IT-Netzwerke in Unternehmen werden in der Regel zunächst kontextbezogen geplant und dann realisiert. Bei der Planung werden üblicherweise auch Sicherheitsaspekte beachtet. Dazu gehört beispielsweise eine Segmentierung mit Hilfe von Subnetzwerken für Server und Arbeitsplatzrechner sowie der zentrale Zugang zum Internet. Vielfach ist sogar ein spezielles WLAN nur für Benutzer vorgesehen. Auch über mögliche Zugriffsrechte innerhalb der gesamten Netzwerkinfrastruktur wird sicherlich ausgiebig nachgedacht, schließlich sind hier die gesetzlichen Datenschutzregeln zu erfüllen – daher ist eine Zugriffsmöglichkeit auf die Personal- oder Kundendatenbank aus dem Besucher-WLAN auch zu unterbinden. Des Weiteren gibt es eine grundlegende Rollenverteilung mit mindestens zwei Personengruppen: eine sehr spezielle, deren Mitglieder sowohl Installationen durchführen als auch die Konfigurationseinstellungen an Systemen und Betriebsmitteln verändern dürfen – also die Administratoren – und alle anderen, die diese Komponenten lediglich bestimmungsgemäß nutzen dürfen. Durch den Komplexitätsgrad der Unternehmens-IT und die Bedeutung für den Alltagsbetrieb gehören zu praktisch jeder IT-Landschaft auch interne oder externe Experten, die für eine möglichst reibungslose 24/7-Verfügbarkeit sorgen. In größeren Unternehmen gibt es sogar eine für die IT-Systeme zuständige Führungskraft. Durch diesen IT-Leiter beziehungsweise Chief Information Officer (CIO) ist die Gesamtverantwortung für den cybersicheren IT-Betrieb organisatorisch auch in der Geschäftsleitung verankert.

Bild 1. Für die Verbindung zwischen OT- und IT-Anwendungen sind verschiedene Szenarien möglich. Aus Sicht der Cybersicherheit sollte zu jeder einzelnen Anwendung möglichst ein passender Verbindungsprozess gehören, der vom jeweiligen Betreiber in das firmeninterne IT-Management eingebunden wird und für den dadurch auch ein Monitoring, Patch- bzw. Update-Management sowie eine Ereigniserkennung existiert.

© SSV

Es ist davon auszugehen, dass sich alle Experten an einem dem Stand der Technik entsprechenden IT-Betriebsprozess orientieren, der neben den Administrationstätigkeiten auch weitere elementare Aufgaben wie Datensicherung, Monitoring, Patch und Incident Management regelt. Dadurch sind in der Regel auch die Schwachstellen und mögliche Risiken in Bezug auf die Cybersicherheit bekannt und unter fachkundiger Beobachtung.

Strukturen schaffen

Unabhängig von der Unternehmensgröße werden vernetzte Automatisierungsanwendungen – vielfach aber auch die jeweils existierenden IoT-Applikationen – gesamtheitlich oder teilweise nicht als direkter Bestandteil der Unternehmens-IT angesehen und daher auch nicht in die Sicherheitsüber- legungen und Managementprozesse der IT-Experten einbezogen. Mit Blick auf die Vorgaben der EU-NIS-2-Direktive zur Netzwerk- und Informationssicherheit erscheint es allerdings sinnvoll, die Operation Technologie (OT) zumindest sicherheitstechnisch der IT zuzuordnen und in die Netzwerksegmentierungskonzepte zu integrieren. Eine technische Herausforderung dabei ist die Vielfalt der OT-Vernetzung. Hierzu sind drei Beispiele zu nennen:

• Direkte Netzwerk-zu-Netzwerk-Verbindung: Eine OT-Anwendung läuft zusammen mit weiteren Softwarefunktionen innerhalb eines separierten OT-Netzwerks. Die IT-Anwendung kann über eine dafür vorgesehene Verbindungsschnittstelle zwischen beiden Netzwerken auf die OT-Anwendung zugreifen. In Ausnahmefällen kann die OT-Applikation über das IT-Netzwerk sogar eine Verbindung ins Internet aufbauen um zum Beispiel eine Fernwartung für bestimmte OT-Baugruppen zu realisieren – das wäre allerdings ein sicherheitskritischer Vorgang, der sich nur sehr schwer kontrollieren ließe.
• Direkte Maschine-in-Netzwerk-Verbindung: Eine einzelne Maschine und somit die OT-Anwendung einer Maschine sind über den jeweiligen Verbindungsprozess direkt in das IT-Netzwerk eingebunden und daher wie jeder andere Service innerhalb des IT-Netzwerks für eine IT-Anwendung nutzbar. In Abhängigkeit von den Einstellungen des zuständigen IT-Administrators kann der Maschine auch ein - sicherheitskritisch bedenklicher - Internetzugriff gestattet werden, damit beispielsweise für eine Predictive-Maintenance- oder Condition-Monitoring-Applikation eines externen Servicepartners die gewünschte Fernzugriffsmöglichkeit existiert.
• Indirekte Maschine-an-Netzwerk-Verbindung. Die Maschine wurde bereits mit einem integriertem Mobilfunkmodem oder ähnlichem geliefert und verbindet sich nach eigenem Ermessen per Wireless Wide Area Network (WWAN) mit einer Cloud beziehungsweise einem Cloud-Service. Die IT-Anwendung des Maschinen- bzw. IT-Netzwerkbetreibers hat per Internet ebenfalls Zugriff auf diese Cloud, um etwa (indirekt) mit der Maschinen-OT-Anwendung zu kommunizieren. Der Betreiber kann in diesem Fall lediglich die Verbindung zwischen der IT-Anwendung und einer Cloud kontrollieren. Die OT-Verbindungsschnittstelle beziehungsweise der Verbindungsprozess zur Cloud wird in der Regel vom OT-Anwendungsanbieter verwaltet. Das sind in der Regel der Maschinenhersteller oder der IoT-Servicepartner.

Zielsetzung: Defence in Depth

Für die cybersichere OT/IT-Integration eignet sich eine Vorgehensweise, die zunächst den Datenfluss jeder einzelnen Anwendungsverbindung im Bild 1 analysiert und dokumentiert – bei Bedarf unter Zuhilfenahme spezieller Werkzeuge wie Netzwerk-Sniffer, die auch OT-Protokolle wie Modbus, OPC UA oder auch Profinet erkennen, um die Voraussetzungen für die weiteren Schritte zu schaffen. Die Zielsetzung dabei ist, für jede einzelne OT/IT-Verbindung einen Verbindungsprozess zu entwerfen, der die individuellen Sicherheitsrisiken berücksichtigt. Die Tabelle bietet eine Übersicht der Sicherheitsrisiken für OT- und IT-Anwendungen in Anlehnung an das STRIDE-Modell. Damit lassen sich effektive Bedrhungsanalyen für OT/IT-Integrationen durchführen, die individuellen Risiken mit Hilfe einer Metrik bestimmen und geeignete Gegenmaßnahmen entwickeln.

Mit dem Detailwissen über den Datenfluss zwischen OT- und IT-Anwendungen sowie der dafür genutzten Protokolle, plus einer möglichst umfassenden Bedrohungsanalyse, lässt sich anschließend ein kontextbezogener Verbindungsprozess entwickeln. Dabei ist zu berücksichtigen, dass es hinsichtlich der Bedrohungen und Risiken für IT- und OT-Anwendungen deutliche Unterschiede gibt. Bei Angriffen in IT-Umgebungen kommen sehr oft Spoofing und Rechteausweitung als Methoden in Frage, um unberechtigterweise auf bestimmte Datenbestände zuzugreifen. Das kann für das betroffene Unternehmen zu erheblichen Schäden führen. Im OT-Umfeld ist hingegen ein unerlaubter Datenzugriff weniger riskant: die Vertraulichkeit der Condition-Monitoring-Zustandsdaten einer Maschine hat für Angreifer einen überschaubaren Wert; die Gewährleistung der Datenintegrität ist vielfach das größere Problem. Andererseits bieten OT-Systeme zahlreiche Denial of Service-Angriffsmöglichkeiten, über die sich ebenfalls sehr großer Schaden anrichten lässt, beispielsweise durch die Manipulation des Echtzeitverhaltens einer Steuerung oder Sensormanipulationen. Insofern erfordert eine effektive Bedrohungsanalyse in der Praxis auf jeden Fall die Zusammenarbeit zwischen IT- und OT-Experten.

Bei der dann folgenden Umsetzung eines sicheren Verbindungsprozesses lassen sich die in der IT-Welt üblichen Segmentierungskonzepte mit virtuellen LANs (VLANs), speziellen Firewall-Systemen – wie NG-, Layer 4- oder Layer 7-Firewall – sowie universell einsetzbare Gateway-Systeme nutzen. Unter Umständen sind allerdings sehr spezielle Baugruppen, wie unidirektionale Gateways erforderlich, um OT- und IT-Netzwerke sicher zu isolieren. Dabei ist zu berücksichtigen, dass es für viele Baugruppen innerhalb des OT-Netzwerks nicht immer einen Patch gibt, um erkannte Schwachstellen im Rahmen eines Software-Updates zu beseitigen.

Der Autor: Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

© SSV

Zusammen mit dem Verbindungsprozess sollten möglichst auch Systembausteine zur Protokollierung des OT/IT-Datenverkehrs sowie Maßnahmen zur Erkennung sicherheitsrelevanter Ereignisse implementiert werden - siehe hierzu die IEC 62443-Mindestanforderungen zur Protokollierung und Cyberangriffsdetektion sowie »SzA« des BSI. Ein solcher OT/IT-Verbindungsprozess bildet eine solide Ausgangsbasis, um die gesamte OT/IT-Cybersicherheit kontinuierlich zu einem mehrschichtigen Defence in Depth-Konzept weiterzuentwickeln. Mehr dazu im nächsten Teil dieser Serie.