überwachungsmechanismen zum Einsatz kommen.
- Zusätzlich sollten Unternehmen auf Automatisierung setzen, um Aktivitäten zu analysieren und ihre Reaktion zu beschleunigen. Entsprechende Tools können Aktivitäten protokollieren und diese Protokolle auf der Suche nach anormalem Verhalten durchsuchen. Sicherheitssysteme können schnell auf erkannte Bedrohungen reagieren.
- Nicht zuletzt benötigen IT/OT-Teams Prozesse für das Auditing und Testen von Systemen im Falle eines Angriffs. Außerdem sollten Playbooks für Backup, Wiedergewinnung und Wiederherstellung vorhanden sein.
Keine Garantie
Es gibt keine Garantie, dass kein Angriff die Abwehr durchbricht. Aber ohne eine wirksame Verteidigungsstrategie sind Unternehmen einem ungleich höheren Risiko ausgesetzt, Opfer einer Hackerattacke zu werden. Dabei gibt es zahlreiche Tools, die darauf ausgelegt sind, die IT und OT gegen verschiedene Arten von Angriffen und verschiedene Stadien einer Infiltration zu verteidigen. Und es gibt integrierte Security-Systeme mit hohem Funktionsumfang auf dem Markt, mit der sich die Abwehr von Cyberattacken weitestgehend automatisieren lässt. So können Produktionsunternehmen ihre Sicherheit vereinfachen, ohne sie zu kompromittieren.
ist Field CISO bei
der Fortinet GmbH.
www.fortinet.de
