Sicherheit für IT und OT

Die IT eines Unternehmens ist nicht sicher, wenn die OT – also Produktions-IT – ungeschützt ist. Das haben nicht zuletzt die Sicherheitsvorfälle der vergangenen Jahre gezeigt, die zu teils großflächigen Produktionsausfällen geführt haben. Von Spill-over-Effekten durch die Schadsoftware WannaCry und NotPetya über gezielte Angriffe mittels Industroyer und Triton bis zur IT-basierenden Ransomware mit OT-Ausrichtung wie EKANS/Snake. Mit Schäden in Höhe mehrerer hundert Millionen Euro und zunehmender Frequenz sollten IT- und OT-Cybersicherheit selbstverständlich Hand in Hand gehen.

Jedoch fehlen häufig gemeinsame Verantwortliche. Dieser Umstand ist letztlich auch auf das Fehlen von Werkzeugen zurückzuführen, die die unterschiedlichen Technologien, Protokolle und Kommunikationsstrukturen hinter IT und OT sinnvoll und transparent zusammenbringen.

Kommunikationsstrukturen sind in der IT eher chaotisch, in der OT stark deterministisch. Die IT besitzt seit längerem Sicherheitsstandards, die der OT in der Regel komplett fremd sind.

Hinzu kommen Diskrepanzen in Fragen der täglichen Umsetzung von Cybersicherheit. IT setzt auf Restriktionen mit Fokus auf Informationssicherheit. OT wiederum benötigt maximale Flexibilität, um die Produktionsprozesse nach Bedarf anzupassen. Zudem steht in der Produktion der Schutz der Mitarbeiter und Anlagen im Mittelpunkt. Und ein Anlagenstillstand wiegt schwerer als jede Informationssicherheit.

Offenheit oder Sicherheit

Die Fernwartung in der Automatisierungsindustrie verdeutlicht den Konflikt zwischen IT und OT. Die Wartung von Anlagenkomponenten per Fernzugriff und durch externe Servicetechniker vor Ort gehört zum Alltag in Unternehmen der Automatisierungsindustrie. Servicetechniker erhalten häufig weitreichenden Zugriff auf sensible Netzwerkbereiche und Systemeinstellungen. Für die IT ist das ein Worst-Case-Scenario. Jeder externe Zugang stellt für sie eine Schwachstelle im Sicherheitskonzept da. Gleichzeitig können Subunternehmer nicht in demselben Maße abgesichert und kontrolliert werden, wie das beim eigenem Personal möglich ist.

Die Verwaltung der fremden IT obliegt dem Dienstleister. Selbst wasserdicht formulierte Sicherheitsrichtlinien, die ein IT-Verantwortlicher seinen Dienstleistern vorgibt, geben keine Sicherheit. Sie verschieben nur die Verantwortung. Und da in der Produktion Kontinuität vor Stillstand kommt und nicht selten improvisiert werden muss, werden Sicherheitsvorgaben auch mal gekippt.

Erschwerend kommt hinzu, dass es oftmals noch keine Stelle gibt, die die IT-Werkzeuge der Produktion zentral überwacht. In der Unternehmens-IT kommt in der Regel ein SIEM zum Einsatz. Das SIEM integriert die Informationen aus allen Sicherheitswerkzeugen und analysiert sie in Echtzeit. Das IBM QRadar SIEM ermöglicht damit, Schwachstellen, Bedrohungen und Trends unternehmensweit und frühzeitig zu erkennen, um intelligent gegenzusteuern. Dadurch kann verhindert werden, dass sich Schadsoftware in der Infrastruktur ausbreitet und beispielweise von der IT auf die OT überspringt.

In der OT fehlt solch eine Zentrale. Nicht selten wird OT-Cybersicherheit in Personalunion mit der Betriebsführung vereint. Erschwerend kommt hinzu, dass die Werkzeuge der IT selten einfach in die OT übertragen werden können. Produktionsanlagen sind deshalb in der Regel unzureichend bis gar nicht gesichert. Im besten Fall kommt ein industrielles Netzwerkmonitoring mit Anomalieerkennung wie Rhebo Industrial Protector zur Anwendung, das auf Produktionsumgebungen spezialisiert ist und Gefährdungen meldet, ohne die sensiblen Prozesse zu stören.

Transparenz und Prozessstabilität

Das industrielle Netzwerkmonitoring mit Anomalieerkennung verfolgt drei Grundprinzipien:

• Transparenz ist die Grundlage jedes effektiven Netzwerkmanagements. Um Cybersicherheit und Verfügbarkeit zu garantieren, benötigen die Verantwortlichen Sichtbarkeit in die Struktur und Kommunikation der OT. Diese Sichtbarkeit muss auch die tieferen Ebenen der Kommunikation, Funktionen und Werte enthalten. Um dies zu ermöglichen, kommt deshalb die Deep-Packet-Inspection-Technologie zum Einsatz.
• Jede Veränderung der Kommunikation in der OT ist potenziell schädlich für Cybersicherheit und Verfügbarkeit. Da die Kommunikation in industriellen Netzwerken eher deterministisch ist, können Abweichungen wie veränderte Kommunikationsmuster, neuartige Datenpakete oder Kommunikationsabbrüche einfach erkannt, dokumentiert und gemeldet werden.
• Im Vergleich zur Unternehmens-IT stehen in der Produktion Prozessstabilität, Arbeitsschutz und Kontinuität im Vordergrund. Deshalb werden Anomalien nicht aktiv geblockt, sondern im ersten Schritt gemeldet. Die Experten vor Ort können im Sinn der Betriebsführung entscheiden, ob die Anomalie eine Gefahr für die Produktionsprozesse darstellt. Besondere Beachtung finden auch technische Fehlerzustände, die Betriebsabläufe gefährden können.

Die drei Grundprinzipien berücksichtigen damit die speziellen Anforderungen der Produktion an Cybersicherheit. Jedoch fehlt noch immer die generelle Integration der OT-Sicherheit in das übergeordnete Cybersicherheitskonzept der IT. IBM und Rhebo haben diese Integration von IT- und OT-Cybersicherheit im IBM QRadar SIEM realisiert.

In die IT einbinden

Die Sensoren des Netzwerkmonitorings mit Anomalieerkennung werden unter Nutzung von Netzwerk-Taps oder Mirrorports in die OT eingebunden. Das Netzwerkmonitoring erfolgt vollständig passiv und rückwirkungsfrei, um die sensiblen Produktionsprozesse nicht zu stören. Die Verantwortlichen für das SIEM können über den QRadar Appstore das Netzwerkmonitoring als weitere Datenquelle hinzufügen. Dadurch entsteht erstmals ein Cybersicherheitsbild, welches das gesamte Unternehmen abbildet. Die IT erhält ein genaueres Bild zur Risikolage der Produktion und kann in enger Abstimmung mit der Produktionsleitung Maßnahmen definieren.

Mit der Verknüpfung von IT und OT kommen Industrieunternehmen auch der Umsetzung der internationalen Cybersicherheitsnorm IEC 62443 sowie des Defense-in-Depth-Prinzips näher. In Anlehnung an die Zwiebelstruktur werden verschiedene Schutzschichten installiert, die sich bei den verschiedenen Ausprägungen der Angriffe gegenseitig stützen. Wird beispielweise die äußerste Schicht der Firewalls durch eine neuartige Schadsoftware überwunden, erkennt die Anomalieerkennung den Eindringling spätestens anhand seiner für die Infrastruktur untypischen Kommunikationsvorgänge.

Die anomale Kommunikation wird von der Anomalieerkennung an das QRadar SIEM gemeldet und kann dort umgehend ausgewertet werden. Die Verantwortlichen können aktiv – und ohne auf Updates seitens der externen Firewall-Anbieter warten zu müssen – die Firewalls konfigurieren und über weitere notwendige Maßnahmen entscheiden. Diese Fähigkeit ist insbesondere bei den immer häufiger auftretenden Zero-Day-Schwachstellen sowie für das eher schwierige Patch-Management in Produktionsumgebungen relevant. Produktionsverantwortliche und IT-Sicherheitsbeauftragte können optimal zusammenarbeiten und an einem Strang ziehen, ohne die unterschiedlichen Rahmenbedingungen zu missachten.