Sicherheitsrisiken bei OT-Systemen: Industrie ist gefährdet

In der heutigen Zeit ist es äußerst wichtig, industrielle Umgebungen abzusichern. Weil Angriffe zunehmen und immer mehr Schwachstellen ausgenutzt werden, werden Risikoansätze mit Fokus auf sogenannten Operational Technologies (OTs) immer notwendiger.

OT ist ein umfassender Begriff, der sich auf die Nutzung von IT zur Steuerung von Geräten, Maschinen und Prozessen in industriellen Kontrollsystemen (ICS) wie SCADA bezieht. Er erstreckt sich auf eine Reihe von Wertschöpfungsketten in Branchen wie Stahl, Öl und Gas, Chemie, erneuerbare Energien und Fertigung – Systeme, die 24 Stunden am Tag, sieben Tage die Woche funktionieren müssen.

Die Konvergenz von IT und OT ist nach wie vor die treibende Kraft für den Wandel zur industriellen IT. Zuvor modularisierte Maschinen sind nun miteinander verbunden und IoT-Sensoren liefern Daten zu allen Aspekten der Produktion. Diese Konvergenz bietet Unternehmen eine einzigartige Sicht auf industrielle Systeme. Zusammen mit Prozessmanagementlösungen wird sichergestellt, dass genaue Informationen an Menschen, Maschinen, Schalter, Sensoren und Geräte geliefert werden, und zwar zur richtigen Zeit und im besten Format. Und wenn IT- und OT-Systeme harmonisch zusammenarbeiten, werden neue Effizienzpotenziale entdeckt.

Es gibt heute viel mehr Schnittstellen und Berührungspunkte zwischen mehreren verschiedenen Bereichen in der Fertigung – insbesondere IT, OT und IoT – als früher. Dies bringt seine eigenen Herausforderungen mit sich. Aber je mehr industrielle Systeme miteinander verbunden sind, desto anfälliger sind sie auch für Schwachstellen, wodurch eine Reihe neuer Sicherheitsrisiken entstehen. Angriffe, die ihren Ursprung in einem E-Mail-Posteingang haben, können nun leichter Prozesse in der Fertigung unterbrechen.

Schauen wir uns einige Beispiele an. Im Januar 2020 wurde der belgische Webmaschinenhersteller Picanol von einem Ransomware-Angriff getroffen. Dieser Angriff legte die Produktion in seinen Fabriken in Belgien, China und Rumänien lahm. Im März desselben Jahres nutzte eine “WildPressure”-Angriffskampagne einen Trojaner, um Ziele im Nahen Osten anzugreifen und Informationen von verschiedenen Geräten zu erlangen. Und im April waren die Überwachungs- und Datenerfassungssysteme (SCADA) der israelischen Wasserversorgungs- und Abwasseraufbereitungsanlagen das Ziel eines Cyberangriffs.

Ein aktueller Kasperksy-Bericht mit Daten für das zweite Halbjahr 2020 zeigt, dass Angriffe auf industrielle Kontrollsysteme (ICS) nach einem zwölfmonatigen Rückgang wieder zugenommen haben. Der Anteil der ICS-Computer, die in den letzten sechs Monaten des vergangenen Jahres angegriffen wurden, lag bei 33,4 %. Das entspricht einem Anstieg von 0,85 Prozentpunkten. Alle untersuchten Branchen verzeichneten einen Anstieg der Cyber-Angriffe, wobei die Segmente Energie, Öl & Gas sowie Engineering & Integration am stärksten betroffen waren.

Sicherheit war schon immer der Hauptgrund für die Isolierung der Produktion. Maschinen und Anlagen wurden seit jeher von der Außenwelt abgeschirmt. Die Öffnung des Fertigungsbereiches, damit Maschinen mit Kunden kommunizieren können (z. B., um direkte Bestellungen aufzugeben) und mit anderen Aspekten der Infrastruktur, erfordert auch eine Öffnung der OT auf neue Weise.

Das Problem

Sicherheit spielt eine zentrale Rolle bei der Konvergenz von IT und OT. Doch proprietäre Systeme und Protokolle, die für die Industrie entwickelt wurden, sind nicht mit der klassischen IT kompatibel. Universelle Protokolle wie MQTT oder Standards wie Modbus TCP oder OPC UA erschweren die Kommunikation zwischen IT und OT. Die meisten IT-Überwachungstools “sprechen nur IT”, das heißt, sie unterstützen nur klassische IT-Protokolle wie Ping, SNMP, Flow, Sniffing und so weiter. Das führt dazu, dass Sicherheitstechnologien, die in einer IT-Umgebung funktionieren, nicht unbedingt in einer OT-Umgebung funktionieren.

Es besteht ein Bedarf an einer gemeinsamen “Sprache”, um sicherzustellen, dass die Komponenten verschiedener Technologien miteinander kommunizieren. Um diese Lücke zu schließen, hat sich der OPC-UA-Standard als weit verbreitete Option durchgesetzt – und dieser Trend wird sich voraussichtlich auch in den kommenden Jahren fortsetzen.

Hinzu kommt, dass Bedrohungen in der IT- und OT-Umgebung unterschiedlich sein können. Daher muss eine Threat-Intelligence-Struktur aufgebaut werden, damit das Unternehmen über die neuesten Bedrohungsinformationen auf dem Laufenden und darauf vorbereitet ist, damit umzugehen.

Glücklicherweise gibt es immer mehr Lösungen, die einen vollständigen Überblick über das Ökosystem bieten. Mit ihrem Einsatz und der Festlegung der richtigen Sicherheitsrichtlinien wird es möglich sein, eine effektive OT-Strategie einzurichten, die Prozesse, Mitarbeiter und Gewinne schützt und Sicherheitsschwachstellen und Vorfälle deutlich reduziert.

Was also tun?

Um OT-Systeme geschützt zu halten, empfehlen Experten:

1. Den Einsatz von Lösungen zur Ereignisüberwachung, -analyse und -erkennung;
2. Die regelmäßige Durchführung von Sicherheitsaudits auf Betriebssystemen (OT), um potenzielle Schwachstellen zu identifizieren und zu beseitigen;
3. Regelmäßiges Aktualisieren der Betriebssysteme und Programme, die Teil des industriellen Netzwerks des Unternehmens sind. Zudem das Einspielen von Sicherheits-Patches, sobald diese verfügbar sind;
4. Anbieten spezifischer Schulungen für die Sicherheit industrieller Systeme (ICS), sowohl für das IT-Team als auch für das OT-Team;
5. Diesen Teams Zugang zu aktuellen Berichten zu gewähren, um das Schutzniveau der industriellen Steuerungssysteme zu erhöhen; und
6. Eine Sicherheitslösung, die speziell für industrielle Anlagen und Netzwerke entwickelt wurde.

Alle OT-Risiken, die vom Risikomanagement als relevant erachtet werden, müssen einen Eigentümer haben und von der Kontrollfunktion überwacht werden, um Teil des Unternehmensrisikomanagements zu werden. Regelmäßige Risikobewertungen in allen Umgebungen sollten durchgeführt werden, um Schwachstellen zu identifizieren und um sicherzustellen, dass angemessene Sicherheitskontrollen vorhanden sind. Dies schließt Informationssicherheitsrisiken und Cyber-Risiken ebenso ein wie alle gängigen OT-Betriebsrisiken.

In diesem Sinne unterstützt beispielsweise die Monitoring-Plattform PRTG Network Monitor von Paessler seit Ende letzten Jahres vollständig die Kommunikationsstandards von Industrial-IT-Umgebungen. So kann PRTG Daten aus dem Shopfloor über native Sensoren für OPC UA, MQTT und Modbus TCP überwachen. Das Ergebnis ist ein ganzheitlicher Ansatz zur Überwachung der industriellen IT, der die gleichzeitige Visualisierung von Daten ermöglicht, welche in OT- und IT-Umgebungen erzeugt werden.

PRTG kann für Infrastrukturen jeder Größe skaliert werden. Aufgrund seiner Architektur erlaubt es die Überwachung von lokal und geografisch verteilten Umgebungen mit einer Implementierung, einer Lizenz und einem zentralen Panel. Dies ist entscheidend, wenn IT- und OT-Umgebungen zusammenwachsen. Es hilft bei der Strukturierung und Organisation komplexer Konfigurationen und ermöglicht auch die Abbildung komplexer Organisationsstrukturen auf Dashboards und Business Services.

Darüber hinaus werden mehrere spezialisierte Verteidigungsschichten benötigt. Dieses Konzept, das als “Defense in Depth” bekannt ist, basiert auf der Annahme, dass das Kernnetzwerk sicherer ist, wenn es mehrere Sicherheitsschichten gibt.

Für OT kann die Netzwerksegmentierung eine Schutzschicht bieten. Das kann bedeuten, dass das OT-Netzwerk durch eine industrielle entmilitarisierte Zone vom IT-Netzwerk getrennt (vertikale Segmentierung), oder das OT-Netzwerk selbstin mehrere “Zonen” aufgeteilt wird (horizontale Segmentierung). Durch die Segmentierung wird es für Bedrohungen schwieriger, in das Netzwerk einzudringen. Sollte es jedoch passieren, ist es noch schwieriger, andere Netzwerkbereiche zu kompromittieren.

Industrie-Firewalls stellen oft eine weitere Schicht dar. Wie Firewalls in IT-Netzwerken schützen sie industrielle Steuerungssysteme und verhindern, dass unerwünschter Datenverkehr in das Netzwerk gelangt.

Schließlich gibt es noch den Bedarf an Deep Packet Inspection (DPI). Dabei handelt es sich um einen Mechanismus, der es erlaubt, den Inhalt der Datenpakete vom Header bis zur Nutzlast zu untersuchen, um das Protokoll und die damit verbundenen Funktionen zu identifizieren. Die Daten können auch mit einem Satz von Regeln gegengeprüft werden, um sicherzustellen, dass sie nicht anomal sind. Dies erlaubt die Anwendung von komplexeren und detaillierteren Regeln, als sie eine Firewall verwalten kann.

DPI bildet die Grundlage für zwei spezifische Cybersicherheitsstrategien für OT: Industrial Intrusion Prevention Systems (IPS) und Industrial Intrusion Detection Systems (IDS). In einer OT-Umgebung sind sowohl IPS als auch IDS Geräte oder Systeme, die innerhalb des Netzwerks arbeiten und je nach System eine Benachrichtigung verhindern oder auslösen sollen, wenn anomale Daten entdeckt werden.

Es geht also weit über das “Hineinschauen” in den Datenstrom hinaus. Es verhilft zu einer totalen Kommunikationstransparenz: Zu wissen, wer dem Netzwerk beitritt, wer mit wem kommuniziert, welches Protokoll verwendet wird (auch wenn es verschlüsselt ist), wie viel Datenverkehr es gibt etc.. All dies sind äußerst relevante Informationen für die Cybersicherheit und die Netzwerküberwachung.

Es ist auch wichtig zu bedenken, dass Kryptografie in der OT noch nicht weit verbreitet ist und aufgrund mehrerer Herausforderungen wahrscheinlich auch mittelfristig nicht sein wird.

Netzwerksegmentierung, Verschlüsselung, Firewalls, Gateways, DPI-Überwachung und andere Strategien (Awareness-Schulungen nicht vergessen) müssen systematisch auf Basis der spezifischen Infrastruktur, Architektur und Anforderungen des Unternehmens implementiert und eingesetzt werden, um ein gutes Sicherheitsniveau zu erreichen.