Sicherheitsstrategien für OT und IoT: Diese fünf Dinge gibt es zu beachten

Cristina De Luca -

Juli 18, 2022

IoT- und OT-Technologien, -Lösungen und -Funktionen gliedern sich meist schnell in die Informations-Infrastruktur von Unternehmen ein. Doch sie können sich auch zu einem Bedrohungsvektor entwickeln, der rasch neue Klassen und Arten von Gefahren und Schwachstellen schafft. Diese erweitern wiederum die Angriffsfläche für zweifelhafte Organisationen, die sie nutzen könnten, erheblich. Deshalb müssen solche Bedrohungen und Schwachstellen analysiert und in die Strategien sowie Planungen für die Informationssicherheit und das Risikomanagement eines Unternehmens integriert werden. So lassen sich die Anforderungen, Ziele und Vorgaben für die Informationssicherheit und das Risikomanagement effektiv erfüllen.

Dabei stehen die Teams der Security Operations Center(SOC) bei der Überwachung von IoT- und OT-Netzwerken vor mehreren Herausforderungen, wie zum Beispiel:

  • Mangelnde Sichtbarkeit: Den Sicherheitsteams mangelt es an Transparenz. Selbst auf der grundlegendsten Verständnisebene fehlt ihnen der Einblick in die Netzwerke. Auch welche Geräte sie haben und wie sie miteinander verbunden sind (Anlageninventar) ist oft unklar.
  • Mangelndes Fachwissen, um Vorfälle zu verstehen, die spezielle industrielle Geräte, Protokolle und Verhaltensweisen betreffen.
  • Abgeschottete Organisationen: Es gibt oft nur wenig Kommunikation zwischen dem IoT/OT und den Sicherheitsteams. Außerdem fehlt ein gemeinsames Vokabular, um verdächtiges oder nicht autorisiertes Verhalten zu beschreiben.
  • Notwendigkeit eines unternehmensweiten Überblicks: Um moderne mehrstufige Angriffe zu erkennen, müssen die Informationen aller verfügbaren Datenquellen ausgewertet und verknüpft werden. Das betriff auch IoT/OT-Assets (SPS bzw. PLCs, HMIs, Historien usw.) und IT-Assets (Desktops, Server, Firewalls, Identitäten, Anwendungen wie SAP und Cloud-Dienste).

In dieser Woche stellt John P. Pironti, Präsident von IP Architects, einen Artikel vor, der von ISACA veröffentlicht wurde. Darin beschreibt er fünf wichtige Punkte, die jedes Unternehmen beachten sollte, das eine integrierte Sicherheitsstrategie für IoT und OT entwickelt.

  1. Erkennung von IoT- und OT-Ressourcen sowie Netzwerksegmentierung – IoT- und OT-Geräte werden von mehreren Herstellern mit verschiedenen Open-Source- und proprietären Betriebssystemen produziert. Daher verfügen sie über unterschiedliche Rechenleistung, Speicherplatz und Netzwerkdurchsatz. Jeder IoT- und OT-Endpunkt sollte identifiziert und profiliert, zu einem Bestandsverzeichnis hinzugefügt und kontinuierlich auf seinen Zustand und seine Sicherheit überwacht werden.  

    Nach der Ansicht von Pironti müssten die Geräte in separate virtuelle lokale Netzwerke (VLANs) segmentiert und mit Zugriffskontrolllisten (ACLs) versehen werden. Diese beschränken ihren Datenverkehr nach Möglichkeit auf bekannte Quellen, Ziele, Ports und Protokolle. Außerdem hält er eine Unterstützung durch Netzwerk-Firewall-Proxys für sinnvoll. Diese ermöglichen eine Deep Packet Security Inspection und im Falle verschlüsselter Datenströme Entschlüsselungsfunktionen mit Secure Socket Layer (SSL) und Transport Layer (TLS). Außerdem sind Intrusion-Detection-Funktionen denkbar, während der Datenverkehr zwischen VLANs und Netzwerksegmenten, einschließlich des Internetzugangs, weitergeleitet wird.

  2. Kontinuierliche Überwachung von IoT- und OT-Bedrohungen – Gefahren und Schwachstellen im Zusammenhang mit IoT- und OT-Geräten sowie -Systemen müssen ständig überwacht werden. Dies erfordert Anpassungen und Optimierungen im Vergleich zu herkömmlichen Sicherheitsüberwachungstools und -techniken.  

    IoT- und OT-Geräte erzeugen eine begrenzte Menge an Protokoll- und Telemetriedaten, insbesondere sicherheitsrelevante Daten. Eine wirksame IT- und IoT-Sicherheitsüberwachung beginnt mit dem Verständnis dessen, welche normalen Verhaltensweisen zu erwarten sind und welche Telemetriedaten diese Geräte erzeugen sollten. Sobald Grundlinien festgelegt sind, müssten Fehlermargen und Schwellenwerte für Maßnahmen mit einem risikobasierten Ansatz entwickelt werden, um die von IoT- und OT-Geräten erzeugten Falsch-Positiv-Raten zu begrenzen. So können Datenpunkte, Metriken und Telemetriedaten einzelner Anlagen bei Lösungen zur Überwachung von Sicherheitsvorfällen und Ereignissen (SIEM) berücksichtigt werden, um die Sicherheitstransparenz und die Überwachung der Informations-Infrastruktur von Unternehmen zu verbessern.

  3. Datenerfassung durch IoT- und OT-Geräte – IoT- und OT-Geräte sammeln, speichern, verarbeiten und übertragen eine beträchtliche Menge an nicht-öffentlichen persönlichen Daten (Nonpublic Personal Information, NPPI), persönlich identifizierbaren Informationen (Personally Identifiable Information, PII) und im Falle von Gesundheitseinrichtungen auch persönliche Gesundheitsdaten (Personal Health Information, PHI). Diese Daten sind anfällig für Missbrauch und können von Angreifern genutzt werden, um Informationen über eine Person oder Organisation zu erhalten. Doch nur anhand der Daten, die sie sammeln oder mit denen sie interagieren, lassen sich solche Geräte nicht einfach erkennen. Daher ist es wichtig, die Funktionsweise des Geräts und die Informationen, mit denen es arbeitet, vollständig zu verstehen und offenzulegen. Nur dann kann eine angemessene Risiko- und Informationssicherheitsanalyse durchgeführt werden.

  4. Risiko und Sicherheit von IoT- und OT-Herstellern – Für viele Geräte, deren Funktion und Design traditionell nicht in die IT integriert ist, ist eine Netzwerkkonnektivität nicht ohne Weiteres möglich. Die Hersteller stehen deshalb vor der Herausforderung, neue Funktionen zu entwickeln sowie Supportfunktionen bereitzustellen und Sicherheitsfeatures in ihre IoT- und OT-Lösungen zu integrieren. Möglicherweise sind sich die Hersteller nicht bewusst, welche Risiko- und Sicherheitspläne sowie -auswirkungen und/oder der -anforderungen sie berücksichtigen müssen. Dadurch besteht die Möglichkeit, anfällige Geräte zu produzieren.  

    Es ist wichtig, dass Risiko- und Sicherheitsexperten Methoden, Praktiken und Bewertungskriterien entwickeln, um IoT- und OT-Geräte zu bewerten, bevor sie in eine Umgebung eingeführt oder an interne und externe Netzwerke angeschlossen werden. Es sollte eine umfassende Bedrohungs- und Schwachstellenanalyse durchgeführt werden, um mögliche Bedrohungen, die mitunter erhebliche Auswirkungen haben können, zu ermitteln. Diese Analyse kann dazu dienen, Risiko- und Sicherheitsexperten sowie Betreiber über die möglichen Bedrohungen und Schwachstellen eines IoT- oder OT-Geräts zu informieren. Auf diese Weise können solche Faktoren in einer Risikobewertung vor der Einführung und Nutzung eines Geräts berücksichtigt werden.

  5. Patching, Konfigurationsmanagement und Wartung – IT-Sicherheitshygiene ist für jede erfolgreiche Schutz- und Risikostrategie unerlässlich. Zu den Schlüsselelementen der IT-Sicherheitshygiene gehören Patching, Konfigurationsmanagement und Systemwartung. Die Einführung von IoT- und OT-Geräten hat das Potenzial, diese gewaltige Aufgabe für viele Organisationen in exponentiellem Maß zu erschweren. Deshalb muss dafür gesorgt sein, dass sich IoT- und OT-Geräte zentral verwalten, konfigurieren und warten lassen. So ist sichergestellt, dass wirksame und angemessene Risiko- und Sicherheitsmaßnahmen implementiert sowie aufrechterhalten werden können.

Eine gehostete Überwachungslösung ermöglicht daher den Zugriff auf alle notwendigen Informationen, um die Verfügbarkeit und Zuverlässigkeit der Infrastruktur und des Netzwerks sicherzustellen. Die Einbindung von IoT-Daten in ein größeres Überwachungskonzept, das auch OT und IT umfasst, ist nicht nur vorteilhaft, sondern notwendig.