Die physische Trennung zwischen IT- und OT-Kommunikationsnetzwerken (Operational Technology) ist angesichts smarter Fabriken, Predictive Maintenance und Industrie 4.0 kein zeitgemäßes Sicherheitskonzept mehr. Die Folge vernetzter Umgebungen ist, dass Angreifer immer häufiger einen Weg in die immer komplexeren industriellen Produktions- und Prozesssteuerungsumgebungen finden. In Office-Netzen können bei Angriffen alle Verbindungen für eine kurze Zeit unterbrochen werden, um den Angreifer abzuwehren. Im OT-Netz ist das nicht möglich, denn hier ist die Verfügbarkeit der Anlagen das Wichtigste. Daher setzt sich inzwischen eine andere Schutzstrategie durch: Der Zero-Trust-Grundsatz ‚never trust, always verify‘ gewinnt an Bedeutung. Wo bisher galt „Wer in meinem Netz ist, dem kann ich vertrauen“, muss künftig gelten „Ich vertraue erst einmal niemandem“ (Zero Trust Network Access, ZTNA). Dies ist insbesondere bei älteren Produktionsanlagen (Brownfield) wichtig, die immer stärker vernetzt werden. Hier sind fünf Grundsätze hilfreich:

• Es ist nicht mehr nur der zentrale Zugang zum Netzwerk zu schützen. Die besondere Aufmerksamkeit gilt auch den Zielsystemen und den einzelnen Netzwerk-Assets. Dafür müssen alle Aktivitäten im Netzwerk überwacht und protokolliert werden. Im Kern geht es um Prävention und frühe Detektion.
• Die Transparenz im Netzwerk muss verbessert werden: Welche Assets befinden sich im Netzwerk und welche haben einen höheren Schutzbedarf? Es ist zu klären, wer mit wem sprechen und wer was tun darf.
• Für Identitäten, Rollen und Rechte muss das Minimalprinzip gelten. Erlaubt ist nur, was notwendig ist.
• Für die Kommunikation dürfen nur spezifische Dienste zugelassen und nicht ganze Systeme oder sogar Netze gekoppelt werden.
• Erforderlich ist eine schnelle und anpassungsfähige Schutzstrategie.

Diese Grundsätze erhöhen die Anforderungen an die Administration des OT-Netzes weiter. Weil die OT-Opera-toren mit den erforderlichen Regeln für das Netz, die Dienste und Assets schon heute überfordert sind, ist eine intelligente Unterstützung notwendig.

Ganzheitliches intelligentes Bedrohungsmanagement

In einer Zero-Trust-Strategie reicht es nicht mehr, mit Systemen für Intrusion Detection (IDS) und Intrusion Prevention (IPS) Auffälligkeiten im Datenstrom zu analysieren. Schickt beispielsweise eine beliebige Netzkomponente einen Steuerungsbefehl an eine Zentrifuge, ist im Datenstrom selbst nichts Auffälliges zu erkennen und es wird deshalb nichts detektiert. Es wird nicht überprüft, ob diese Netzkomponente ein solches Signal versenden darf oder ob dieses Verhalten ungewöhnlich ist. So können Angreifer Anlagenkomponenten im Netz übernehmen, ohne dass dies sofort auffällt. Deshalb wird es essenzieller, Angriffe früh zu erkennen und einzudämmen. Dies wird möglich, indem das Verhaltensmuster aller Netzwerkgeräte (Assets) überwacht und definierten Regeln zugeordnet wird. Dafür muss jederzeit bekannt sein, wer mit wem kommuniziert und welche Verbindungen erlaubt sind. Zusätzlich helfen unterschiedliche Sicherheitszonen, für besonders sensible Daten und Systeme einen höheren Schutzstatus einzurichten.

Der erhöhte Überwachungs- und Regelungsbedarf ist mit herkömmlichen manuellen Maßnahmen künftig nicht mehr beherrschbar. Den Operatoren der OT-Netzwerke ist es schon heute kaum noch möglich, der Vielzahl an Aufgaben und Anforderungen gerecht zu werden. Oft fehlt es zudem an Erfahrung und Zeit, sich das erforderliche Wissen anzueignen. Die Lösung liegt in intelligenten Systemen, die den OT-Betreiber beziehungsweise IT-Administrator in seinen Aufgaben unterstützen. Mittels Data-Analytics und Threat-Intelligence übernehmen solche Werkzeuge viele manuelle Aufgaben, automatisieren Tätigkeiten und ergänzen existierende Firewall-Lösungen. Was diese Tools leisten, zeigt das Beispiel des cognitix Threat Defender von Genua. Er erlaubt, ein automatisiertes Netzwerkmonitoring einzurichten und den Netzwerkverkehr von allen Geräten im Netzwerksegment mittels Anomalie-Erkennung zu analysieren. Der Threat Defender zeigt die Entwicklung des Traffics in Echtzeit und liefert Informationen über die verursachenden Applikationen. Dabei werden Netzwerkanalyse, Intrusion Detection, Asset Tracking und eine dynamische Policy Engine in einem System zusammengeführt.

Netzwerk nach Funktionen segmentieren

Bild 2: Der Screenshot zeigt den Ausschnitt eines Regelwerks im ‚cognitix Threat Defender‘. Zusammengefasst in abgeschlossene Policies (Richtlinien) sorgen aufeinander aufbauende Rules (Regeln) für Ordnung im Netzwerk.

© Genua

Mit Hilfe eines Expertensystems und intelligenten Heuristiken modelliert der Threat Defender das Verhalten im Netzwerk und ordnet es bestimmten Ver-haltensmustern zu. Vom OT-Operator können dann Regeln festgelegt werden. Sind alle Netzwerkgeräte erfasst und wird das Verhaltensmuster dieser As-sets überwacht, kann der Operator die Geräte nach Funktionen und Aufgaben markieren und taggen. Damit ist eine dynamische und transparente Segmentierung des Netzwerkes möglich und nicht mehr nur am Übergang zu einem anderen Netzwerksegment. Durch das Markieren von Netzwerkkomponenten kann der Operator deren Security-Eigenschaften einzeln festlegen. Wie ein Gerät mit den anderen Teilnehmern des gleichen Netzwerkes oder anderer Netzwerke kommunizieren darf, entscheidet sich nun anhand der Funktion und des Verhaltens. Durch entsprechende Regeln kann der Operator das Verhalten der Netzkomponenten definieren, um eine unerwünschte Kommunikation zu verhindern.

Für ein OT-Netz ist außerdem relevant, dass sich das Verhalten der Geräte je nach Betriebszustand der Anlage verändern kann. Deshalb können Regeln spezifische Festlegungen für Störfälle, Fernwartungszugriffe oder Instandhaltungsmaßnahmen umfassen. Wird eine neue unbekannte Kommunikation vom System erkannt, ist diese zunächst grundsätzlich verdächtig und löst einen Alarm aus. Die neue Kommunikation kann nun automatisch gedrosselt oder komplett unterbrochen werden, während alle bekannten und erlaubten Prozesse unverändert weiterlaufen. Gerade das Drosseln einer unbekannten Kommunikation ist ein guter Weg, um den Angriff zu verlangsamen und Zeit für die Bewertung der Kommunikation zu gewinnen.

Das Chaos im Netzwerk beherrschen

Die Annahme, dass OT-Netze statisch sind und praktisch keinen Änderungen unterliegen, gilt kaum noch. Das Beispiel der Automobilindustrie zeigt, dass Produktionsanlagen mehr und mehr sowie dynamisch angepasst werden. Für Überwachung und Monitoring werden zunehmend Fremddienste aus der Cloud eingebunden, außerdem erhöhen immer mehr Sensorik sowie das Einbinden von IoT-Devices die Komplexität der OT-Netze weiter. Gleichzeitig steigen die Anforderungen an Netzverfügbarkeit und Leistungsfähigkeit. Verändern sich OT-Netzwerke dynamisch, wird es für OT-Operatoren künftig noch schwieriger, diese zu überblicken und zu verstehen. Sie benötigen zusätzliche Unterstützung bei der Analyse immer größerer Datenmengen, der Bewertung von Warnmeldungen sowie der Auswahl geeigneter Maßnahmen. Hinzu kommt die Anforderung, Netzwerkstruktur und Firewall-Regeln angesichts dynamischer Veränderungen aktuell zu halten.

Mit erweiterten Methoden der KI (Künstlichen Intelligenz) und des ML (Machine Learning) kann das Chaos im Netzwerk auch langfristig beherrscht werden. Im Forschungsprojekt Wintermute (siehe Kasten) sollen KI- und ML-gestützte Methoden künftig drei wesentliche Probleme adressieren:

• die Lagebeurteilung – Klassifizierung des Systemverhaltens sowie Rückmeldung über Auffälligkeiten,
• die Policy Definition – individuelle Regelerstellung,
• die Durchsetzung von Sicherheit in komplexen Netzen.

Dabei gewinnt insbesondere die Nutzerfreundlichkeit (Usability) weiter an Bedeutung, denn es geht darum, hochgradig vernetzte Systeme besser zu verstehen, um Risikoanalyse und Risikomanagement sowie die Bedienbarkeit zu vereinfachen. Ziel ist es, den OT-Operator dabei zu unterstützen, geeignete Regeln und Sicherheitspolicies festzulegen. KI soll ihm außerdem helfen, den Umgang mit dynamischen Veränderungen im Netz zu erleichtern. Dabei strebt das Forschungsteam des Wintermute-Projekts kein automatisches System für die Netzwerksicherheit an, vielmehr sollen Technologien geschaffen werden, die dem Administrator als Unterstützung dienen. Die wesentlichen Ansätze im Rahmen des Forschungsprojekts sind nachfolgend beschrieben.