OT-Security: Wo soll man anfangen?

Fünf Maßnahmen zum Schutz der Operational Technology.

Illustration: Absmeier, Gr8effect

Die Operational Technology (OT) war lange strikt getrennt vom IT-Netzwerk und dank proprietärer Protokolle und veralteter Technologien vergleichsweise sicher vor Cyberangriffen. Mit der zunehmenden Verbreitung von IoT wachsen die beiden Welten immer stärker zusammen und geraten damit ins Visier von Hackern. NTT Ltd.’s Security Division nennt fünf Maßnahmen zum Schutz der OT.

Durch die zunehmende Kommunikation und Integration von Software in Maschinen und Anlagen eröffnen sich neue, aus der IT bekannte Angriffsszenarien. Schaffen es beispielsweise Cyberkriminelle, mit Hilfe verseuchter E-Mails ins Firmennetzwerk vorzudringen, können sie einzelne Maschinen oder ganze Produktionsstraßen übernehmen, zum Stillstand bringen oder bestimmte Teilprozesse manipulieren. Eine Auslieferung von fehlerhaft hergestellten Produkten kann unter Umständen den Ruin von Unternehmen und aufgrund von Haftungen auch des Anlagenbauers bedeuten.

Um Angriffe abzuwehren, sollten sich Unternehmen vor der Entwicklung neuer Maschinen oder Anlagen Gedanken um deren Sicherheit machen und diese im Vorfeld mit dem Betreiber klären. Hierbei unterscheidet sich die Security deutlich von einer klassischen IT-Umgebung: Bei Laufzeiten von durchschnittlich 20 Jahren wird die Aktualisierung von Firmware, Betriebssystem und APIs sowie der Einsatz von Antiviren-Software deutlich erschwert. Wird eine auf die Kundenbedürfnisse speziell angepasste Individuallösung implementiert, ist sie oftmals nicht kompatibel mit standardisierten IT-Sicherheitssystemen.

 

Unternehmen sollten für die Sicherung ihrer OT-Anlagen folgende Maßnahmen befolgen:

  • Zuallererst gilt es, eine Risikoanalyse durchzuführen. Was soll geschützt werden und wogegen soll es geschützt werden? Ziel ist es, die wichtigsten Gefahren zu erkennen und zu bewerten, wobei die Risikoanalyse spezifisch für ein Unternehmen, eine Produktionsumgebung, ein System, eine Anlage oder eine Maschine durchgeführt werden sollte. Dazu gehört auch, ein Verständnis für potenzielle Angriffsvektoren wie einen unkontrollierten Fernzugriff zu bekommen. Je höher die Risikoeinstufung für eine Anlage ist, desto mehr wird jeder Zugriff auf oder durch diese Anlage überprüft.
  • Ein wesentlicher Aspekt zur Gewährleistung von Security im OT-Umfeld ist die Segmentierung des Betreibernetzes in einzelne abgetrennte Segmente. Vor allem bei Legacy-Systemen, bei denen sich die Sicherheit nur bedingt auf den neuesten Stand heben lässt, sind Komplementärmaßnahmen wie die Trennung des OT-Netzes vom Unternehmens- und externen Netzwerk wichtig.
  • Mit der Einrichtung von Benutzerkonten und Credentials sowie durch Authentifizierung und Autorisierung wird sichergestellt, dass nur berechtigte Mitarbeiter Zugriff auf Maschinen und Anlagen haben.
  • Damit Cyberkriminelle trotz höchster Schutzmaßnahmen nicht die »eine« Schwachstelle ausnutzen können, sollte jede einzelne ICS-Komponente (Industrial Control System) auf ihre Sicherheit überprüft und das Netzwerkdesign entsprechend gestaltet werden. Dadurch können bekannte Schwachstellen nicht ausgenutzt werden beziehungsweise Infizierungen auf kleine Bereiche eingedämmt werden.
  • Neben diesen technischen Maßnahmen sollten Unternehmen Security-Richtlinien und -Prozesse erarbeiten und umsetzen. In diesem Rahmen müssen Rollen, Zuständigkeiten und Verantwortlichkeiten definiert werden. Zudem sollten Unternehmen regelmäßig Übungen zur Reaktion auf Vorfälle durchführen, um die organisatorische Effektivität zu testen.

 

»In Zukunft müssen die IT-Abteilung und die OT-Kollegen enger zusammenarbeiten, nur gemeinsam können sie die größtmögliche Sicherheit für ihr Unternehmen gewährleisten. Cybersicherheit für die OT-Umgebung umzusetzen, ist allerdings kein einfacher und auch kein schneller Weg«, erklärt Christian Koch, Director GRC & IoT/OT bei NTT Ltd.’s Security Division. »Immer mehr Unternehmen haben jedoch die Notwendigkeit erkannt, was unter anderem an den Haftungsrisiken liegt. Der andere Treiber ist die Automotive-Industrie, die im Hinblick auf die kommende UNECE-Zertifizierung und ISO/SAE 21434 als technischen Standard ein durchgängiges Security by Design in der Produktentwicklung und entlang des gesamten Lebenszyklus forciert. Diese Anforderung geben die Automobilhersteller an ihre Zulieferer weiter und lassen es verbindlich in die Verträge schreiben.«

 

IT-Outsourcing bei den Stadtwerken Crailsheim – Eine Frage der Kernkompetenz

Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.

Millionenschäden: Die Kosten eines Datenlecks

Best Practices der Data Security für Unternehmen. Cyberkriminelle haben es häufig auf lukrative Daten abgesehen – mit oft beträchtlichem finanziellem Schaden für das gehackte Unternehmen: In Deutschland kostet ein Datenverstoß eine Organisation durchschnittlich umgerechnet 4,32 Mio. Euro (4,78 Mio. US-Dollar), so das Ergebnis des aktuellen Cost of a Data Breach Report des Ponemon Institute und…

Cyberbedrohungen 2020 – Effektive Maßnahmen gegen aktuelle Bedrohungstrends erforderlich

Durch die permanente Analyse aktueller Cyberangriffe ist Unit42, das Malware-Analyse-Team von Palo Alto Networks stets am Puls der Zeit, wenn es um Angriffe auf die IT von Unternehmen geht. Anna Chung, Principal Researcher bei Unit 42 von Palo Alto Networks gibt vor diesem Hintergrund einen fundierten Ausblick auf kommende Bedrohungen und erklärt, wie Unternehmen diesen…

Vielfalt in der Cybersicherheit: ein strategisches Muss

In einer Zeit, in der sich der IT-Markt in einem tiefgreifenden Wandel befindet (Aufkauf europäischer Technologien durch amerikanische Unternehmen, Angst vor der Entstehung von Monopolen, insbesondere in den Bereichen Cloud und Daten usw.), ist Umsicht wichtiger denn je. Diese Marktentwicklung kann insofern problematisch sein, als Monopole die Freiheit der Nutzer einschränken, indem sie deren Wahlmöglichkeiten…

Fünf klare Anzeichen dafür, dass die eSIM vor dem breiten Durchbruch steht

Die eSIM-Technologie verspricht den Nutzern von Smartphones und anderen vernetzten Devices zahlreiche Vorteile. Bereits heute sind viele der weltweit ausgelieferten Geräte mit einem fest verbauten SIM-Chip ausgestattet, auf den sich die Nutzer ihre Netzbetreiber-Profile unkompliziert »over the air« herunterladen können. Die Aktivierung und das Management der Mobilfunkverträge werden sowohl für die Nutzer als auch die…

65 Prozent der Produktionsumgebungen laufen mit veralteten Betriebssystemen

Neueste Forschungsergebnisse zeigen die besonders geschäftskritischen Bedrohungen, denen zusammengeführte IT-OT-Systeme ausgesetzt sind. Trend Micro veröffentlicht neue Forschungsergebnisse, die die Bedrohungen zeigen, denen Produktionsnetzwerke ausgesetzt sind, die mit veralteter Technologie arbeiten. Dazu gehören Risiken für geistiges Eigentum und Produktionsprozesse. Der Bericht »Securing Smart Factories: Threats to Manufacturing Environments in the Era of Industry 4.0« beschreibt die…

Cyber Resilience im Energiesektor: In fünf Schritten zur widerstandsfähigen IT-Infrastruktur

Energieversorger werden immer häufiger zum Ziel von Hackerangriffen. Sind diese erfolgreich, können große Bereiche des gesellschaftlichen Lebens zusammenbrechen. Als kritische Infrastruktur (KRITIS) ist der Energiesektor daher gesetzlich dazu verpflichtet, sich besonders gut zu schützen. Diese Herausforderung lässt sich sukzessive mit Sustainable Cyber Resilience meistern.   Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks…

Innovation Alliance: Die Top 5 digitalen Trends für den Mittelstand in 2019

Mittelstand braucht Digitalisierungspartner. Mittelständische Unternehmen in Deutschland ziehen zu wenig wirtschaftlichen Profit aus digitalen Möglichkeiten. Nur etwa jedes fünfte kleine und mittlere Unternehmen beobachtet aktuelle technologische Entwicklungen und schätzt die Auswirkungen auf das eigene Geschäftsmodell ab. Laut Erhebungen des Instituts für Mittelstandsforschung werten lediglich fünf Prozent gesammelte Kundendaten mit Big-Data-Analysen systematisch aus.   Für das…

IT-Sicherheitstrends 2019: Die »Kronjuwelen« unter den Assets vor Bedrohungen schützen

Die EU-Verordnung eIDAS für den sicheren grenzüberschreitenden Datentransfer wird 2019 eine starke Verbreitung erfahren und das IT-Sicherheitsgesetz weitere Branchen und Unternehmen umfassen. Doch gleichzeitig werden nach den Trendaussagen von Detlev Henze, Geschäftsführer der TÜV TRUST IT, die Cybergefahren deutlich zunehmen. Deshalb müssen die wertvollen Vermögenswerte besonders geschützt, die Architekturen der produktionsnahen IT verändert und KI-Lösungen…

Gravierende Sicherheitsrisiken bei vernetzten Industrieanlagen

Schwachstellen in Funkfernsteuerungen haben schwerwiegende Auswirkungen auf die Sicherheit. Ein neuer Forschungsbericht deckt schwere Sicherheitslücken bei industriellen Maschinen auf. Anlagen wie Kräne, die mittels Funkfernsteuerungen bedient werden, sind vor potenziellen Angriffen wenig bis gar nicht geschützt. Damit stellen sie ein hohes Sicherheitsrisiko für Betreiber und ihre Mitarbeiter dar.   Trend Micro veröffentlichte einen neuen Forschungsbericht,…

Immer mehr Europäer wohnen in Smart Homes, Deutschland zieht nur langsam mit

  Nach einer Studie im Auftrag von Linksys, einem Spezialisten für Home-Networking-Lösungen, wird das Zuhause der meisten Europäer durch den Einsatz von IoT-Geräten immer »smarter«. Die Bandbreite reicht von smartem Licht, Temperaturreglern und Kühlschränken hin zu selbstlernenden Haushaltsgeräten. Die Deutschen halten sich beim Kauf vernetzter Heimgeräte jedoch im Vergleich eher zurück – ein Trend, den…

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen

Effiziente Energienutzung, erhöhte Sicherheit sowie gesteigerte Wohn- und Lebensqualität: Ein Smart Home bietet dank vernetzter und fernsteuerbarer Geräte sowie Installationen viele Möglichkeiten. Doch obwohl das Ergebnis verlockend ist, sorgen sich viele Konsumenten um die Sicherheit ihrer Daten und um ihre Privatsphäre. Zu Unrecht, wie Günter Martin, Internet-Experte bei TÜV Rheinland, sagt: »Um die volle Kontrolle…

Cybersecurity-Trends 2018: In fünf Jahren rund 500 vernetzte Geräte in jedem Privathaushalt

Smart Home schon bald Standard. Datensicherheit und Schutz vor »Cybereinbrüchen« hängt hinterher. Unabhängige Prüfungen für vernetzte »smarte« Produkte erforderlich.   Das Smart Home ist längst Realität, aber noch nicht Standard. Experten von TÜV Rheinland gehen davon aus, dass sich das sehr schnell ändern wird: Bereits in fünf Jahren werden sich ihrer Einschätzung nach in jedem…

IoT-Plattformen sind Realität in europäischen Unternehmen

»IoT-Plattformen sind in acht von zehn Unternehmen Thema«. Das hat eine repräsentative Befragung von 553 Industrieunternehmen ab 100 Mitarbeitern im Auftrag des Digitalverbands Bitkom ergeben. Demnach setzen 27 Prozent auf die IoT-Plattform eines externen Providers, kurz: Plattform as a Service – PaaS, 16 Prozent nutzen eine selbst programmierte IoT-Plattform. Weitere 18 Prozent der Unternehmen planen…

Cyber Exposure: Cyberkriminelle haben sieben Tage Vorsprung

Cyberkriminelle haben durchschnittlich sieben Tage Zeit, um eine Schwachstelle auszunutzen. In dieser Zeit können sie ihre Opfer angreifen, potenziell sensible Daten abschöpfen, Lösegeldangriffe starten und erheblichen finanziellen Schaden anrichten. Erst nach durchschnittlich sieben Tagen untersuchen Firmen dann ihre Netzwerke auf Schwachstellen und beurteilen, ob sie gefährdet sind. Das Tenable Research-Team fand heraus, dass Cyberkriminelle durchschnittlich…