Verstärkte Cyberabwehr für OT-Umgebungen
Betriebliche Systeme, beispielsweise kritische Infrastrukturen, Industrie- oder Gebäudeautomationssysteme, sind besonders in der heutigen Zeit wichtiger denn je und zugleich einer zunehmenden Bedrohungslandschaft ausgesetzt. Unternehmen sind daher gefordert, die Cybersicherheit in OT-Umgebungen zu gewährleisten, und zwar zum Schutz von uns allen.
Das Bewusstsein für die Relevanz von Cybersicherheit in der IT nimmt zwar zu, jedoch erhalten OT-Umgebungen noch immer zu wenig Beachtung – mit möglicherweise fatalen Folgen, denn schwerwiegende Ransomware-Vorfälle gegen kritische Infrastrukturen sowohl in der Cloud als auch On-Prem häufen sich weltweit. Angriffstaktiken sowie -techniken entwickeln sich stetig weiter und nehmen gezielt OT-Systeme in den Fokus, zunehmend auch in Bereichen wie Gebäudeautomation oder Produktion. Das Fatale daran: OT-Systeme sind auch Teil kritischer Infrastrukturen, zum Beispiel im Gesundheits-, Transport-, Energie- und Versorgungssektor. Im Gegensatz zur digitalen Welt sind physische Schäden hier oft irreversibel und können gar Menschenleben gefährden. Besonders in den vergangenen Monaten wurden zahlreiche Cyberangriffe verübt, unter anderem aufgrund von bereits seit Längerem bekannten Schwachstellen in weit verbreiteten Systemen: Log4j, Microsoft Exchange, Linux, Apache, Remote Access usw. Die Angriffsmöglichkeiten auf OT-Systeme haben sich somit erheblich vergrössert durch die zunehmende Bedrohungslandschaft.
Kritische Infrastrukturen
Obschon die physische OT-Welt andere Sicherheitsansätze als die virtuelle IT erfordert, so rücken diese doch näher zusammen. Neue Technologien aus der IT korrelieren mit Entwicklungen und Modernisierungen in der OT. In der Industrie fertigen selbstlernende Roboter komplexe Produkte; in der Gebäudeautomation liefern integrierte Sensoren Daten wie etwa Temperatur, Feuchtigkeit, Auslastung oder Leistung von Anlagen an eine zentrale Cloud-Plattform; in der Elektrotechnik werden Messsysteme zunehmend vernetzt, intelligent gesteuert und überwacht. Zwei Welten fusionieren, neue Sicherheitsrisiken entstehen. Die Vision ist eine umfassende Konnektivität und Nutzung von Synergiepotenzialen. Die Realität ist hingegen, dass diese zwei Welten oftmals komplexe, teilweise veraltete oder fehlerbehaftete Schnittstellen aufweisen, was eine sichere Zusammenführung erschwert. Cyberkriminelle nutzen die Angreifbarkeit und Manipulierbarkeit solcher OT-Systeme aus, die bislang auf Stabilität anstatt Sicherheit ausgelegt und offline waren.
Während die IT klassischerweise ihren Schwerpunkt auf Vertraulichkeit, Informationssicherheit und Datenschutz legt, fokussiert OT auf die Verfügbarkeit der OT-Systeme (Maschinen und Anlagen) sowie den Schutz (Safety) von Mitarbeitenden und Umwelt. Die Gewährleistung dieser Safety ist nicht nur aufgrund der sicherheitskritischen Umgebungen notwendig, sondern auch aus gesetzlicher Sicht zwingend. Entsprechend existieren hier klare Richtlinien und es werden aufwendige Assessments durchgeführt – nicht jedoch für die OT-Sicherheit. IT und OT sind jedoch beides integrative Bestandteile und sollten daher sowohl in die operative als auch betriebliche Risikobetrachtung miteinbezogen werden. Da Angriffe auf OT-Systeme die physische Sicherheit gefährden können, sollte deren Absicherung oberste Priorität haben. Notwendige Massnahmen sind zum einen die Sensibilisierung der Mitarbeitenden bezüglich spezifischer Risiken, zum anderen aber auch der Aufbau von Know-how sowie Kompetenzen zu den OT-Komponenten und Protokollen. Weiter ist ein mehrschichtiger Ansatz (Defence-in-Depth), der sämtliche Ebenen kombiniert, unerlässlich. Dazu gehört eine umfassende Sicherheitsarchitektur mit integrierten Security-Lösungen, um Daten zu korrelieren und auf verteilte Bedrohungen zu reagieren, Systeme wie IDS/NIDS oder In-Line-Detection, die Erkennung von Angriffen, XDR, Threat Management usw.
Zur Errichtung, Umsetzung, Überprüfung und kontinuierlichen Verbesserung eines Informationssicherheits-Management-Systems (ISMS) hat sich IEC 62443 im OT-Umfeld etabliert. Dieses stellt eine effiziente Methode für eine gesicherte industrielle Automatisations- und Steuerungssysteme (IACS) dar – unter Berücksichtigung aller wichtigen Aspekte, beispielsweise die Sicherheit der Mitarbeitenden und der Produktion, die Sicherstellung der Verfügbarkeit, die Steigerung der Effizienz und Qualität der Produktion sowie der Schutz der Umwelt. Damit können Unternehmen potenzielle Schwachstellen der Steuerungs- und Leittechnik frühzeitig erkennen und sinnvolle Schutzmassnahmen einleiten. Ein umfassender, vorausschauender Ansatz geht aber noch weiter und berücksichtigt die traditionelle IT-Landschaft, die Entwicklungs- und eben auch die Produktions-IT. Nicht vergessen werden sollte ein proaktives Schwachstellen-Management. Dabei sollte man sich aber nicht nur auf Schwachstellen konzentrieren, die einen bestimmten CVSS-Wert aufweisen, sondern ebenso auf solche, die aktiv von Cyberkriminellen ausgenutzt werden. Rasches Handeln ist hier zentral. Nicht zuletzt gehören Risiko- und ICS/SCADA-Sicherheitsbewertungen sowie entsprechendes Controlling zu einem umfassenden Sicherheitsansatz.
Von Defence-in-Depth zu Zero Trust
Defence-in-Depth, also der erläuterte mehrschichtige Ansatz, hat einen wichtigen Stellenwert in der IT-/OT-Sicherheit. Dadurch wird das Risiko minimiert, dass Cyberangriffe – oder auch anderweitig ausgelöste Störfälle – sich wie bei einem Dominoeffekt ausbreiten und grossen Schaden anrichten können. Um mit den neuen Bedrohungen Schritt halten zu können, müssen Unternehmen jedoch auch Zero-Trust-Modelle und Automatisierung einführen. Zero Trust ist ein strategischer Sicherheitsansatz, der sich auf das Konzept der Eliminierung von inhärentem Vertrauen konzentriert; sprich, geringstmögliche Berechtigungen und minimale Zugriffe, um Risiken zu minimieren. Alle Ressourcen werden hierbei als extern betrachtet. Vertrauen ist weder binär noch dauerhaft. Zero Trust stellt das Vertrauen für jede Zugriffanfrage her, egal, woher diese kommt, und erzwingt gleichzeitig die Vertrauenswürdigkeit von Geräten. Die Automatisierung hingegen nutzt aktuelle Bedrohungsdaten, um den Datenverkehr zu inspizieren, Zero-Trust-Richtlinien anzuwenden und Angriffe in Echtzeit zu blockieren.
Für die durchdachte Umsetzung eines Sicherheitskonzepts ist eine Verbesserung der Sicherheitsfunktionen aller beteiligten Systeme, Produkte und Lösungen notwendig. Aber auch Richtlinien, Prozesse und letztendlich Mitarbeitende müssen angemessen berücksichtigt werden, damit verschiedene Massnahmen etabliert werden können. Denn, wird eine Schutzmassnahme umgangen, bietet die nächste weiterhin Schutz. Dieses Prinzip ist sehr sinnvoll, denn oftmals sind die beteiligten Systeme und Komponenten aufgrund von mangelnden Updates und permanenter Verfügbarkeit nicht auf einem aktuellen Sicherheitsstand.
Auch wenn die Anforderungen heutzutage hoch sind: Nur so können die strategischen Ziele der Cybersicherheit erreicht, Risiken minimiert, regulatorische Anforderungen erfüllt und die Safety sowie Security in komplexen IT-/OT-Umgebungen garantiert werden.
