JT Jeeraphun - stock.adobe.com
Cyberangriffe sorgen dafür, dass IT und OT zusammenwachsen
Safety ist der Schutz des Menschen vor der Maschine und Security ist der Schutz der Maschine vor dem Menschen. Im Bereich Security entwickelt sich OT zunehmend in Richtung IT.
IT und OT (Operational Technology) stehen sich traditionell eher skeptisch gegenüber, als dass beide Abteilungen zusammenarbeiten. Dies ändert sich seit ein paar Jahren; sie wachsen mehr und mehr zusammen.
Allerdings sind sie noch immer uneins darüber, wer die Verantwortung letztendlich übernehmen sollte. Aufgrund der Steuerungssysteme und der auf ihnen laufenden Programme ist es eher angebracht, diese Verantwortung bei der IT zu suchen und diese Beobachtung erhält immer mehr Unterstützung.
Wenn wir uns Themen wie Netzwerkintegration, Geräteverwaltung und andere anschauen, dann liegt die Expertise nicht mehr bei den traditionellen OT-Herstellern wie Rockwell, Siemens und Co., sondern wandert immer mehr in Richtung der IT-Hersteller.
Die Switches kommen aus der IT und werden aus der IT verwaltet. Virtual Local Area Network (VLAN) ist ein weiteres Beispiel für diesen Trend. Hier wird ein physisches industrielles Netz logisch unterteilt, anstatt mehrere physische Netze parallel zu betreiben. Dabei werden Teilnehmer oder Netzsegmente mit Hilfe von Switches oder Wireless Access Points zu logischen Gruppen zusammengefasst.
Diese Beispiele machen deutlich, dass sich die OT in Richtung IT entwickelt. Die OT-Verantwortlichen und die Hersteller kennen sich mit Security nicht unbedingt aus und wollen es schlussendlich auch oft gar nicht. Die IT hat hier einen klaren Wissens- und Erfahrungsvorsprung sowohl bei den eingesetzten Technologien als auch bei den Bedrohungsszenarien.
Die Security-Industrie bricht nun aus der Entwicklungsphase aus und setzt sich mit OT-Umgebungen auseinander. Große OEMs haben inzwischen ihr Clientmanagement ausgerollt. In vielen DAX Konzernen und gehobenen Mittelständlern gibt es in den Produktionsumgebungen keine Windows XP-Systeme mehr. Immer öfter sind sie schon Windows-10-ready.
Eigentümer-geführte Unternehmen sind hier weiter als die, die von Geschäftsführern gemanagt werden, die von Quartal zu Quartal denken müssen. Kleinere Unternehmen haben nach wie vor große Probleme, beispielsweise weil sie keine Patches ausrollen können. Zum einen, weil es keine Patches mehr gibt, oder aber weil die Systeme nicht gepatcht werden können, denn sonst würden die Verantwortlichen riskieren, dass Schnittstellen zerschossen und Produktionsprozesse dadurch gestoppt werden.
Neben den traditionellen Sicherheitsmaßnahmen wie Firewalls, Endpoint Security, Segmentierung stehen auch Sicherheitsanforderungen an Switches und das Management von Komponenten inklusive der Sichtbarkeit der verschiedenen Geräte immer mehr im Fokus und werden umgesetzt. Dies alles sind ganz klar IT-Themen und keine OT-Themen.
Bei der OT müssen hingegen ganz andere Themen behandelt werden, wie Kühlschutz, Spannungsschutz und so weiter. Natürlich sollten diese Themen auch dort verbleiben und behandelt werden, wo die Expertise sitzt und dies ist und bleibt die OT-Abteilung.
Open Source löst proprietär ab
Open-Source-Software wie Linux-Systeme, die speziell für die OT-Anforderungen aufgesetzt werden, gehören zu den interessantesten Entwicklungen in der Industrie 4.0. PLCs (Programmable Logic Controller, SPS) laufen immer mehr mit Linux-Systemen, weil die großen Firmen weniger in proprietäre Software investieren. Die Vorteile dieser Entwicklung liegen auf der Hand, Open Source heißt, dass sich die Software schneller auf die Geräte aufspielen und anpassen lässt, darüber hinaus wird die Verwaltung einfacher, wenn die Betriebssysteme offener und standardisierter werden.
Auf der anderen Seite, vor allem aus der Sicht der Security, stellt dieser Trend auch ein großes Sicherheitsrisiko dar. Denn machen wir uns nichts vor, bei der Anpassung der Linux-OS auf die PLCs werden Fehler gemacht. Bespiele sind die Schnittstellenprogrammierung, die Anwendungsentwicklung etc. überall wo Open Source-Code verwendet wird, können sich Sicherheitslücken einschleichen und schneller gefunden werden, denn der Code ist ja offen im Netz.
Darüber hinaus wird es auch mehr Updates und Patches geben, denn die Software wird schneller und damit fehleranfälliger – zwar auch billiger, aber kann dadurch auch weniger intensiv getestet entwickelt werden.
Cyberbedrohungen nehmen zu, Sicherheitsregularien fehlen
Das alles spielt Cyberkriminellen mehr und mehr in die Hände und die haben längst ihren Blick auf die OT gelenkt. Bedrohungen wie Krypto-Trojaner und Würmer befallen oft Windows-Systeme, weil diese tendenziell schlechter geschützt sind.
Angriffe auf PLC-Netzwerke nehmen ebenfalls zu, sie sind aber sehr zielgerichtet und so wie es für die Öffentlichkeit nachvollziehbar ist, vor allem politisch motiviert wie Stuxnet und andere. Früher waren diese Attacken recht aufwendig, aber durch den Vernetzungstrend wird es immer mehr OT-Malware-as-a-Service geben.
Durch den Befall von Safety-Komponenten erhalten diese Risiken eine neue Angriffsdimension. Es gibt zwar starke Regulierungen für die Safety-Komponenten, aber bei der Security ist das kaum ein Thema. Safety sieht es beispielsweise nicht vor, dass eine WLAN-Verbindung verschlüsselt wird.
Was bei den Safety-Regularien allerdings trotz vieler Anstrengungen noch nicht genau festgelegt wurde, ist, inwieweit ein Cyberangriff die Mechanismen außer Kraft setzt und was dann mit der Umgebung passiert. Nur, wenn ich die Prozesse aus Security-Sicht unter Kontrolle habe, dann kann ich auch Safety wirklich gewährleisten, was wiederholt ein wichtiges Argument für die Verschiebung der Verantwortung von der OT hin zur IT darstellt.
„Das Verhältnis zwischen IT und OT entspannt sich, weil die OT zunehmend akzeptiert, dass durch die Digitalisierung der Produktion die IT die Verantwortung für die IT-Programme und Prozesse übernehmen muss.“
Christopher Proske, Orange Cyberdefense
Security-Verantwortliche müssen sich ein paar Fragen stellen und generell sollte sich die gesamte Industrie genauso diese Fragen stellen, um eine gemeinsame Linie zu finden. Denn, was passiert denn nun eigentlich, wenn eine Produktionsanlage ausfällt? Was ist, wenn ein Cyberangriff sie lahmgelegt hat? Wer ist dann verantwortlich?
Bislang wurde fast nur in Prävention investiert und Erkennung und Reaktion vernachlässigt. Das funktioniert so aufgrund der Vielzahl der Angriffe so nicht mehr. Im schlechtesten Fall muss ich mich aus Mangel an Budget und Fachleuten entscheiden oder versuche beides halb zu machen, wirklich gut setzen es aus diesen Gründen wirklich nur wenige um.
Wenn wir direkt in die Produktionsumgebung gehen, dann ist das gar nicht möglich. Gleichzeitig will und sollen die Geräte aber immer näher am Internet sein. Ein Beispiel: Die IT-Abteilung hat der Produktion einen Port zur Verfügung gestellt, natürlich hinter der Firewall und dann nur zwei IP-Adressen.
Neuere Maschinen wollen dann auf einmal 16 IP-Adressen haben, um Daten zu kommunizieren und dann auch über das Internet zu versenden und das in Echtzeit und in kurzen Intervallen. Logistische Prozesse wie ERP und Konzepte wie Just in Time, Losgröße Eins und Co. fördern diese Entwicklung.
Es werden immer mehr Daten erhoben, die Produktionsprozesse werden immer transparenter, so dass der Kunde nachvollziehen kann, wie und wo sein Produkt produziert wird. Big-Data-Analysen, um Prozesse zu optimieren zum Beispiel gezielte Wartung, um Produktionskosten einzusparen und schneller produzieren zu können, erlauben den Produktionsunternehmen, unbekannte Potentiale zu heben. Denn am Ende sind Daten der neue Rohstoff im Produktionsumfeld.
Fazit
Das Verhältnis zwischen IT und OT entspannt sich, weil die OT zunehmend akzeptiert, dass durch die Digitalisierung der Produktion die IT die Verantwortung für die IT-Programme und Prozesse übernehmen muss. Hier liegt eine große Chance, vor allem für die Härtung und Absicherung der OT-Systeme, denn die IT hat die Erfahrung und das nötige Wissen, um dies zu tun.
Über den Autor:
Christopher Proske ist Manager Strategy Consulting bei der Orange Cyberdefense Germany GmbH.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
