Industrielles IoT: So lassen sich die Risiken minimieren

Risiken für vernetzte Systeme

Es braucht nicht viel Fantasie, um sich Szenarien vorzustellen, in denen Angreifer die Produktion von Pharmaunternehmen stören, um Engpässe zu verursachen, oder die Qualität der Produkte von Lebensmittel- und Getränkeherstellern manipulieren.

Und die Angreifer entwickeln ständig neue Techniken und Taktiken. So stellt „Siegeware“ eine recht neue Bedrohung für kritische Infrastrukturen dar, bei der die Angreifer das Opfer „belagern“, indem sie die Systeme kompromittieren, die für die Büroinfrastruktur eines jeden Unternehmens essenziell sind: Licht, Aufzüge, Klimaanlagen und Heizungen sowie physische Sicherheitssysteme.

GPS-Spoofing ermöglicht es Angreifern, Navigationssysteme zu stören und Autofahrer so auf einen falschen Kurs zu bringen. Cyberkriminelle nutzen die vernetzten Geräte auf die unterschiedlichsten Arten, um gezielte Aktionen durchzuführen oder diskret im Hintergrund zu agieren, um unsere Wirtschaft zu stören oder schlimmer noch: körperlichen Schaden anzurichten. Und diese Risiken sind real.

Gartner bezeichnet die Kombination dieser Netzwerke und Anlagen als cyberphysische Systeme (CPS) und prognostiziert, dass die finanziellen Auswirkungen von Angriffen auf CPS, die zu tödlichen Unfällen führen, bis 2023 über 50 Milliarden US-Dollar erreichen werden.

Selbst wenn man den „Wert eines Menschenlebens“ nicht in die Gleichung einbezieht, werden die Kosten für Unternehmen in Form von Entschädigungen, Rechtsstreitigkeiten, Versicherungen, Bußgeldern und Reputationsverlusten erheblich sein. Zudem gehen die Analysten davon aus, dass bis zum Jahr 2024 75 Prozent der CEOs persönlich für CPS-Vorfälle haften müssen. Dies erhöht zusätzlich die Dringlichkeit, diesen Herausforderungen effektiv zu begegnen.

Gesetzgeber reagieren

Um die steigende IoT-Nutzung und die damit verbundenen Risiken zu adressieren, ist in den USA am 4. Dezember 2020 der IoT Cybersecurity Improvement Act in Kraft getreten. In Anbetracht des Mangels an Einheitlichkeit bei der Identifizierung von Schwachstellen und Risiken in der Lieferkette, die durch IoT-Geräte verursacht werden, zielt das Gesetz darauf ab, den heutigen weitgehend punktuellen Ansatz durch Standards und Richtlinien zu ersetzen.

Demnach muss jedes IoT-Gerät, das mit Mitteln der Bundesregierung gekauft wird, neue Mindestsicherheitsstandards erfüllen. Obwohl sich das Gesetz an Regierungsbehörden und die Anbieter und Dienstleister, mit denen sie zusammenarbeiten, richtet, wird es wohl eine deutliche Strahlkraft auch auf andere Anbieter entfalten.

Auch im Frühjahr 2021 vom Bundesrat gebilligte IT-Sicherheitsgesetz 2.0 bezieht IoT-Geräte sowie die damit verbundenen Sicherheitslücken ausdrücklich ein und weist auf die enormen Risiken hin.

Risiken erkennen und minimieren

Unternehmen mit kritischen Infrastrukturen müssen in der Lage sein, Bedrohungen durch IoT/IIoT-Geräte, die die Grenzen zwischen IT und OT überschreiten, zu erkennen und zu verfolgen. Tatsächlich stellen aber OT-Netzwerke seit Jahrzehnten blinde Flecken für IT-Sicherheitsexperten dar.

Und da immer mehr ältere OT-Anlagen mit dem Internet verbunden werden und Industrieunternehmen verstärkt vernetzte Geräte in ihre Infrastrukturen integrieren, um die Automatisierung und Modernisierung voranzutreiben, wird dadurch die Risikominimierung immer schwieriger. Die mangelnde Transparenz und Telemetrie führen dazu, dass OT- und IT-Sicherheitsteams oftmals nicht wissen, welche CPS bereits in ihrer Umgebung eingesetzt werden und wie sie sich verhalten.

„Für die Identifizierung und Verfolgung von Bedrohungen, die die IT/OT-Grenze überschreiten, sind kontextbezogene Sicherheitsinformationen über den Netzwerkverkehr von wesentlicher Bedeutung.“

Yaniv Vardi, Claroty

Proaktives Risikomanagement kann nur gelingen, wenn man in der Lage ist, Risiken aus verschiedenen, sich ergänzenden Perspektiven zu untersuchen und sie in einen entsprechenden Kontext zu stellen. Voraussetzung hierfür ist ein klares Verständnis der Risikolage und des Netzwerkverkehrs.

Das Verständnis der Risikolage von Anlagen beginnt mit der Sichtbarkeit von ICS-Netzwerken und -Endpunkten sowie der Zentralisierung von IT-, OT-, IoT- und IIoT-Asset-Informationen, ohne dass hierfür zusätzliche Konnektivität erforderlich ist.

Auf diese Weise können Mensch-Maschine-Schnittstellen (MMS), Historians und Engineering-Workstations (EWs) mit Informationen über IT-Bedrohungen und Schwachstellen angereichert werden, um die Sicherheit dieser Anlagen zu verbessern, ohne die Produktivität oder Verfügbarkeit zu beeinträchtigen.

Für die Identifizierung und Verfolgung von Bedrohungen, die die IT/OT-Grenze überschreiten, sind kontextbezogene Sicherheitsinformationen über den Netzwerkverkehr von wesentlicher Bedeutung. Viele Angriffe, die sich auf OT-Umgebungen auswirken, beginnen im IT-Netzwerk. Sicherheitsverantwortlichen müssen daher zusätzlich zu den für IT-Systeme erstellten Signaturen auch Bedrohungssignaturen für ICS-Geräte (industrielle Steuerungssysteme) und OT-Netzwerke zur Verfügung stehen. Technologien, die CPS schützen, ohne dass eine Neukonfiguration der Signaturen oder manuelle Updates erforderlich sind, beschleunigen die Erkennung und Reaktion wesentlich.

Fazit

IIoT-Geräte werden schnell zu einem zentralen Element moderner OT-Umgebungen und ermöglichen deutliche Wettbewerbsvorteile. Aber nur, wenn wir die Risiken erkennen, bewerten und gezielt adressieren, können wir von den Chancen des IIoT auch tatsächlich profitieren.

Über den Autor:
Yaniv Vardi ist CEO von Claroty.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.