• Unternehmen planen den Einsatz neuer Automatisierungsinfrastrukturen der nächsten Generation.
• Cybersicherheit muss in den Planungsprozess eingebunden werden.

Das Internet der Dinge ist gerade zum Start der weltgrößten Industriemesse in Hannover in Aller Munde. Dies ist keine Überraschung, betrachtet man die vielfältigen Möglichkeiten dieser Technologie, welche die vierte Welle der industriellen Revolution darstellt. Zahlreiche Branchen nutzen bereits eine Reihe von Technologien für Automatisierung, Datenaustausch und Produktion. Die dabei verfolgten Ziele sind eine Verbesserung der Prozesstransparenz, betrieblichen Effizienz, Reaktionszeiten, Flexibilität in der Produktion und letztlich der Wirtschaftlichkeit von Unternehmen. Im Zuge dieser Entwicklung muss das Thema IT-Sicherheit mehr Aufmerksamkeit erfahren.

»Früher wurden IIoT-Technologien als zu riskant oder zu kostspielig für die Betriebstechnik-Umgebung angesehen. Der globale Wettbewerb und der Reifegrad dieser Technologien hat sie jedoch an die Spitze der Modernisierung der industriellen Steuerungssysteme katapultiert«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »In vielen Fällen hat die Technologie bereits das Stadium von Proof-of-Concepts und Pilotprogrammen durchlaufen und wird in den Produktivbetrieb integriert.«

Das Potenzial von IIoT-Architekturen wird als überaus positiv angesehen. Bei aller Euphorie darf nicht vergessen werden, dass die Modernisierung dieser Systeme für Cyberkriminelle auch neue Schwachstellen oder »Wege ins Netz« eröffnen. Wenn die IIoT-Systeme nicht richtig verwaltet werden, kann dies zu Datenlecks und finanziellem Verlust führen, aber auch Rufschädigung oder – schlimmer noch – im Falle von kritischen Infrastrukturen, auch Gefahren für die nationale Sicherheit.

Eine neue Grenze der neuen Grenzen

Als größte Herausforderung dürfte sich das Risikomanagement während der Erweiterung der verschiedenen Schnittstellen in die Automatisierungsumgebung herausstellen. In der IIoT-Zukunft werden Unternehmen über das Internet mit Business-Netzwerken sowie geografisch verteilten Standorten und Fabriken verbunden sein. Dort kommen verschiedene IT-Sicherheitspraktiken zum Einsatz und es werden die Dienste verschiedener Drittanbieter-Partner sowie Support-Dienstleister und Cloud-Service-Provider in Anspruch genommen. Jede dieser Parteien kann einen potenziellen Dreh- und Angelpunkt für Angreifer darstellen. Zwei Beispiele aus jüngster Zeit machen deutlich, wie Angriffe in einer erweiterten Umgebung entstehen können: die Energetic-Bear-Kampagne (Watering-Hole-Angriff mit Trojaner) und der Cyberangriff auf ein deutsches Stahlwerk (IT-to-OT-Angriffsvektor). Da die ICS-Netzwerke in der Regel sehr wenig Netzwerksegmentierung aufweisen, ist es einfach für einen Angreifer, sich in der ICS-Umgebung zu bewegen, sobald er einmal die Netzwerkgrenze durchbrochen hat.

Vorherrschende »Wenn es nicht kaputt ist, repariere es nicht«-Mentalität

Die Prävalenz von ungepatchten oder sogar nicht patch-fähigen Systemen in ICS stellt auch eine große Herausforderung für die Sicherheit dar. Die Realität ist, dass OT-Personal auch weiterhin die Aktualisierung, also das Patchen von Systemen minimiert, wenn die Systeme einmal im Einsatz sind und stabil laufen. Solange das System funktioniert, neigen sie dazu, bei den bewährten Komponenten zu bleiben, selbst wenn die Produkte bekannte Schwachstellen haben. Dies wird getan, um die Verfügbarkeit hoch zu halten und das Risikos von Ausfallzeiten durch einen Upgrade/Patch zu minimieren.

Mobilität und BYOD

Da immer mehr mobile Geräte in ICS-Umgebungen zum Einsatz kommen, nimmt auch die Gefahr dieser Geräte als Angriffsvektoren zu. Von besonderer Bedeutung sind die zahlreichen Fälle von Malware-infizierten Anwendungen, die in Apple- und Android-App-Stores angeboten werden. Diese Malware ermöglicht es Remote-Angreifern, die Kontrolle über die Geräte zu übernehmen und Informationen herauszufiltern, neben anderen fortschrittlichen Funktionen. In einigen Fällen haben es die Angreifer auf die Entwicklungsumgebung der mobilen Anwendungen abgesehen, so dass Produkte, die von dieser Plattform stammen, infiziert werden. Bring-Your-Own-Device (BYOD) sorgt für ein besonders gefährliches Szenario. Diese Geräte werden nicht von der IT verwaltet, was sie zu einem Hauptziel für Angreifer macht.

Virtualisierung als blinder Fleck

Viele Unternehmen erkennen die Bedeutung von granularer Transparenz und Kontrolle über den Datenverkehr in das OT-Rechenzentrum. Der Datenverkehr zwischen virtuellen Maschinen (VMs) wird jedoch eher selten diskutiert. Dies ist im Wesentlichen ein blinder Fleck. Die andere Sorge ist, Malware in der VM-Domain. Wenn Malware auf eine VM gelangt, ist es aufgrund der flachen Umgebung ziemlich einfach, dass sie sich auf verschiedene VMs verbreitet. Daraus ergibt sich eine sehr reale Sorge, was die IIoT-Zukunft betrifft.

Da die Unternehmen bereits die nächste Generation von Automatisierungsinfrastrukturen planen, müssen sie Cybersicherheit in den Planungsprozess einbinden und dafür sorgen, dass alle Sicherheitsrisiken erfasst werden. Die folgenden Aspekte sollten nach Meinung von Palo Alto Networks bei der IIoT- Infrastrukturplanung berücksichtigt werden:

 

1. Layer-7-Inspektionstechnologien zur Verbesserung der Sichtbarkeiteinsetzen.

Ein detaillierterer Einblick in Anwendungen, Benutzerinformationen und Inhalte ermöglicht es der IT, die reguläre Nutzung zu überwachen und Anomalien zu identifizieren. Granulare Sichtbarkeit auf ICS-Protokolle ist hilfreich, um den Verkehr von Maschine zu Maschine überwachen. Sichtbarkeit auf ICS sowie Unterstützung von Geschäftsanwendungen und Internet-basierten Anwendungen ist ebenso wichtig. Gleiches gilt für die Verknüpfung dieser Informationen mit den Benutzern und die Inspizierung aller Anwendungen auf bekannte oder potenziell schädliche Inhalte. Next-Generation-Firewalls, die fortschrittliche Deep-Packet-Inspection-Technologien verwenden, bieten diese Fähigkeit.

 

2. Zero-Trust-Netzwerksegmentierung einrichten.

Wenden Sie Netzwerksegmentierung entsprechend den ICS-Sicherheitsstandards an. Richten Sie Sicherheitszonen ein, in denen der Verkehr durch eine Firewall der nächsten Generation geschleust wird, die als Segmentierungs- Gateway dient. Es ist wichtig, dass Null-Trust-Konzepte gelten, in denen der Zugriff auf Basis von geringstmöglichen Privilegien erlaubt ist – und nur für Benutzer, deren Rollen im Einklang mit diesem Zugriff stehen. Dieser Ansatz ermöglicht eine erhebliche Verringerung in der Anzahl von möglichen Angriffsvektoren und verhilft auch zu einer besseren Korrelation von Daten zu Anwendung, Benutzer und Bedrohung.

 

3. Moderne Tools zur Verhinderung von Zero-Day-Attacken einsetzen.

Tools, die Zero-Day-Bedrohungen sowohl auf Netzwerk- als auch Endpunktebene erkennen und verhindern können, sind unverzichtbar. Mit erweiterten Malware-Sandbox-Lösungen lassen sich Zero-Days in On-Premise- und Public-Cloud-Implementierungen auf Netzwerkebene stoppen. Sie sollten auch erweiterte Endpunktschutz-Technologien einsetzen, die fortschrittliche Technik einsetzen und gegen Zero-Day-Angriffe sehr wirksam sind. Solche Tools sind zum Schutz der vielen ungepatchten Systeme vor bekannten und unbekannten Exploits und Malware sehr hilfreich.

4. Sichere mobile und virtuelle Umgebungen.

Um mögliche Bedrohungsvektoren zu reduzieren, ist es wichtig, die Anwendungen zu begrenzen, die auf mobilen Geräten ausgeführt werden dürfen. Die Geräte sollten auch auf die richtige Konfiguration hin überprüft werden, bevor sie auf das Netzwerk zugreifen dürfen. Eine VPN-Zone, die mit dem Segmentierungs-Gateway, etwa der Next-Generation-Firewall, verbunden ist, muss eingerichtet werden, wo mobiler Traffic hereinkommt. Ebenso erforderlich ist benutzerbasierte Zugriffskontrolle auf Anwendungsebene. Dieser Verkehr muss sowohl auf bekannten als auch unbekannte Bedrohungen inspiziert werden. Für virtuelle Umgebungen bietet virtualisierte Firewall-Technologie der nächsten Generation granulare Sichtbarkeit und Zugriffskontrolle auf den Verkehr zwischen VMs.

 

5. Integrierte Sicherheitsplattformen statt punktueller Lösungen einsetzen.

Bei älteren ICS-Umgebungen mangelt es typischerweise an Sicherheit. Sind in irgendeiner Form Schutzmaßnahmen implementiert, handelt es sich meist um punktuelle Lösungen, die nicht gut zusammenarbeiten. Dies führt zu Herausforderungen bei der Performance, Forensik, Reaktion auf Vorfälle und Administration. Next-Generation-Firewalls können dieses Problem lösen, indem sie alle erforderlichen Funktionen in einer zusammenhängenden Plattform konsolidieren. Diese korreliert die Informationen nativ, ist einfach zu verwalten und punktet obendrein mit einer hohen Performance. Einige Lösungen dieser Art bieten auch Sicherheit für mobile und virtuelle Umgebungen, direkt integriert mit der Next-Generation-Firewall-Architektur und zentral verwaltet über eine gemeinsame Schnittstelle. Ein neues Modell ist die direkte Interaktion der erweiterten Endpunktsicherheit mit einer zentralen Cloud-Bedrohungsanalyse. Diese automatisiert die fortschrittliche Bedrohungsanalyse und dient als Brücke für das Teilen von Informationen zwischen Netzwerk und Endpunkten oder auch innerhalb einer Gemeinschaft von Endanwendern.

 

Entscheidend: Sicherheitsaspekte verstehen und auf richtige Lösungen setzen

IoT wird ohne Zweifel für die Unternehmen eine Menge Vorteile bieten. Für die Entscheider ist es jedoch sehr wichtig, in vollem Umfang die Sicherheitsaspekte zu verstehen, vor allem im Hinblick auf Cyberbedrohungen, die sich gegen ICS richten. Diese nehmen nicht nur zahlenmäßig zu, sondern auch in ihrer Raffinesse. Es sind aber bereits neuere, integrierte Cybersicherheitsplattformen verfügbar, die ein besseres Risikomanagement für IIoT-Technologien ermöglichen. Unternehmen sollten dieses Angebot unbedingt evaluieren, wenn sie planen, Sicherheitsmaßnahmen in ihre Automatisierungsinfrastruktur einzubinden.