OT-Sicherheit: Tipps für den richtigen Start

Typische Herausforderungen der OT-Sicherheit

Auch wenn jede Organisation eigene Anforderungen mitbringt, ähneln sich die Herausforderungen für die OT-Security vielerorts:

• Veraltete Systeme, die nicht gepatcht werden können
• Echtzeit Betriebssysteme (RTOS), industrielle Protokolle sowie Systeme, die in der Büro-IT nicht üblich sind und besondere Aufmerksamkeit brauchen
• Steuerungsmöglichkeiten ohne oder nur mit eingeschränkter Möglichkeit zur Authentifizierung und ohne Kompatibilität zu gängiger Security-Software
• Geteilte Passwörter durch interne und externe Bediener sowie Wartungstechniker
• IoT-Geräte, die ohne Rücksicht auf die IT-Sicherheit vernetzt werden
• Die Notwendigkeit von Fernzugriffen zu Wartungszwecken und Optimierung

Eine stabile Basis für die OT-Sicherheit

Air Gapping, Remote Access oder sogar Zero Trust? Ähnlich wie in der IT-Sicherheit kann man in der OT-Security angesichts der vielen Möglichkeiten schnell den Überblick verlieren. Gerade für Mittelständler gilt es, zunächst ein solides Level an OT-Security erreichen. Dafür müssen die gesetzlichen Vorgaben und Normen beachtet werden. Neben branchenspezifischen Compliance-Richtlinien und speziellen Vorgaben für KRITIS-Anbieter, gibt es auch eine Reihe allgemeiner Empfehlungen und Normen, die für alle Unternehmen gelten:

• Das National Institute of Standards and Technology (NIST) hat in seinem Guide to Operational Technology (OT) Security eine sehr umfassende Liste von Empfehlungen zusammengestellt.
• Die ISA/IEC 62443 Norm der International Society of Automation (ISA) gilt als Standardwerk für die Sicherheit von Automatisierungs- und Kontrollsystemen.

Die Sicherung der eigenen Anlagen ist ein umfassender Prozess, bei dem Unternehmen lieber in kleinen Schritten vorgehen sollten. Zwischen den Abteilungen (IT, Einkauf, Produktion und so weiter) ist ein hoher Abstimmungsaufwand nötig. Daher ist es sinnvoll, dass Unternehmen zunächst ausführliche Checklisten erstellen, die sich an den jeweiligen Vorgaben und Empfehlungen orientieren und mit allen Stakeholdern im Unternehmen abgesprochen sind.

Michael Voeth,
Bosch CyberCompare

Diejenigen Anlagen und Systeme sollten priorisiert werden, die bei einem Ausfall den größten Schaden nehmen würden und die für die Produktion essenziell sind. Für letztere sollten Workarounds geschaffen werden, sodass die Maschinen im Ernstfall auch autark laufen können. Es sollten zudem klare Verantwortlichkeiten für die Sicherung und Betrieb der Anlagen an jedem Standort festgelegt werden.

Im Ernstfall den Angreifer isolieren

Ein weiterer wichtiger Schritt in der Sicherung von Fertigungssystemen ist die richtige Segmentierung sowie die Trennung von OT- und IT-Systemen. Die unterschiedlichen Segmente sind nur noch mit einem definierten Kommunikationsweg („Conduits“) verbunden und darüber hinaus mit geeigneter Technologie abgetrennt. So kann im Falle eines Angriffs das betroffene Netzwerk isoliert und eine weitere Ausbreitung verhindert werden.

Dr. Jannis Stemmann,
Bosch CyberCompare

Klassischerweise wird zudem eine sogenannte Demilitarisierte Zone (DMZ) zwischen OT- und IT-Segmenten eingerichtet. Hierin werden alle Systeme zusammengefasst, die sowohl mit der OT als auch der IT kommunizieren müssen. Dazu gehören typischerweise Dienste für Fernzugriffe, Asset-Management-Datenbanken, Softwareverteilung ein globales Datenarchiv.

Schritt für Schritt zu mehr OT-Sicherheit

Neben den Grundlagen sollten Unternehmen bei der OT-Security weitere Punkte beachten:

Endpunkt- und Malware-Schutz: Besonders veraltete Systeme an den Endpunkten der Anlagensysteme bieten eine große Angriffsfläche für Hacker, da diese über keine oder unzureichende Authentifizierungsmaßnahmen geschützt werden.

Schwachstellenmanagement: Updates von Betriebssystemen in OT-Umgebungen gestalten sich häufig schwierig, da die Produktionsanlagen oft inkompatibel mit den Patches sind und Wartungsfenster zu Produktionsstörungen/- ausfällen führen. Je größer die Anzahl alter Systeme, desto komplizierter gestaltet sich die Wartung, Daher ist eine Priorisierung notwendig, bei der die wichtigsten Anlagen auf dem neuesten Stand gehalten werden sollten. Unternehmen sollten jedoch beachten, dass Angreifer auch ohne das Ausnutzen von Schwachstellen in OT-Systeme eindringen können.

Mitarbeiter-Awareness: Mitarbeiter stehen immer noch sehr häufig im Fokus der Hacker. Daher ist eine regelmäßige Sensibilisierung für Sicherheitsthemen, wie sie inzwischen in der IT üblich ist, auch in der OT-Security essenziell.

Backups und Krisenreaktion: Entscheidend für die Sicherheit von OT-Systemen ist die Resilienz der Produktionsanlagen. Dafür sollten, wie in der IT, auch für OT-Systeme spezielle Backups oder Images eingerichtet werden. Zur Resilienz gehört es auch, Notfallkonzepte für den Ernstfall zu entwickeln und diese regelmäßig mit dem Team und einem Incident Response Dienstleister (IR) zu proben. Dazu sollten klare Verantwortlichkeiten für den Angriffsfall festgelegt und kommuniziert werden. Da ein Angriff rund um die Uhr geschehen kann, sollten die Notfallkonzepte jederzeit einsatzbereit sein.

Fernzugriffslösungen: Techniker benötigen regelmäßig Zugang zu den Anlagen. Dafür braucht es einheitliche Fernzugriffslösungen, da nicht für jeden Anbieter eine eigene Lösung eingeführt werden kann. Um eine solche Remote-Access-Lösung zu finden, sollte ein Unternehmen folgende Aspekte beachten: Für welche Anlagen sind welche Anwendungsfälle relevant? Welche Protokolle und Verbindungsmöglichkeiten sowie Security- und Überwachungsfunktionen sind nötig? Wie erfolgt das Rollen- und Rechtemanagement? Wichtig ist zu beachten, dass externer Zugriff immer zuerst von internen Mitarbeitern freigeschaltet werden sollte.

Anomalie-Erkennung: Netzwerkbasierte Angriffserkennungslösungen können den Schutz von Endpunkten unterstützen oder in manchen Fällen sogar ersetzen. Sie funktionieren vor allem in stabilen Systemen wie Kraftwerken oder Raffinerien mit klaren Change-Management-Prozessen. Sie können nicht nur bekannte Angriffsmuster erkennen, sondern auch das Öffnen von Ports, eine hohe Anzahl an Login-Versuchen, nicht autorisierte Geräte und weitere Vorgänge. Der Einsatz dieser Lösungen ist allerdings nicht in allen Umgebungen sinnvoll – insbesondere, wenn diese häufige Prozessänderungen mit sich bringen und oft Fehlalarme auslösen.

Klare Richtlinien für den Einkauf

Die Liste der Maßnahmen für mehr Sicherheit in der OT ist lang. Doch so vielfältig wie die Systemlandschaften sind auch die Lösungen, die auf dem Markt angeboten werden. Es gibt keine einheitliche Blaupause für eine sichere OT. Gerade wenn die Maßnahmen komplexer werden – beispielsweise bei Remote-Access- oder Zero-Trust-Lösungen –, ist die Auswahl des richtigen Anbieters entscheidend. Doch auf dem Markt können Unternehmen schnell den Überblick verlieren. Darüber hinaus sind die eigenen Anforderungen, die eine Lösung erfüllen muss, nicht immer offensichtlich. Auch die anfallenden Kosten für eine sichere OT sind für viele immer noch eine Black Box. Daher sind festgelegte Richtlinien für den Einkauf essenziell, die die eigenen Anforderungen berücksichtigen und eine stetige Entwicklung der OT-Sicherheit ermöglichen.

Eine sichere OT-Landschaft wirkt für viele Unternehmen wie ein Mammutprojekt. Nichtsdestotrotz kommen produzierende Unternehmen an dem Thema nicht vorbei. Wer den Geschäftserfolg nicht gefährden will, muss seine OT sicher gestalten – besser früher als später. Für sämtliche Anforderungen gibt es die richtigen Anbieter, die ein gutes Preis-Leistungs-Verhältnis bieten. Um diese zu finden, können Unternehmen auf externe Partner zurückgreifen, die den Markt strukturieren und etwa dem Einkauf dabei helfen, den Markt zu sondieren und im Auswahlprozess unterstützen. So muss eine sichere OT keine Zukunftsmusik mehr bleiben.

Über die Autoren:
Michael Voeth ist Director OT Security und Dr. Jannis Stemmann ist VP bei Bosch CyberCompare.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.