[Englisch] C.I.A. – diese drei Buchstaben stehen für das klassische Verständnis von Cybersecurity: ‚C‘ für ‚Confidentiality‘ (Vertraulichkeit) bedeutet, Inhalte dürfen ausschließlich von den dazu befugten beteiligten Parteien gelesen werden; ‚I‘ für ‚Integrity‘ heißt, dass der Inhalt einer Nachricht nicht verändert werden darf. Und ‚A‘ für ‚Availability‘ (Verfügbarkeit) bedeutet, dass eine Nachricht exakt so lange zur Verfügung stehen muss wie nötig. Geht es um IT-Sicherheit, gelten diese drei Aspekte als gleich wichtig. Im Bereich der OT (Operational Technology) steht jedoch die Verfügbarkeit an oberster Stelle. Das bedeutet, dass nicht nur die Bedrohung evaluiert werden muss, sondern auch die Auswirkungen von Sicherheitsmaßnahmen.

In einem OT-Netzwerk fordert das Prinzip C (Vertraulichkeit), dass der Datenfluss zwischen Sensoren, Controllern und anderen Geräten in einem OT-Netzwerk verschlüsselt wird, z. B. mittels TLS/SSL, damit keine unbefugte Partei auf sensible Informationen zugreifen kann. Dazu könnte auch die Verschlüsselung der Firewall-Konfigurationen gehören, die sensible Informationen über das Sicherheitsdesign des Netzwerks enthalten. Integrität erfordert, dass ausschließlich abonnierte beziehungswesie gekaufte Betriebssysteme und Software auf der Hardware ausgeführt werden – auch als ‚Secure Boot‘ bekannt. Verfügbarkeit heißt, ein Netzwerkkonzept zu nutzen, das Redundanz gewährleistet, um einen Single Point of Failure (SPOF) auszuschließen.

Die Kontrolle des Zugriffs auf Informationen gewährleistet Vertraulichkeit und Integrität. Dabei ist zwischen Autorisierung und Authentifizierung zu unterscheiden. Authentifizierung ist die Überprüfung, ob eine Person oder ein Computer tatsächlich die- oder derjenige ist, als die er sich ausgibt. So wird sichergestellt, mit wem Informationen ausgetauscht werden. Bei der Autorisierung hingegen geht es darum, welche Zugriffsrechte oder Privilegien eine Person oder eine Software haben. Beides – klar definierte Autorisierungsrichtlinien und die systematische Authentifizierung von Benutzern – sind entscheidend, um Intrusionen zu verhindern.

Bedrohungsarten und Schwachstellen

Zur Basis einer Cybersecurity-Strategie gehört, mögliche Bedrohungen zu definieren. Offensichtliche Gefahren sind etwa starke Hacker-Organisationen sowie internationale Spionage oder Kriegsführung. Das bedeutet aber nicht, dass sicher ist, was nicht mit dem Internet oder dem Unternehmensnetzwerk verbunden ist: Rund ein Fünftel der Bedrohungen entsteht durch interne Gefahren. Dafür genügt beispielsweise ein verärgerter entlassener Mitarbeitender, dessen Passwort nicht geändert wurde. So hat beispielsweise im australischen Verwaltungsgebiet Maroochy ein Arbeiter das Netzwerk einer Wasseraufbereitungsanlage mit einem WLAN-Router verbunden, bevor er den Job wechselte. Jahre später, als dieser für eine Stelle im Rathaus abgelehnt wurde, schwemmte er den Park mit 1000 Liter Abwasser.

Doch auch mit guten Absichten können Mitarbeitende Schaden anrichten. Im Hinblick auf die Sicherheit ist es bedeutungslos, ob die Absicht böswillig ist oder nicht – das Ergebnis zählt. Angesichts des dramatischen Anstiegs raffinierter Social-Engineering- und Deepfake-Phishing-Versuche wächst die Gefahr, dass ein Mitarbeiter seinem Manager in einer vermeintlich bedrohlichen Situation helfen möchte, die in Wirklichkeit gefälscht und bösartig ist. Eine große amerikanische Bank machte 2019 Schlagzeilen , als sie versehentlich gut 800 Millionen private Datensätze enthüllte, darunter Führerscheindaten und Bankauszüge.

Ein weiterer Mythos ist die Vorstellung, dass es leistungsstarke Supercomputer und neueste Technologien braucht, um erheblichen Schaden anzurichten. Die Realität ist viel simpler: Kriminalität wird „as a Service“ angeboten. Laut Forbes kostet das Lahmlegen eines internetbasierten Assets für eine Stunde im Darknet nur 165 US-Dollar, eine gültige Kreditkartennummer, die mit einem Konto mit mindestens 10.000 US-Dollar verbunden ist, ist schon für 25 US-Dollar zu haben.

Die rasante Entwicklung krimineller Cyberangriffe mit immer komplexeren und präziseren Angriffsformen stellt eine Herausforderung für Schutzmaßnahmen dar. Ransomware nimmt weiter zu und Social Engineering wird immer raffinierter, gleichzeitig sind Brute-Force-Angriffe nach wie vor üblich. Mittels ‚Advanced Persistent Threats‘ (APTs) werden heimlich über einen längeren Zeitraum private Daten gesammelt. Hat ein Angreifer ein Opfer gefunden, ist es gut möglich, dass er nach weiteren Schwachstellen sucht.

Umgang mit Schwachstellen

Marktforschungen zufolge wird der jährliche Schaden durch Cyberkriminelle weltweit bis zum Jahr 2027 auf 23,82 Billionen US-Dollar ansteigen.

© Quelle: Statista

Es dauert einige Zeit, um eine anfällige Infrastruktur sicher zu machen. Jedoch verringern schon rudimentäre Cybersecurity-Maßnahmen das potenzielle Schadensausmaß und die Folgen eines erfolgreichen Angriffs erheblich. In diesem Zusammenhang ist es wichtig zu wissen, wie aktuell mit Schwachstellen umgegangen wird. Bei der Entwicklung einer Netzwerk-komponente lassen sie sich mit statischen Tests oder Peer Reviews frühzeitig erkennen. Automatisierte Tests dienen dazu, die Widerstandsfähigkeit des Systems gegenüber gängigen Angriffen zu überprüfen. Übliche Praxis sind zudem Penetrationstests, bei denen eine dritte Partei versucht, die Abwehrmaßnahmen systematisch und erkundend zu umgehen. Wird so eine Schwachstelle in einem neuen Produkt entdeckt, kann der Hersteller sie umgehend beheben. Ist das Produkt bereits auf dem Markt, benachrichtigt der Ausführende des Tests in der Regel den Hersteller und gibt ihm Zeit, einen Patch zu erstellen, bevor er das Problem über Gruppen wie MITRE öffentlich macht. Obwohl eine solche verantwortungsbewusste Offenlegung gesetzlich nicht vorgeschrieben ist, ist es in der Sicherheitsbranche doch ein Standardverfahren.

Nicht nur Schwachstellen sind öffentlich zugänglich, es gibt sogar frei nutzbare Suchmaschinen, mit denen auf Basis von Schwachstellen nach Netzwerkausrüstung gesucht werden kann. Das bedeutet: Schwächen von Geräten und Software sind der Öffentlichkeit bekannt und es ist entscheidend zu identifizieren, welche ein Firmware-Update benötigen und dieses zeitnah auszuführen.

Mögliche Schutzmechanismen

Schematische Darstellung der ‚Defense-in-Depth‘-Methode.

© Moxa

Ein gängiger Schutz vor Online-Gefahren ist Verschlüsselung. Sie verhindert, dass bei der Kommunikation zwischen zwei Knoten Informationen abgegriffen werden können. Zum Beispiel kann eine WLAN-Verbindung abgehört werden, doch aufgrund einer WPA-Verschlüsselung lassen sich die übertragenen Inhalte nicht entziffern. Die Kommunikation über offene Netzwerke, z.B. in Hotels oder Flughäfen, muss verschlüsselt sein, um die Vertraulichkeit zu wahren. Doch selbst wenn die Kommunikation privat ist, wie in Heimbüros, sind alle Zwischennetzwerke, die das Internet ausmachen, als Bedrohung zu betrachten.

Eine andere Verschlüsselungsanwendung sind Signaturen. Im Gegensatz zur symmetrischen Verschlüsselung, die denselben Schlüssel für die Ver- und Entschlüsselung verwendet, kommen bei asymmetrischen Methoden unterschiedliche Schlüssel zum Einsatz. So lässt sich eine Kommunikation mit einem geheimen Schlüssel chiffrieren und wer sie mit dem öffentlich verfügbaren Schlüssel dechiffriert, kann ihren Inhalt lesen. Zudem weiß der Empfänger, dass das Dokument vom Eigentümer des geheimen Schlüssels stammt, weil das Dokument eine Signatur trägt. Auf diese Weise können digitale Zertifizierungsstellen (Certificate Authorities, CA) an Entitäten Zertifikate verleihen, die die Authentizität dieser Entität bescheinigen. Das ist zum Beispiel bei Webseiten der Fall, welche HTTPS (Hypertext Transfer Protocol Secure) nutzen. Ist deren Zertifikat ungültig, lässt es sich nicht mit dem öffentlichen Schlüssel der CA entschlüsseln. Dann kann der Browser die Identität der Webseite nicht überprüfen und zeigt sie nicht an. Denn die Webseite könnte eine Nach- ahmung des Originals oder eine bösartige Mittelsperson zwischen dem Benutzer und der Originalwebseite sein.

Sicherheit auf Ebene der Netzwerktopologie

Darüber hinaus gibt es Maßnahmen, die Netzwerktopologien resistent gegen Cyberangriffe machen. ‚Air Gapping‘ wird im OT-Bereich häufig genutzt. Dabei sind das interne Netzwerk und die global vernetzte Außenwelt getrennt. Doch inzwischen gilt Air Gapping als nicht mehr ausreichend, weil sich viele potenziell gefährliche Akteure intern befinden. Wird in Verbindung mit Air Gapping keine physische Zugangskontrolle genutzt – also die Kontrolle darüber, welche Personen ins Gebäude kommen – kann jeder per USB-Stick oder WLAN dem Netzwerk beitreten. Und haben die Netzwerkingenieure eine Liste sämtlicher Computer, auf denen Bluetooth eingeschaltet ist? Die meisten nicht. Damit ist das Netzwerk offen und verbunden.

Der Ausdruck ‚Burg und Graben‘ beschreibt anhand einer mittelalterlichen Metapher ein Netzwerk mit äußerst robuster Perimetersicherheit. Sie basiert auf der Annahme, dass die Außenwelt feindlich gesonnen ist, während das Innere sicher ist. Doch dieses Modell funktioniert nicht mehr. Spätestens seit der Covid-Pandemie nutzen viele Menschen VPNs, um von zu Hause aus zu arbeiten. Der ‚sichere Perimeter‘ verschwimmt dadurch: Schließt er das Heimnetzwerk ein? Und ist das sicher?

Der Autor: Laurent Liou ist Product Marketing Manager bei Moxa.

© Moxa

Ein fortschrittlicheres Design ist ‚Defense-in-Depth‘. Es funktioniert nach dem Zwiebelprinzip: Jede Schicht ist etwas sicherer als die letzte, wobei sich die wichtigsten Operationen und Daten, die auf keinen Fall kompromittiert werden dürfen, in der Mitte befinden. Die ‚Defense-in-Depth‘-Methode bildet die Grundlage für das Purdue-Modell, das auch in Cybersecurity-Richtlinien der EU empfohlen wird.

Eine moderne Architektur ist SASE (Secure Access Service Edge). Dabei befinden sich alle Sicherheitsfunktionen, inklusive Authentifizierung und Autorisierung, nicht in einem zentralen System, sondern am Netzwerkrand.