Bei der Administration von industriellen Assets handelt es sich um einen Prozess, der die erreichbaren Komponenten kontinuierlich auf Aktualität überprüft, sodass sich deren potenzielle Sicherheitsrisiken und -lücken ermitteln und sofort beseitigen lassen. Die Vermögenswerte können dabei unterschiedliche Formen haben, also traditionell eine Steuerung oder ein Industrie-PC sein. Aber auch spezielle IoT- oder Automatisierungsgeräte sowie softwaredefinierte Ressourcen – beispielsweise Steuerungsapplikationen oder nachladbare Apps – werden im Asset-Verzeichnis aufgeführt. Innerhalb des OT-Bereichs kann jedes Gerät, jede Ressource und jeder Dienst Risiken oder Schwachstellen aufweisen, die eine Verletzung der einzelnen Ressource sowie des Netzwerks als Ganzes nach sich ziehen könnten, sofern Angreifer die kompromittierte Ressource als Ausgangspunkt für einen umfassenden Angriff nutzen. Die Verwaltung der Assets verschafft dem gesamten Unternehmen die notwendige Transparenz, damit sich eine weitreichende Sicherheitsstrategie entwickeln lässt, auf deren Basis die Assets aktuell bleiben sowie Bedrohungen schnell und proaktiv abgewehrt werden können. Ein solcher Ansatz bietet mehrere wichtige Vorteile.
Inventarisierung: Durch einen soliden Prozess im Hinblick auf die Administration von Assets sind neue OT-Services und -Ressourcen erkenn- und einsetzbar, ohne dass die Sicherheit des Unternehmens gefährdet wird.
Interoperabilität: Unternehmen verwenden OT-Services und -Komponenten verschiedener Hersteller. Diese Assets müssen sich im Sinne der Cyber-Sicherheit verwalten lassen, am besten durch einen zentralen Dienst. Aufgrund der Nutzung von OPC UA sorgt das Device- und Update-Management für eine herstellerunabhängige Administration.
Durchgängige Updates: Das Device- und Update-Management ist in der Lage, sowohl sicherheitskritische ebenso wie funktionale Updates bei sämtlichen direkt erreichbaren Assets durchzuführen. Dies betrifft ebenfalls die an die Assets angeschlossenen unterlagerten Assets.
Einfacher und sicherer Bezug von Updates: Die Anlagenverantwortlichen oder Security-Teams müssen rechtzeitig über Updates der Asset-Hersteller informiert werden. Hierzu kann sich das Device- und Update-Management mit dem vom Hersteller bereitgestellten Update-Repository verbinden und dort zyklisch nach neuen Versionen der eingesetzten Assets suchen. Ist ein Update verfügbar, lässt sich dieses ohne Umwege und integer beziehen sowie im Device- und Update-Management
verwenden.
Flexibel nutzbar: Das Device- und Update-Management ist in unterschiedlichen Umgebungen anwendbar. Ob als App in einem Industrie-PC, als Software auf einem PC oder als Container in der IT: Je nach Einsatzfall kann es mit identischer Funktionalität genutzt werden.
Auf die beschriebenen Arten versetzt das Device- und Update-Management die Unternehmen in eine bessere Position, um Sicherheitsrisiken zu detektieren und darauf zu reagieren. Obwohl die Verwaltung von Assets lediglich eine Komponente einer effektiven Cyber-Security-Strategie darstellt, zeigt es sich in den meisten Fällen als unmöglich, proaktive Sicherheitsmaßnahmen ohne eine zentrale Administration der Assets
umzusetzen.
Folgen bei fehlender Asset-Verwaltung
Ein fehlendes oder schlecht implementiertes Device- und Update-Management erschwert nicht nur die Sicherheitsabläufe. Es schafft auch kritische Risiken für das komplette Unternehmen. Dazu gehört eine höhere Gefahr von Geschäftsunterbrechungen. Wenn wesentliche Daten oder Systeme wegen einer Sicherheitsverletzung nicht mehr verfügbar sind, kann das Unternehmen möglicherweise nicht mehr arbeiten. Solche Störungen schaden dem Ruf des Unternehmens und resultieren ebenfalls in ernsten finanziellen Folgen. Ein mangelhaftes Device- und Update-Management beeinträchtigt ebenso die kontinuierliche und genaue Bestandsaufnahme der OT-Ressourcen. Sofern der Betreiber nicht weiß, welches Asset wo in seinem Unternehmen vorhanden ist, kann er lediglich erahnen, in welchem Bereich die größten Risiken liegen. Die fehlende Gewissheit macht es schwierig, Sicherheitsressourcen effizient zu verwenden, wenn sie auftreten. In ähnlicher Weise untergräbt eine unwirksame Verwaltung der Assets die Fähigkeit der Security-Teams, effektiv zu arbeiten. Sicherheitsvorgänge lassen sich nur schwerlich automatisieren, wenn dem Betreiber keine exakte Liste der bestehenden Ressourcen und Risiken vorliegt. Stattdessen ist sein Security-Team darauf angewiesen, Geräte manuell zu finden und zu sichern, was einem schlechten Einsatz von Zeit und Geld gleichkommt.
Durchführung der Managementprozesse
Da OT-Ressourcen und -Sicherheitsrisiken in vielen Formen vorkommen, ist das Device- und Update-Management ein Prozess, der zahlreiche Aktivitäten umfasst. Die Herangehensweise an die Asset-Administration variiert von Unternehmen zu Unternehmen – je nachdem, welche Arten von Ressourcen gefährdet sind. Im Folgenden werden die Eckpfeiler des Prozesses für ein typisches Unternehmen vorgestellt:
Gerätekennung: Durch die Identifizierung und Bewertung jedes einzelnen Netzwerkeckpunkts auf Sicherheitsschwachstellen können die Teams sofort Maßnahmen zur Problembehebung ergreifen.
Aufgaben erkennen: Die Verwaltung von Assets unterstützt bei der Identifikation von Aufgaben, um Sicherheitslücken zu schließen oder neue Funktionen auszurollen.
Umsetzung planen: Weil sich die Dringlichkeit von Updates unterscheiden kann, bietet das Device- und Update-Management die Möglichkeit, ein Update unverzüglich oder zu einem bestimmten Zeitpunkt zu starten.
Updates installieren: Nachdem die Aufgaben in der Asset-Verwaltung geplant und priorisiert worden sind, wird das Update auf den Assets installiert. In diesem Zusammenhang kann das Security-Team auswählen, ob das Update gleich nach dem Transfer aufgespielt werden soll oder zu einem späteren
Zeitpunkt.
Zu beachten ist, dass sich viele der oben beschriebenen Ressourcen ständig ändern. Netzwerkgeräte können kommen und gehen. Daher sind die Asset-Management-Prozesse kontinuierlich durchzuführen, damit sie mit den sich schnell entwickelnden Umgebungen Schritt halten können.
Fazit
In der Vergangenheit haben die Unternehmen der Administration von Assets lediglich wenig Priorität eingeräumt. Denn für die Automatisierung der Prozesse zur Verwaltung von Assets gab es keine geeigneten Tools. Die permanente manuelle Administration von Beständen war nicht praktikabel. Durch die Entwicklung von automatisierten Tools zur Erkennung von Ressourcen und Bedrohungen spielt das Asset-Management heute in zahlreichen Branchen eine wichtige Rolle, wenn es um Sicherheitsoperationen geht.
Es ist nicht nur für Software- und IT-Unternehmen von entscheidender Bedeutung, sondern für jedes Unternehmen, das auf Soft- und Hardware angewiesen ist, um seinen Betrieb aufrechtzuerhalten – und dies trifft derzeit auf fast jedes Unternehmen, egal welcher Branche zugehörig, zu.