krunja - stock.adobe.com
Typische Irrtümer bei der OT-Sicherheit
OT-Sicherheit hinkt in vielen Aspekten der IT-Sicherheit hinterher. Dafür sind unter anderem Falschannahmen verantwortlich. Fünf der gängigsten Mythen im Wahrheitscheck.
Effektive Sicherheit der Betriebstechnik (OT, Operational Technology) ist eine wesentliche Voraussetzung für Industrieunternehmen, Betreiber kritischer Infrastrukturen und zahlreiche andere Unternehmen, die OT-Netzwerke einsetzen. Dabei ist festzustellen, dass OT-Security in vielerlei Hinsicht, etwa der Durchdringung, leider immer noch der IT-Sicherheit hinterherhinkt.
Einer der Gründe hierfür sind zahlreiche Falschannahmen und Mythen über OT-Security, sei es in Bezug auf die Natur der OT-Sicherheit, wie sie sich von IT-Sicherheit unterscheidet oder über ihre Bedeutung. Fünf der meistverbreiteten Mythen haben wir ausgewählt und unterziehen sie einem Wahrheitscheck.
Mythos 1: OT-Netzwerke sind isoliert und deshalb nicht anfällig für externe Bedrohungen
Strikt getrennte OT-Netzwerke waren früher der Standard, sind aber mittlerweile zu Relikten der Vergangenheit geworden. Dafür gibt es zwei Hauptgründe: Erstens werden die OT-Anlagen in der Regel von den Anbietern gewartet, die sie hergestellt haben. In den meisten Fällen sind diese Drittanbieter hierfür auf Fernverbindungen über das Internet angewiesen, wodurch die Anlagen und die OT-Netzwerke dem offenen Internet ausgesetzt werden. Dies ist weitgehend der Grund, warum der Fernzugriff ein üblicher Angriffsvektor der OT ist.
Zweitens treiben die Unternehmen den digitalen Wandel immer weiter voran, um von einer größeren Effizienz und Skalierbarkeit bei gleichzeitig geringeren Kosten zu profitieren. Diesen Vorteilen steht eine höhere Gefährdung durch externe Bedrohungen und die damit verbundenen Risiken gegenüber, da sich die Konnektivität zwischen IT- und OT-Netzwerken erhöht. Ohne die richtigen Sicherheitskontrollen entstehen so neue Gefahren: Bedrohungen, die auf IT-Umgebungen abzielen, finden ihren Weg nun auch in industrielle Steuerungsanlagen (ICS), OT- und IIoT/IoT-Netzwerke – und umgekehrt.
Mythos 2: Traditionelle IT-Sicherheitslösungen sind auch für OT-Netzwerke geeignet
Die meisten traditionellen IT-Sicherheitsprodukte sind mit OT-Netzwerken völlig inkompatibel. Ein wesentlicher Grund dafür ist, dass die in OT-Netzwerken verwendeten Protokolle im Gegensatz zu den standardisierten Protokollen, die von IT-Netzwerken verwendet werden, proprietär sind und damit von IT-Sicherheitswerkzeuge in aller Regel nicht erkannt werden.
Gleichwohl ist es für eine umfassende Cybersicherheit, die IT- und OT-Security umfasst, von größter Bedeutung, den Sicherheitsverantwortlichen nicht noch eine weitere Anwendung zu ihren ohnehin schon schwer zu überblickenden Insellösungen hinzuzufügen, sondern eher einen umfassenden Blick zu ermöglichen. Insofern sollten sich OT-Sicherheitsplattformen nahtlos in die bestehende IT-Sicherheitsinfrastruktur integrieren lassen, etwa in SIEM-, SOAR-, Firewall-, Network-Access-Control- und CMDB-Lösungen.
Mythos 3: OT-Protokollabdeckung ist OT-Protokollabdeckung
Viele OT-Sicherheitsanbieter werben damit, mit einer Vielzahl verschiedener OT-Protokolle kompatibel zu sein. Zwar spielt die Breite der Abdeckung eine entscheidende Rolle, gerade für weit verteilte OT-Netzwerke mit vielen verschiedenen Arten von Assets und Protokollen, ist aber nicht alles: Genauso kommt es auch auf die Tiefe an, insbesondere für die Identifizierung und das Änderungsmanagement von OT-Assets. Nur weil ein Anbieter behauptet, ein bestimmtes Protokoll abzudecken, garantiert das noch lange nicht, dass er in auch der Lage ist, ausreichende Einzelheiten über die Assets, die dieses Protokoll verwenden, zu liefern.
Möchte man beispielsweise eine Bestandsaufnahme aller OT-Assets durchführen, um zu überprüfen, welche Geräte von einer neu identifizierten Reihe gemeinsamer Schwachstellen und Enthüllungen (CVEs; Common Vulnerabilities and Exposures) betroffen sind, reicht eine nur oberflächliche Protokollabdeckung nicht aus.
Fehlt hier die Tiefe, ist man nicht in der Lage, die spezifische Firmware-Version, Seriennummer, Konfiguration und andere Details zu identifizieren, die für die genaue Übereinstimmung eines Assets mit einem CVE erforderlich sind. Entsprechend kann man nicht beurteilen, welche Geräte wie betroffen sind und welche Maßnahmen ergriffen werden müssen, um das Risiko zu reduzieren.
Mythos 4: OT-Netzwerke benötigen keine OT-spezifische Lösung für den Fernzugriff
Es ist durchaus üblich, dass Unternehmen in ihren IT- und OT-Netzwerken dieselbe Fernzugriffslösung verwenden. Dies ist jedoch riskant und kann verschiedene strukturelle und betriebliche Herausforderungen mit sich bringen.
Was die Risiken betrifft, so sind IT-Fernzugriffslösungen häufig agentenbasiert und/oder verwenden Jump-Server für die Verbindung mit OT-Netzwerken. Agenten bedingen bei der Installation und Aktualisierungen OT-Ausfallzeiten, während Jump-Server die Angriffsfläche erweitern, indem sie die Firewall durchbrechen und die ungesicherte Verbindung zwischen IT und OT erhöhen.
„Nur weil ein Anbieter behauptet, ein bestimmtes Protokoll abzudecken, garantiert das noch lange nicht, dass er in auch der Lage ist, ausreichende Einzelheiten über die Assets, die dieses Protokoll verwenden, zu liefern.“
Dave Weinstein, Claroty
Die strukturellen und betrieblichen Herausforderungen ergeben sich vor allem dadurch, dass IT-Lösungen nicht auf die besonderen Anforderungen des OT-Fernzugriffs ausgerichtet sind. Für OT-Verantwortliche haben in aller Regel Verfügbarkeit, Zuverlässigkeit und Sicherheit der Anlagen höchste Priorität.
Daher benötigen sie eine Fernzugriffslösung, die für ihre oft weit verteilten OT-Netzwerke geeignet und einfach zu bedienen ist, den OT-Fernzugriff ohne Ausfallzeiten oder behindernde Arbeitsabläufe sicherstellt und steuert. IT-Lösungen können diese Anforderungen jedoch nicht erfüllen.
Mythos 5: Die Sicherheit eines OT-Netzwerks erfordert Ausfallzeiten
Ausfallzeiten sind ein extrem häufiger, wenngleich auch vermeidbarer Nebeneffekt von OT-Sicherheitsmaßnahmen. Hauptverantwortlich ist dabei zumeist die Verwendung von agentenbasierten Sicherheitswerkzeugen, die in der Regel Ausfallzeiten erfordern, um installiert oder aktualisiert zu werden. Setzt man jedoch auf agentenlose Lösungen, kann man genau dies umgehen. Diese hinterlassen keinen Fußabdruck im Netzwerk, stellen kein Risiko für die Verfügbarkeit, Zuverlässigkeit oder Sicherheit von OT-Infrastrukturen dar und verursachen keine Ausfallzeiten.
Über den Autor:
Dave Weinstein ist Chief Security Officer von Claroty. Vor seiner Zeit bei Claroty war Dave Weinstein Chief Technology Officer von New Jersey, wo er im Kabinett des Gouverneurs tätig war und die Bereitstellung und Sicherung der IT-Services des Staates verantwortete. Dave Weinstein verfügt über einen Bachelor-Abschluss an der Johns Hopkins University und hält einen Master-Abschluss an der School of Foreign Service der Georgetown University.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
