Rund ein Viertel aller in deutschen Unternehmen im Einsatz befindlichen Maschinen und Anlagen ist mittlerweile an ein digitales Netz angeschlossen. Zu diesem Ergebnis kam kürzlich eine vom Digitalverband Bitkom durchgeführte Umfrage. In vielen Unternehmen wird der neue digitale Anschluss der Produktionsanlagen an die digitale Außenwelt bereits intensiv genutzt. Laut der Kapersky Lab-Studie The State of Industrial Cybersecurity 2018 arbeiten bereits heute 15 Prozent der Industrieunternehmen mit SCADA-Steuerungssystemen, die an Cloud-Lösungen angeschlossen sind.
Weitere 25 Prozent planen einen Anschluss innerhalb der nächsten zwölf Monate. Nun kann mit dieser Öffnung der Operational Technology (OT) zwar von einer weiteren Steigerung der Produktivität der Anlagen ausgegangen werden. Doch dürfen hierüber nicht die Risiken vergessen werden, welche die Öffnung eines bislang weitgehend ohne Sicherheitstechnologien operierenden Netzes mit sich bringt.
Risikoherd OT
Die physische Abschottung der OT von der Außenwelt – die Trennung vom Netz – führte dazu, dass Sicherheitsfragen der Industriesteuerung lange Zeit eher stiefmütterlich behandelt wurden. Updates, Patches und Nachrüstungen blieben aus. Eine OT-Sicherheitsarchitektur wurde nur in Ausnahmefällen implementiert. Und Cyber Security-Know-how fand bei der Zusammenstellung der OT-Teams kaum Beachtung. Doch damit ist es nun vorbei. Laut der bereits erwähnten Kapersky Lab-Studie haben bis heute rund ein Drittel aller Industrieunternehmen mindestens einen Sicherheitsvorfall in ihrer OT zu beklagen gehabt.
Ebenfalls ein Drittel hält einen Angriff auf ihre OT für sehr wahrscheinlich. Da ist es nur zu verständlich, dass mittlerweile mehr als zwei Drittel der Industrieunternehmen Maßnahmen zum Schutz ihrer OT eine erhöhte Bedeutung beimessen. Die Unternehmens-OT soll auf den Sicherheitsstand der Information Technology (IT) gebracht werden. Doch lassen sich die in der Praxis über viele Jahre bewährten und weiterentwickelten Lösungen der IT nicht einfach auf OT-Netze übertragen.
OT ist nicht gleich IT
Anders als die IT, wird die OT nicht im Hinblick auf den allgemeinen Datenaustausch, sondern im Hinblick auf konkrete Produktionsprozesse konzipiert und angelegt. Infrastruktur und Ressourcen der OT sind dementsprechend anders aufgebaut und verteilt als im Fall der IT. Ihre Kapazitäten werden ganz von der laufenden Produktion in Anspruch genommen. Wird hier nun einfach eine IT-Sicherheitslösung implementiert, mangelt es dieser an den erforderlichen Ressourcen, um die Netze der OT effektiv absichern zu können. Außerdem sind Abläufe und Prozesse innerhalb der OT meist über Jahre gewachsen und eng verzahnt. Schon ein kleiner Eingriff der Sicherheitslösung kann dementsprechend zu einer ungewollten Beeinträchtigung oder sogar einem vollständigen Ausfall der Produktionsanlagen führen.
Weiterhin verfügt das OT-Personal für gewöhnlich nicht über das zum Schutz vor Cyberangriffen erforderliche Know-how. Über Jahrzehnte war es nicht erforderlich, Cyberabwehrexperten in OT-Teams zu integrieren und das OT-Personal an Fortbildungen oder Schulungen zur Cyber-Sicherheit teilnehmen zu lassen. Ein ernsthaftes Problem. Denn die Verantwortlichkeit für die Einsatzfähigkeit der OT liegt bei den OT-Teams – nicht bei der IT-Sicherheit. All dies muss bei der Implementierung von Schutzlösungen für die OT beachtet werden. Wie genau hat man sich einen effektiven Schutz der OT also konkret vorzustellen?
OT richtig digitalisieren und vernetzen
In einem ersten Schritt ist es zwingend erforderlich, eine Bestandsaufnahme der gesamten OT und ihres Datenverkehrs vorzunehmen. Die OT-Verantwortlichen müssen erkennen und verstehen, auf welchem Stand sich die einzelnen Netzwerkkomponenten befinden und wie sie miteinander kommunizieren. In einem zweiten Schritt gilt es dann, die neuen Verbindungen der OT zur Außenwelt in Augenschein zu nehmen und abzusichern. Und schließlich müssen auch die Visualisierungs- und Steuerungssysteme der Anlagen mit geeigneten Schutzlösungen ausgestattet werden. Bei all dem gilt es stets zu beachten, dass die zur Anwendung gebrachten Lösungen im aktiven Zustand nicht die OT-Netzwerkressourcen – und damit die Produktion selbst – beeinträchtigen dürfen. Bei der Suche nach geeigneten Lösungen werden Unternehmen dementsprechend neue Wege gehen müssen.
Wie diese aussehen können zeigt seit einigen Jahren Telekom Security mit seinem Industrial Protect Pro-Portfolio. Nicht IT-, sondern OT-Systeme liegen dessen Konzeption zu Grunde. Aus drei passiven Lösungen setzt sich das gemeinsam mit mehreren erfahrenen IT-Sicherheitsdienstleistern entwickelte Schutzportfolio zusammen: Industrial Threat Protect Pro, Industrial Network Protect Pro und Industrial Remote Access Protect Pro. Industrial Threat Protect Pro ist eine gemeinsam mit CyberX entwickelte industrielle SIEM/CM-Lösung. Seine Kernfunktion ist ein kontinuierliches Risiko-Management des Produktionsnetzes. Topologie, Verhaltensmuster und Schwachstellen werden ermittelt, Anomalien erkannt und in Echtzeit gemeldet. Darüber hinaus kann es auch zum Aufspüren von Sicherheits- und Produktionsvorfällen, sowie zum IT-Forensik-Support eingesetzt werden.
Eine industrielle Firewall-Lösung
Industrial Network Protect Pro ist eine in Kooperation mit Radiflow erstellte industrielle Firewall-Lösung. Sie ermöglicht eine Kontrolle des Datenzuflusses und erkennt und meldet unerlaubte Zugriffe auf das OT-Netz. Bei Industrial Access Protect Pro wiederum hat Genua Pate gestanden. Die industrielle Fernwartungs- und Benutzerverwaltungslösung ermöglicht eine effektive Zugriffskontrolle. An einer Weiterentwicklung des Portfolios wird derzeit gearbeitet. Künftig soll auch ein industrieller Endpunktschutz zur Verfügung stehen. All diese Sicherheitslösungen sind auf die speziellen technischen Anforderungen von OT-Systemen zugeschnitten. Zudem sind sie so konzipiert, dass auch OT-Teams mit geringen Kenntnissen im Bereich Cybersicherheit innerhalb kurzer Zeit mit ihnen umzugehen verstehen.
OT-Systeme müssen mit Sicherheitstechnologie ausgestattet und abgesichert werden. Bestehende IT-Lösungen kommen hierzu nicht in Frage. Stattdessen muss auf spezielle, OT-taugliche Lösungen zurückgegriffen werden. Nur sie können umfassende Sicherheit gewährleisten – ohne Gefährdung der Produktion.