Industrielle Kontrollsysteme absichern Security in der OT braucht viel Fingerspitzengefühl

Autor: Melanie Staudacher

Vernetzte Anlagen, Steuerungseinheiten und IoT-Geräte machen die Absicherung von Produktionsinfrastrukturen unentbehrlich. Doch die Sicherheit in der Operational Technology funktioniert anders als in der IT. So können Systemhäuser in das Geschäft einsteigen.

Firmen zum Thema

Die Anforderungen an eine funktionierende Produktion sind hoch.
Die Anforderungen an eine funktionierende Produktion sind hoch.
(Bild: © Photocreo Bednarek - stock.adobe.com)

Fast fünf Millionen Dollar Lösegeld zahlte der Betreiber einer der wichtigsten Pipelines in den USA. Cyberangreifer hatten Mitte Mai Daten des Unternehmens Colonial Pipeline verschlüsselt und gestohlen. Als Folge gingen vielen Tankstellen der Sprit aus, die Ausfallkosten waren hoch.

Angriffe auf Industriesysteme sind keine Seltenheit. Laut dem Hersteller Kaspersky waren im vergangenen Jahr 39 Prozent aller Computer industrieller Kontrollsysteme (ICS) Cyberangriffen ausgesetzt. Und dem „2020 Annual Cybersecurity Report“ von Trend Micro zufolge gehörte die Fertigungsindustrie in 2020 neben Regierungsbehörden, Banken und dem Gesundheitswesen zur am stärksten von Ransomware betroffenen Branche.

Was sind industrielle Kontrollsysteme?

Der Begriff Industrial Control Systems (ICS) umfasst verschiedene Arten von industriellen Kontrollsystemen und Prozesskontrollen. Dazu gehören Anlagen für die Stromerzeugung und -verteilung, die Gas- und Wasserversorgung, die Produktion, die Verkehrsleittechnik und das moderne Gebäudemanagement.


Probleme in der OT-Security

Die Folgen von Angriffen reichen von Störungen im Geschäftsbetrieb und in den Lieferketten über Verzögerungen bei der Produktentwicklung bis hin zu Datendiebstahl, wie er in den USA geschehen ist. Als OT-Systeme erstmals entwickelt wurden, erhielt dabei die Sicherheit kaum Beachtung.

Maximilian Pfister, Geschäftsführer bei Niteflite Networxx
Maximilian Pfister, Geschäftsführer bei Niteflite Networxx
(Bild: Niteflite Networxx)

Entsprechende Funktionen versprachen keinen wirtschaftlichen Nutzen und waren sehr teuer. Mittlerweile erkennen Hersteller zwar den Vorteil von integrierter Sicherheit, da sie einen unterbrechungsfreien Betrieb gewährleistet. Dennoch fehlt es den Verantwortlichen in der Industrie immer noch am nötigen Bewusstsein für potenzielle Gefahren, wie Maximilian Pfister, Geschäftsführer beim Systemhaus Niteflite Networxx, sagt. Zudem würden Projekte oft unter Zeitdruck ohne detaillierte Risikobeurteilung im Vorfeld umgesetzt.

Das größte Risiko der meisten Kunden ist, dass sie nicht wissen was in der OT für Komponenten verbaut sind. Man kann natürlich nur schützen was man kennt.

Christian Koch, Vice President Cybersecurity IoT/OT bei NTT Data

Sun Spornraft, Vice President Sales Icom & Marketing bei Insys
Sun Spornraft, Vice President Sales Icom & Marketing bei Insys
(Bild: Insys)

Doch mit der fortschreitenden Digitalisierung gibt es immer mehr Schnittstellen zwischen der OT- und der IT-Welt, was zu Sicherheitslücken führen kann. „Außerdem werden immer mehr Daten in verschiedenen Cloud-Systemen gespeichert, die unterschiedlich sichere Verschlüsselungsstandards nutzen“, sagt Sun Spornraft, Vice President Sales Icom & Marketing bei Insys. „Ein weiterer Punkt ist die Heterogenität von Maschinenlandschaften, die miteinander sicher vernetzt werden müssen.“

Während sich die IT in Büroumgebungen wiederfindet, umfasst die OT Hard- und Software, mit denen industrielle Anlagen überwacht werden. Dabei geht es umvernetzte Systeme, wie ICS und Industrie-PCs, die einen direkten Einfluss auf den Produktionsprozess haben.

Definiert als das oberste Ziel in der OT ist die Betriebskontinuität und in diesem Zusammenhang ein für Menschen physisch sicheres Arbeitsumfeld. Im Gegensatz dazu stehen in der IT vor allem die Datensicherheit und Integrität von Systemen im Fokus. Zwar sind in beiden Bereichen Cyberangriffe ein sensibles Thema. In der OT erreichen sie jedoch neue Extreme: Funktioniert durch einen Angriff eine Maschinen nicht mehr korrekt, kann diese die Mitarbeiter verletzen, zum Beispiel durch Überhitzung oder kaputte Notfallabschaltungen. Fehlerhafte Kontrollprozesse können auch Endverbraucher gefährden.

Raphael Vallazza, CEO von Endian
Raphael Vallazza, CEO von Endian
(Bild: Armin Huber)

Dazu kommt, dass Produktionsmaschinen eine längere Betriebsdauer haben als IT-Geräte. Sie bleiben nicht nur drei oder vier Jahre im Einsatz, sondern zehn Jahre oder länger, weil sie in der Anschaffung weitaus teurer sind. „Deshalb finden sich in einer Produktionslinie oft mehrere Generationen von Maschinen mit völlig unterschiedlichen technischen Voraussetzungen, die dann aber über eine einzige Lösung gegen eine Vielzahl von IT-Risiken abgesichert werden müssen“, sagt Raphael Vallazza, CEO bei Endian.

Lösungen für die OT

Sicherheitsmaßnahmen, wie eine „demilitarisierte Zone“ (DMZ), die die klassische Büro-IT und die Netzwerke der OT von einander trennt und absichert, mussten lange aufwendig manuell eingerichtet und verwaltet werden. Denn bisher galt die Automatisierung in der OT zurückhaltender als in der IT. Das liegt daran, dass die Ziele beider Umgebungen verschieden sind und in der OT nichts automatisiert wird, wenn dadurch der Herstellungsprozess in Gefahr gerät. Viele einzelne Schritte, wie zum Beispiel bei einer Inventur, beim Schwachstellenabgleich oder bei einem Software-Update, mussten Anwender bewusst händisch auslösen. Erst, wenn die Schritte den Produktionsablauf nicht beeinträchtigen, werden sie nach und nach automatisiert. Mittlerweile gibt es eine Vielzahl an OT-Lösungen, die sich grundsätzlich ähnlicher Mustern bedienen wie die IT.

Mittlerweile sind Sicherheitsplattformen in der Lage, Schwachstellen über alle Endgeräte hinweg automatisch zu erkennen und zu patchen. In den Verwaltungskonsolen erhalten die Nutzer dabei Details über die Schwachstellen hinsichtlich ihrer Kritikalität, den Ausnutzungsbedingungen sowie möglichen Folgen und weitere Handlungsempfehlungen.

Wie auch in der IT, gibt es für die OT ein MITRE ATT&CK Framework, jedoch speziell für ICS. Mithilfe dieser Wissensbasis über bekannte Cyberattacken können OT-Firmen die Vorgehensweisen von Cyberkriminellen nachvollziehen und entsprechende Standardmaßnahmen ergreifen.

Einen ähnlichen Mehrwert bringen sogenannte CVE, die „Common Vulnerabilities and Exposures“. Dabei handelt es sich um eine standardisierte Liste zu Schwachstellen und Sicherheitsrisiken. Durch die eindeutige Zuordnung der Risiken mittels Identifikationsnummern erhalten Administratoren schnell Zugriff auf Informationen und Vorgehensweisen. Zudem können die Admins, wie auch in der IT, Konnektoren zu Systemen von Drittanbietern hinzu fügen, wie beispielsweise ein SIEM-System (Security Information and Event Management) oder weitere Firewalls. Essenziell ist außerdem die Anbindung an das SCADA-System (Supervisory Control and Data Acquisition), weil es innerhalb der ICS sämtliche technischen Prozesse überwacht und steuert.

Systemhäuser sind in der OT gefragt

Zwar nehmen die Lösungen den Unternehmen viel Arbeit ab. Dennoch sind in der OT Dienstleister gefragt, die bei der Entwicklung von Sicherheitskonzepten beraten, Monitoring-Systeme implementieren und Rack-Systeme überprüfen. Aber auch die Überwachung der Umgebung hinsichtlich Temperatur und Luftfeuchte, die Sicherstellung von Kühlung und einer sicheren Stromversorgung sowie die Kontrolle und Dokumentation des Zutritts durch Mitarbeiter und externe Techniker gehören zu ihren Aufgaben.

OT-Security ist für Systemhäuser eine Riesenchance. Ihre Kernaufgabe ist es, die Brücke zu schlagen zwischen IT und OT. Mit ihren Kompetenzen in IT-Implementierung und Projektumsetzung sind sie bestens geeignet.

Sun Spornraft, Vice President Sales Icom & Marketing bei Insys

„OT-Security ist aktuell ein Thema mit sehr hoher Nachfrage“, sagt Christian Koch, Vice President Cybersecurity IoT/OT bei NTT Data. „Insbesondere sind die Kunden an den Themen Schutz vor Ransomware und Schutz vor gezielten Angriffen interessiert. Daraus entwickeln sich verschiedenste Sub-Themen wie Visibilität im OT Netzwerk, sicherer Remote-Maintenance-Zugriff auf die Produktionssysteme, Schutzzonen für Netzwerke in der OT. Ich sehe all diese Themen auch in den nächsten Jahr extrem steigen, da die OT im Vergleich zur IT sicherlich mindestens 10 Jahre in Sachen Security hinterher ist.“

Die Projekte für OT-Sicherheitsdienstleistungen fallen einem nicht in den Schoß, weil die Nachfrage bisher gering ist. Aber das Potenzial, welches man sich proaktiv erarbeiten kann, ist dafür umso größer.

Maximilian Pfister, Geschäftsführer bei Niteflite Networxx

Karin Hernik, Channel Director DACH bei Schneider Electric
Karin Hernik, Channel Director DACH bei Schneider Electric
(Bild: Schneider Electric)

Um ihre Systemhauspartner dabei zu unterstützen, werden die Hersteller aktiv. So bietet Schneider Electric mit dem Portfolio APC Infrastrukturprodukte, die die sichere Integration von IT-Systemen in Industrie-Umgebungen erleichtern. „Für Partner, die in die Themen Edge Computing und Digital Services einsteigenmöchten, bieten wir außerdem eine große Auswahl an Zertifizierungen, Trainings und Vertriebsprogrammen“, ergänzt Karin Hernik, Channel Director DACH bei Schneider Electric.

„Man muss bei den Kunden die richtigen Fragen stellen und auch dazu bereit sein, über den Tellerrand der reinen IT hinaus zu blicken“, sagt Pfister. Nur so können sich seiner Meinung nach Systemhäuser als Trusted Advisor bei ihren Kunden positionieren. Besonders wichtig sei es zudem, die Fachbegriffe zu beherrschen, damit es nicht zu Missverständnissen kommt. Denn meistens kommt der Kunde nicht aus der klassischen IT, sondern aus der Produktion. „Das Ziel muss es sein, schon so frühzeitig wie möglich beratend in alle Projekte zur Digitalisierung der OT-Welt einbezogen zu werden.“

Updates nötig!

Während Hersteller und Dienstleister alle Register ziehen, um das Sicherheitsniveau in OT-Umgebungen zu erhöhen, herrscht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) Stillstand. Zwar nennt das Amt auf der Webseite allgemeine Empfehlungen für industrielle Steuerungs- und Automatisierungs systeme, die Unterlagen sind jedoch enorm veraltet. Das aktuellste Security-Kompendium ist aus dem Jahr 2014, die letzten Fallbeispiele von 2018. Hinsichtlich der steigenden Bedrohungen und neuen Technolo gien sollte das BSI langsam aber sicher nachziehen. Denn die „aktuellen“ Inhalte benötigen dringend ein Update. Genauso wie so manche Industriemaschine.

(ID:47435531)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH