Schutz industrieller Steuerungsanlagen Bei Security ist OT nicht gleich IT!

Die Sicherheit von Industrieanlagen gewährleisten.

Bild: iStock, Zoa-Arts
15.03.2019

Ohne Schutzlösungen, wie sie in der Information Technology schon lange üblich sind, lässt sich die Sicherheit der Industrieanlagen nicht mehr gewährleisten. Wir zeigen die besonderen Anforderungen an die Operational Technology industrieller Steuerungsanlagen.

Über Jahrzehnte wurde die Operational Technology (OT) zur Steuerung von Industrieanlagen weitgehend abgeschottet von der digitalen Außenwelt betrieben. Vollständige Isolation vom Netz versprach das größtmögliche Maß an Sicherheit. Und tatsächlich war die Strategie von Erfolg gekrönt. Im Vergleich zur IT war die OT lange Zeit nahezu unangreifbar. Nun, mit der Digitalisierung und Vernetzung der Steuerungsanlagen, geht diese Strategie jedoch ihrem Ende entgegen.

Rund ein Viertel aller in deutschen Unternehmen im Einsatz befindlichen Maschinen und Anlagen sind mittlerweile an ein digitales Netz angeschlossen. Zu diesem Ergebnis kam eine vom Digitalverband Bitkom durchgeführte Umfrage. In vielen Unternehmen wird der neue digitale Anschluss der Produktionsanlagen an die digitale Außenwelt bereits intensiv genutzt. Laut der Kapersky-Lab-Studie „The State of Industrial Cybersecurity 2018“ arbeiten bereits heute 15 Prozent der Industrieunternehmen mit SCADA-Steuerungssystemen, die an Cloud-Lösungen angeschlossen sind. Weitere 25 Prozent planen einen Anschluss innerhalb der nächsten zwölf Monate. Nun kann mit dieser Öffnung der OT zwar von einer weiteren Steigerung der Produktivität der Anlagen ausgegangen werden. Doch dürfen hierüber nicht die Risiken vergessen werden, welche die Öffnung eines bislang weitgehend ohne Sicherheitstechnologien operierenden Netzes mit sich bringt.

Risiken der OT kennen

Die physische Abschottung der OT von der Außenwelt – die Trennung vom Netz – führte dazu, dass Sicherheitsfragen der Industriesteuerung lange Zeit eher stiefmütterlich behandelt wurden. Updates, Patches und Nachrüstungen blieben aus. Eine OT-Sicherheitsarchitektur wurde nur in Ausnahmefällen implementiert. Und das Know-how der Cyber Security fand bei der Zusammenstellung der OT-Teams kaum Beachtung.

Doch damit ist es nun vorbei. Laut der bereits erwähnten Kapersky-Lab-Studie haben bis heute rund ein Drittel aller Industrie­unternehmen mindestens einen Sicherheitsvorfall in ihrer OT zu beklagen gehabt. Ebenfalls ein Drittel hält einen Angriff auf ihre OT für sehr wahrscheinlich. Da ist es nur zu verständlich, dass mittlerweile mehr als zwei Drittel der Industrie­unternehmen Maßnahmen zum Schutz ihrer OT eine erhöhte Bedeutung beimessen. Die Unternehmens-OT soll auf den Sicherheitsstand der IT gebracht werden. Doch lassen sich die in der Praxis über viele Jahre bewährten und weiterentwickelten Lösungen der IT nicht einfach auf OT-Netze übertragen.

OT ist nicht IT

Anders als die IT, wird die OT nicht im Hinblick auf den allgemeinen Datenaustausch, sondern im Hinblick auf konkrete Produktionsprozesse konzipiert und angelegt. In­frastruktur und Ressourcen der OT sind dementsprechend anders aufgebaut und verteilt als im Fall der IT. Ihre Kapazitäten werden ganz von der laufenden Produktion in Anspruch genommen. Wird hier nun einfach eine IT-Sicherheitslösung implementiert, mangelt es dieser an den erforderlichen Ressourcen, um die Netze der OT effektiv absichern zu können. Außerdem sind Abläufe und Prozesse innerhalb der OT meist über Jahre gewachsen und eng verzahnt. Schon ein kleiner Eingriff der Sicherheitslösung kann dementsprechend zu einer ungewollten Beeinträchtigung oder sogar einem vollständigen Ausfall der Produktionsanlagen führen. Weiterhin verfügt das OT-Personal für gewöhnlich nicht über das zum Schutz vor Cyberangriffen erforderliche Know-how. Über Jahrzehnte war es nicht erforderlich, Cyberabwehrexperten in OT-Teams zu integrieren und das OT-Personal an Fortbildungen oder Schulungen zur Cyber-Sicherheit teilnehmen zu lassen. Ein ernsthaftes Problem. Denn die Verantwortlichkeit für die Einsatzfähigkeit der OT liegt bei den OT-Teams – nicht bei der IT-Sicherheit. All dies muss bei der Implementierung von Schutzlösungen für die OT beachtet werden. Wie genau hat man sich einen effektiven Schutz der OT also konkret vorzustellen?

Passendes Schutzportfolio

In einem ersten Schritt ist es zwingend erforderlich, eine Bestandsaufnahme der gesamten OT und ihres Datenverkehrs vorzunehmen. Die OT-Verantwortlichen müssen erkennen und verstehen, auf welchem Stand sich die einzelnen Netzwerkkomponenten befinden und wie sie miteinander kommunizieren. In einem zweiten Schritt gilt es dann, die neuen Verbindungen der OT zur Außenwelt in Augenschein zu nehmen und abzusichern. Und schließlich müssen auch die Visualisierungs- und Steuerungssysteme der Anlagen mit geeigneten Schutzlösungen ausgestattet werden.

Bei all dem gilt es stets zu beachten, dass die zur Anwendung gebrachten Lösungen im aktiven Zustand nicht die OT-Netzwerkressourcen beeinträchtigen dürfen. Bei der Suche nach geeigneten Lösungen werden Unternehmen dementsprechend neue Wege gehen müssen.

Wie diese aussehen können zeigt seit einigen Jahren Telekom Security mit seinem Industrial-Protect-Pro-Portfolio. Nicht IT-, sondern OT-Systeme liegen dessen Konzeption zu Grunde. Aus drei passiven Lösungen setzt sich das gemeinsam mit mehreren erfahrenen IT-Sicherheitsdienstleistern entwickelte Schutzportfolio zusammen: Industrial Threat Protect Pro, Industrial Network Protect Pro und Industrial Remote Access Protect Pro.

Industrial Threat Protect Pro ist eine gemeinsam mit CyberX entwickelte industrielle SIEM/CM-Lösung. Seine Kernfunktion ist ein kontinuierliches Risiko-Management des Produktionsnetzes. Topologie, Verhaltensmuster und Schwachstellen werden ermittelt, Anomalien erkannt und in Echtzeit gemeldet. Darüber hinaus kann es auch zum Aufspüren von Sicherheits- und Produktionsvorfällen, sowie zum IT-Forensik-Support eingesetzt werden. Industrial Network Protect Pro ist eine in Kooperation mit Radiflow erstellte industrielle Firewall-Lösung. Sie ermöglicht eine Kontrolle des Datenzuflusses und erkennt und meldet unerlaubte Zugriffe auf das OT-Netz. Bei Industrial Access Protect Pro wiederum hat Genua Pate gestanden. Die industrielle Fernwartungs- und Benutzerverwaltungslösung ermöglicht eine effektive Zugriffskontrolle. An einer Weiterentwicklung des Portfolios wird derzeit gearbeitet. Künftig soll auch ein industrieller Endpunktschutz zur Verfügung stehen. All diese Sicherheitslösungen sind auf die speziellen technischen Anforderungen von OT-Systemen zugeschnitten. Zudem sind sie so konzipiert, dass auch OT-Teams mit geringen Kenntnissen im Bereich Cybersicherheit innerhalb kurzer Zeit mit ihnen umzugehen verstehen.

OT-Systeme müssen zwingend mit Sicherheitstechnologie ausgestattet und abgesichert werden. Bestehende IT-Lösungen kommen hierzu nicht in Frage. Stattdessen muss auf spezielle, OT-taugliche Lösungen zurückgegriffen werden. Nur sie können umfassende Sicherheit gewährleisten – ohne Gefährdung der Produktion.

Verwandte Artikel