Die Bedrohungslage für OT-Systeme hat sich mit den neuen Gegebenheiten der Digitalisierung schlagartig verschärft. Sie sind nicht nur denselben Gefahren wie IT-Systeme ausgesetzt, sondern häufig auch – bedingt durch veraltete und oft nicht mehr aktualisierbare Soft- und Firmware – ein leichtes Ziel für digitale Angreifer. Ein sabotiertes System in einer Industrieanlage kann einen erheblichen finanziellen Schaden verursachen, beispielsweise durch den Ausfall einer Produktionsanlage. Entsprechende Schutzmaßnahmen rechnen sich deshalb recht schnell.
Durchgängige Vernetzung bietet Einfallstore
Schreckensszenarien durch Cyberangriffe sind leider keine theoretischen Ideen mehr. Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) stellt ein Einfallstor für Cyberkriminelle dar. So können beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Stuxnet, Wannacry und Emotet sind dafür bekannte Beispiele.
Doch wie kann die Gefahr durch solche Bedrohungen minimiert werden, ohne auf die zahlreichen Vorteile einer durchgängigen Vernetzung zu verzichten? Schließlich sind ohne sie viele innovative Konzepte gar nicht realisierbar, angefangen von Fernwartung und Remote-Zugriffe zur Produktionssteuerung bis hin zu Production on Demand oder Pay per Use. Hundertprozentigen Schutz wird es für OT-Systeme allerdings genauso wenig geben wie für IT-Systeme. Für einen bestmöglichen Schutz lassen sich aber verschiedene Maßnahmen miteinander kombinieren.
Datenverkehr kontrollieren
Im ersten Schritt gilt es, den Datenverkehr zu kontrollieren, beispielsweise durch eine Firewall, die idealerweise nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. Hier kann nicht nur sehr fein geregelt werden, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch welche Protokolle sie dafür verwenden dürfen. Wenn ein IT-System also beispielsweise ausschließlich über eine HTTPS-Verbindung mit einem OT-System kommunizieren soll ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit sind dann Angriffe, die beispielsweise auf dem SMB-Protokoll basieren, nicht mehr möglich.
Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet, etwa für Dokumentationszwecke. Zugriffe aus der Ferne gilt es natürlich ebenfalls abzusichern. Der bloße Schutz durch die Kombination aus Passwort und Benutzername genügt hier keineswegs. Verschlüsselte Verbindungen, zum Beispiel per VPN (Virtual Private Network), sind hier eine bessere Wahl.
Diese Überlegungen zeigen bereits, dass es keine universelle Sicherheitslösung gibt, die für alle Betriebe passt, sondern dass die entsprechenden Maßnahmen immer auf die betrieblichen Erfordernisse abzustimmen sind. Nur so ist ein sinnvoller Schutz gewährleistet. Darauf hat sich mdex spezialisiert und bietet alles für eine sichere, verschlüsselte Datenanbindung für Maschinen und Anlagen. Dazu gehört auch die sogenannte Anomalie-Erkennung, die heute zunehmend wichtiger wird. Denn das Erkennen von Angriffen auf ein System wird immer schwieriger, vor allem angesichts der immer komplexer werdenden Attacken. Deshalb gilt es auch, bereits erfolgreich durchgeführte Angriffe zu erkennen und wirksame Gegenmaßnahmen zu ergreifen
Sicherheitsvorteil durch Anomalie-Erkennung
Die Anomalie-Erkennung durch Deep Packet Inspection, also den „tiefen Blick“ in die Datenkommunikation, bringt in der Industrie nicht nur einen erheblichen Sicherheitsvorteil, sondern kann auch die Produktivität deutlich erhöhen. Hierdurch werden beispielsweise neue Kommunikationsteilnehmer, neue Protokolle oder auch Messwerte, welche sich nicht in einem definierten Rahmen bewegen, in Echtzeit erkannt. Dadurch kann sehr schnell auf einen Angriff oder einen sich einschleichenden (noch unbekannten) Fehler reagiert werden, bevor ein Schaden entsteht.
Bei diesem Ansatz ist – nach einer Einlernphase – also das normale Verhalten des Systems bekannt. Alles, was in der Folge in irgendeiner Hinsicht davon abweicht, wird als Anomalie erkannt und löst einen Alarm aus. Die Gründe für eine solche Abweichung können vielfältig sein, etwa ein defekter Sensor, ein neuer Notebook eines Service-Mitarbeiters, oder auch ein Angriff durch einen Virus. Wie das in der Praxis funktioniert, ist einfach zu verstehen, wenn man den typischen Ablauf einer Infektion näher betrachtet.
Anomalien in der Inkubationszeit
Um eine Maschine oder Anlage mit einem Schadprogramm zu infizieren, reicht ein USB-Stick, der Laptop eines Servicetechnikers oder auch ein (erlaubter) Fernzugriff aus. Der Wannacry-Virus beispielsweise verbreitet sich über eine Schwachstelle in Microsoft-Windows-Betriebssystemen. Er verschlüsselt bestimmte Daten auf dem befallenen System und fordert anschließend zu einer Lösegeldzahlung auf, damit die Daten wieder entschlüsselt werden. Bevor dies geschieht, sucht der Virus jedoch erst gezielt nach weiteren Systemen im Netzwerk, die ebenfalls diese Sicherheitslücke aufweisen. Er will also zunächst unerkannt bleiben. Das heißt, es gibt ein Zeitfenster, in dem ein befallenes System noch gerettet werden kann, falls der Angriff rechtzeitig erkannt wird.
Diese Inkubationszeit gibt es bei nahezu allen Schadprogrammen, da sie ja an einer möglichst weiten Verbreitung interessiert sind. In diesem Zeitfenster werden gleich mehrere Anomalien erkannt: Zum einen hat die Suche nach neuen, verwundbaren Systemen haufenweise neue Kommunikationsbeziehungen, die alle eine entsprechende Alarmierung bedeuten. Des Weiteren hat etwa Wannacry das Protokoll SMB verwendet, da die entsprechende Sicherheitslücke genau hierauf aufsetzt. Somit wird also neben dem plötzlichen Auftreten von sehr vielen neuen Kommunikationsbeziehungen auch ein Protokoll massiv verwendet, das bisher typischerweise viel weniger oder gar nicht in Gebrauch war.
Anhand der Kommunikation kann zudem ausgemacht werden, welches System von dem Virus befallen wurde. Im besten Fall kann hier also – eine entsprechend schnelle Reaktion vorausgesetzt, – der Befall weiterer Systeme sowie eine Verschlüsselung des befallenen Systems verhindert werden. Im schlimmsten Fall muss nun lediglich der betroffene Industrie-PC neu aufgesetzt werden, ein kostspieliger Produktionsausfall lässt sich noch verhindern.
Es lohnt sich also, die IT-/OT-Sicherheit der gesamten Kommunikationsinfrastruktur in ihrem Gesamtkontext zu bewerten und durch ein sorgfältig abgestimmtes IT-Sicherheitskonzept (auch für die OT-Systeme) das Risiko durch die Vernetzung in einem wirtschaftlich sinnvollen Rahmen zu minimieren.