Umfassende OT-Cybersicherheit in 3 Schritten

Hier finden Sie einen Überblick über die häufigsten Schwachstellen in OT-Umgebungen und welche vorbeugenden Maßnahmen Sie ergreifen können.

1. Bedrohungen durch Insider

Nur allzu oft wird der Fokus in Sachen Cybersicherheit auf externe Bedrohungen gelegt. Dabei wird die Möglichkeit, dass jemand aus den eigenen Reihen böswillig handelt (was oft einfacher ist als man denkt und dadurch natürlich auch wahrscheinlicher), völlig außer Acht gelassen. Eine Begrenzung der Beteiligten bringt leider wenig, wenn sich der Angreifer bereits unter diesen Mitarbeitern befindet.

Mitarbeiter begehen Cyberangriffe aus verschiedensten Gründen: Unzufriedenheit, dem Wunsch nach Rache aufgrund mangelnder Anerkennung durch das Unternehmen (ob objektiv oder subjektiv), Verrat aufgrund von Bestechung oder finanziellen Versprechungen, Kompromittieren durch Bedrohung oder Erpressung, Spaß am Nervenkitzel oder Langeweile.

Und es gibt noch eine weitere Art von Insider-Bedrohungen: Ein Angreifer verwendet gestohlene Anmeldedaten eines vertrauenswürdigen Mitarbeiters. Trotz Überprüfung der Protokolle können Bediener betriebsblind werden, vom Chef oder Kollegen vorgenommene Änderungen an den Produktionsspezifikationen zu wenig Aufmerksamkeit widmenund dabei nicht bemerken, dass die Änderungen tatsächlich von jemandem vorgenommen wurden, der seine Identität durch Missbrauch vertrauenswürdiger Anmeldedaten verschleiert hat.

Doch egal, wo die Bedrohung lauert – der erste Schritt zum Schutz vor Cyberangriffen durch Insider ist Transparenz. Erhält der Bediener bei jeder Änderung eine Warnung, können Änderungen hinsichtlich autorisierter Arbeitsaufträge überprüft werden. So können unerwartete und nicht autorisierte Änderungen – ob böswillig oder nicht – sofort rückgängig gemacht und somit die normale Betriebskonfiguration wieder hergestellt werden.

2. Malware—Ransomware, Viren, Trojaner, Würmer und mehr

Als Malware bezeichnet man vom Menschen geschaffene Code-basierte Programme, die das OT-Netzwerk infizieren und die Produktion auf verschiedene Weise beeinträchtigen können. Die Konsequenzen reichen von ärgerlichen Kleinigkeiten bis hin zum kompletten Stillstand der Produktion auf unbestimmte Zeit.

Malware kann auf verschiedene Weise in das OT-Netzwerk gelangen. Häufig werden schadhafte PDF-Benutzerhandbücher verwendet. Wenn ein Auftragnehmer eine solche Datei in der Werkshalle öffnet, weil er ein Gerät bedienen will, wird die Malware gestartet und infiltriert das gesamte OT-Netzwerk. Malware kann auch über einen geöffneten E-Mail-Anhang eindringen – ein Grund mehr, warum mit dem Internet verbundene Geräte nicht mit Geräten auf Werksebene verbunden sein sollten.

Leider bleibt es meistens nicht bei der Installation der Malware – das ist nur der erste Schritt. Mittels Malware können Konfigurationen geändert, Passwörter erfasst, Verbindungen zu externen Geräten hergestellt werden und noch vieles mehr. Doch durch Bewusstsein und proaktives Handeln in Sachen Cybersicherheit können solche Änderungen erkannt und verhindert werden.

3. Menschliche Fehler

Nicht alle Cyberereignisse sind böswillig. Oft sind es versehentliche Fehler, die negative Auswirkungen auf Netzwerke in eigenständigen Produktionsumgebungen haben können. Es ist ganz schnell passiert: Ein gestresster Bediener gibt als Drehmomentwert 60 psi statt 6,0 psi ein. Auch die Erkennung und Behebung solcher Fehler ist ein wichtiger Grundpfeiler eines Cybersicherheitsprogramms.

4. Defekte Geräte

Ein weiteres häufiges Szenario, bei dem ohne böswilliges Zutun die Integrität des Produktionsnetzwerks beeinträchtigt wird: Ein bevorstehender Ausfall in der physischen Infrastruktur, wie z. B. ein Kabel, Switch oder Gerät (wie SPS oder HMI), das nicht korrekt funktioniert. All diese Faktoren können sich auf die Qualität und die Umsätze einer eigenständigen Produktionsumgebung auswirken.  Diese Geräte können Diagnosedaten weiterreichen, doch diese sieht sich nur selten jemand an.

Viele Bedrohungen der Cybersicherheit - eine Strategie zum Schutz 

Jede Änderung im Netzwerk – ob absichtlich, versehentlich oder böswillig – hinterlässt Spuren. Das Problem ist, dass solche Spuren standardmäßig oft unvollständig, isoliert und irgendwo in Geräteprotokollen verborgen sind oder gar nicht erst erfasst werden. Darum entscheiden sich Bediener immer öfter für die Implementierung von Lösungen, die kontinuierliche Echtzeiteinblicke in den Netzwerkbetrieb ermöglichen. Im Allgemeinen verfolgen solche Lösungen eine dreiteilige Strategie:

• Inventarisierung von vorhandenen Ressourcen und deren Funktionen
• Einrichtung von Schutzmechanismen
• Überwachung von Änderungen oder anormales Netzwerkverhalten

Es gibt grundlegende Kontrollmechanismen für die Cybersicherheit, mit denen Sie das Betriebsrisiko sofort reduzieren und Auswirkungen der oben genannten Bedrohungen direkt erkennen und vermeiden können. 

Schritt 1. Transparenz schaffen 

Beenden Sie das Rätselraten. Verschaffen Sie sich einen Überblick darüber, was Sie haben und was es zu schützen gilt.

Die Transparenzschaffung umfasst:

1. das Verstehen und Dokumentieren der gesamten Netzwerkkommunikation zwischen dem industriellen Steuerungsnetzwerk und dem IT-Netzwerk des Unternehmens
2. das Verstehen und Dokumentieren des gesamten Fernzugriffs auf das industrielle Steuerungsnetzwerk, also der Zugriff eines Anbieters über Wählleitungsmodems, VPNs und Mobilfunkverbindung
3. das Erstellen und Aktualisieren der Bestandsinformationen zu Hard- und Software, einschließlich Hersteller, Fabrikat, Modell, Seriennummer, Firmware-Version und Versionen der installierten Software
4. das Erstellen und Verwalten eines Netzwerktopologie-Diagramms
5. das Verstehen, welche industriellen Protokolle kommunizieren und zwischen welchen Anlagen Kommunikation stattfindet, wie z. B. HMI und SPS
6. das Verstehen, wie Anlagen und Geräte konfiguriert werden und ob sich diese Konfiguration ändert
7. das Identifizieren der Schwachstellen einer Umgebung
8. das Implementieren einer zentralen Protokollverwaltungslösung zur Erfassung von Protokollen aller geeigneten Automatisierungsgeräte, einschließlich Switches, SPS, Routern, Firewalls, HMI usw.

Schritt 2. Einrichtung von Schutzmechanismen

Schutzmechanismen tragen dazu bei, die Auswirkungen von Cyberereignissen zu verhindern oder abzumildern. Zunächst sollten das IT-Netzwerk des Unternehmens und das industrielle Steuerungsnetzwerk voneinander getrennt werden. Dadurch wird jegliche nicht autorisierte Netzwerkkommunikation durch die Verwendung von Firewalls oder Zugriffssteuerungslisten auf Netzwerkgeräten verweigert.

Eine weitere wirksame Schutzmaßnahme ist die System-/Gerätehärtung, also:

• die Deaktivierung aller Dienste, die nicht explizit zur Ausführung des industriellen Prozesses erforderlich sind, also die Deaktivierung unsicherer Protokolle wie Telnet, bei denen der Datenverkehr nicht verschlüsselt wird
• die Aktivierung von Cybersicherheitsfunktionen wie Protokollierung, SSH, SNMPv3 usw.
• die Überprüfung des Geräts/Systems auf ordnungsgemäße Konfiguration, also das Ändern von Standardpasswörtern und die Aktivierung des Passwortmanagements (Länge, Sicherheit, Komplexität usw.)

Schritt 3. Kontinuierliche Überwachung

Als dritter Schritt erfolgt die Implementierung einer kontinuierlichen Überwachung. Genau wie Ihr SCADA Ihre industriellen Prozesse optimiert und steuert, so optimiert und steuert eine Cybersicherheitslösung die Transparenz industrieller Cybersicherheitsereignisse und stellt sicher, dass Ihre Schutzmaßnahmen korrekt funktionieren. Und das ist kein einmaliger Prozess, sondern wird kontinuierlich durchgeführt, da sich Automatisierungssysteme weiterentwickeln und sich Cyberbedrohungen ständig ändern. 

Die industrielle Cybersicherheitsüberwachung hilft bei der Beantwortung der Frage: „Woher weiß ich...?“. Hier einige Beispiele:

• Woher weiß ich, ob sich die Geräte-/Anlagen-Konfigurationen ändern, und wie wird das Gerät durch diese Änderungen in einen unsicheren Zustand versetzt oder meine technische Build-Spezifikation verändert?
• Woher weiß ich, ob sich meine grundlegenden Betriebsdaten (die für die Umgebung, in der sie ausgeführt wird, spezifische Konfiguration eines Geräts oder Systems) ändern?
• Woher weiß ich, ob eines meiner Geräte bald ausfällt?
• Woher weiß ich, ob sich derzeit eine boshaft manipulierte Anlage oder ein gefährliches Protokoll in meinem Kontrollnetzwerk befindet?
• Woher weiß ich, ob sich mein Gefährdungsprofil verändert hat?