gesponsertCybersecurity Keine Sicherheit ohne OT-Sicherheit

Was bisher getrennt war, wächst zusammen: IT-Systeme und Systeme der Operational Technology (OT) arbeiten zunehmend vernetzt und sind Cyberangriffen gleichermassen ausgeliefert. Eine auf OT-Aspekte zugeschnittene Cybersecurity ist unabdingbar – dabei gilt es, einige Herausforderungen zu beachten.

Steuerungssysteme für kritische technische Infrastrukturen (Operational Technology, OT) – von Kraftwerken über industrielle Produktionsanlagen bis hin zu Verkehrsleitsystemen – müssen naturgemäss rund um die Uhr fehlerfrei funktionieren. Denn die Folgen von Fehlern können katastrophal sein. Sie reichen bis hin zum Verlust menschlichen Lebens. Traditionell wurden OT-Umgebungen abgeschottet von der IT betrieben: Es bestand ein «Air Gap» zwischen IT und OT.

Der Air Gap ist Geschichte

Mit der Digitalisierung der Industrie ergeben sich immer mehr Schnittstellen und Vernetzungen zwischen OT-Systemen und der IT-Umgebung – und damit auch Einfallstore für Cyberangriffe auf die OT. Dies gilt unter anderem für die heute gängige Nutzung von Remote-Access-Tools für die Bedienung der Systeme, aber auch im Hinblick auf die IT-basierte Natur von OT-Systemen wie industriellen Kontrollsystemen (ICS) und SCADA-Systemen (Supervisory Control and Data Acquisition) für die Verwaltung der gesamten OT-Umgebung. Dazu kommen IT-Systeme auf den höheren Ebenen des für industrielle Kontrollumgebungen relevanten Purdue-Modells, vom MES (Manufacturing Execution System) bis letztlich zum ERP des Unternehmens.

Inventar führen, Angriffswege erkennen und schützen

Es versteht sich von selbst, dass vernetzte IT/OT-Umgebungen einen sehr starken Schutz vor Cyberangriffen benötigen. Im Prinzip sind die Schutzbedürfnisse in der IT und der OT ähnlich: Zunächst muss man wissen, was überhaupt zu schützen ist – ein detailliertes Inventar aller Komponenten und volle Visibilität über die komplette Umgebung sind unabdingbar. Daraus lassen sich mögliche Angriffswege eruieren und passende Schutzmassnahmen ergreifen.

Dennoch gibt es sicherheitstechnische Unterschiede zwischen IT und OT. So ist die Segmentierung der Netzwerke bis hin zur Mikrosegmentierung einzelner Systeme in der IT gang und gäbe, in der OT wurde traditionell wegen der früher abgeschotteten OT-Netzwerke kaum segmentiert. Viele OT-Komponenten sind zudem auf möglichst ungestörte Langlebigkeit und nicht auf Fehlerkorrektur durch Firmware-Updates ausgelegt. Auch die Verschlüsselung der gesamten Kommunikation und die starke Authentifizierung und strikte Kontrolle aller Zugriffe waren in der OT nicht gebräuchlich. Des Weiteren arbeiten OT-Umgebungen nicht nur mit dem in der IT üblichen TCP/IP-Protokoll, sondern auch mit zahlreichen herstellerspezifischen sowie standardisierten OT-Protokollen wie Modbus, BACnet, IEC-104, DNP-3, MQTT oder OPC. Und auf diese Protokolle verstehen sich klassische Cybersecurity-Lösungen nicht.

Cybersecurity in der OT gut auf Kurs

Dies hat sich inzwischen radikal geändert. Das Bewusstsein für Cybersicherheit ist bei den Betreibern kritischer Infrastrukturen definitiv angekommen, nicht zuletzt wegen verschiedener erfolgreicher Angriffe auf Versorgungsnetze und industrielle Anlagen. Und auch die bekannten Cybersecurity-Anbieter sowie neue, spezialisierte Hersteller haben die Bedeutung des Themas OT-Security erkannt und ihre Produkte darauf ausgerichtet.

Das wichtige Problem der Zugriffskontrolle und -überwachung lässt sich elegant mit PAM-Systemen (Privileged Access Management) lösen, die von Herstellern wie WALLIX, Fudo Security, Cyolo und Fortinet erhältlich sind. Darüber hinaus haben praktisch alle Cybersecurity-Hersteller ihre Lösungen zumindest teilweise OT-tauglich gemacht oder OT-spezifische Lösungen auf den Markt gebracht. Einige Hersteller bieten «Rugged»-Varianten ihrer Hardware für harsche Umgebungen und zur Montage in industriespezifischen Szenarien (Hutschiene) an. Und weitere Anbieter wie Claroty oder Asimily haben sich ganz auf OT respektive IoT spezialisiert.

(ID:50152995)