Die industrielle Produktion vollzieht die digitale Transformation, indem sie auf allen Ebenen stetig mehr physische Geräte vernetzt. So lassen sich die Vorteile der M2M-Kommunikation und des maschinellen Lernens nutzen. Aber: Die automatisierte Vernetzung bringt hochkritische Produktionsumgebungen hervor. Im Falle eines Cyberangriffs droht der Stillstand ganzer Anlagen, wie die Studie ‚Cybersecurity-Level in OT‘ von tech consult zeigt: Von den 26 % der Industrieunternehmen, die innerhalb der letzten zwölf Monate Hackerangriffe auf ihre Produktionsinfrastruktur verzeichneten, erlebten 57 % eine unmittelbare Unterbrechung der Produktion. Dies verursacht enorme Kosten – und in der Produktion von Gefahrstoffen können OT-Cyberangriffe nicht nur finanzielle Einbußen zur Folge haben, sondern auch Umweltschäden und die Gefährdung von Menschenleben nach sich ziehen.

Gefährliche Funktionslücken

Wie wichtig die Visualisierung der OT-Netzwerke für die Cybersicherheit ist, zeigt das Beispiel eines weltweit tätigen Produzenten von Spezialchemikalien mit Standorten in vielen Ländern: Unternehmensweit sind die Produktionslinien miteinander vernetzt, wobei Dutzende Anlagen mit unterschiedlichen Systemtypen und Topologien laufen. Das bestehende Cyber-Sicherheitssystem deckte in der Vergangenheit zwar die IT-Netzwerke gut ab – auf die OT-Netzwerke angewendet, zeigten sich allerdings gefährliche Funktionslücken. Beispielsweise konnte das System die spezifischen Netzwerkprotokolle nicht verarbeiten und eine vollständige Erfassung sowie Transparenz aller Anlagen an jedem Standort fehlte.

Weltweit tätige Unternehmen mit verteilten Standorten benötigen eine aussägekräftige Visualisierung ihrer OT-Infrastruktur.

© Radiflow

 Um Angriffe auf seine verteilten OT-Netzwerke frühzeitig erkennen zu können, identifizierte das Unternehmen nun die Anforderungen: Das Cybersecurity-System sollte sämtliche OT-Assets kontinuierlich überwachen, Bedrohungen genauso wie Anomalien erkennen, aktiv vor ihnen warnen, Logik-änderungen an allen industriellen Steuerungen verfolgen und schließlich OT-Cyber-Alarme an das ‚Security Informa-tion and Event Management System‘ (SIEM) melden. Das Unternehmen Radiflow, das sich auf die Cybersicherheit kritischer industrieller Geschäftsabläufe spezialisiert hat, fand auf Basis ihrer Software ‚Industrial Threat Detection System‘ (iSID) eine Lösung für die spezifischen Herausforderungen: An einem zentralen Standort eingesetzt, erkennt iSID gleichzeitig Bedrohungen an beliebig vielen entfernten Standorten oder alternativ lokal an jedem einzelnen Standort. Auch eine Kombination aus beiden Lösungen ist möglich.

Im Fall des Herstellers von Spezialchemikalien wurde lokal in jeder Produktionsanlage eine iSID-Einheit installiert. Da jede Anlage mehrere Subnetze umfasst, erhielt jedes Subnetz zusätzlich einen ‚iSAP Smart Collector‘. Dieses Gerät ermöglicht es, einen gespiegelten Strom des gesamten TCP/IP-Datenverkehrs an das lokale iSID zu senden. An jedem Standort installiert, empfangen die iSAP Smart Collectors den gesamten LAN-Verkehr vom lokalen Switch und filtern die Daten. Sie werden komprimiert, um die Überlastung des Netzwerks zu verhindern, und über VPN-Tunnel an das zentrale iSID gesendet. Zudem nutzt iSID die gesammelten TCP/IP-Daten, um ein Modell der Netzwerktopologie zu visualisieren. Diese Visualisierung des Netzwerkes enthält alle Anlagen, Ports und Protokolle mit ihren vollständigen Eigenschaften und ordnet diese jeweils den entsprechenden Geschäftsprozessen zu.

Überwachung des Netzwerkverkehrs

iSID ist ein passives System, das heißt, sein Einsatz wirkt sich nicht auf den Netzwerkverkehr oder die Leistung aus. Es erfasst das Netzwerk – in der Regel über eine Port-Spiegelung – und identifiziert auf Grundlage des gesammelten Datenverkehrs die Anlagen, die Verbindungen zwischen den Anlagen sowie die Netztopologie.

Produktionsstraßen in der Industrie werden durch Industrial Control Systems (ICS) gesteuert. iSID ist auf diese ICS-Netzwerke ausgerichtet und führt auch eine Deep Packet Inspection für SCADA-Protokolle durch, um tiefergehende Daten zu erhalten.Durch die kontinuierliche Überwachung des Netzwerkverkehrs erkennt das System Anomalien und Signaturen bösartiger Aktivitäten und meldet diese an das Security Operations Center (SOC) des Kunden. Dieser kann dann umgehend die jeweils notwendigen Schutzmaßnahmen ergreifen. Die zentrale Plattform ICEN – Monitoring und Management von verteilten Netzwerken – kann mehrere iSID-Systeme überwachen und eignet sich dadurch gut für den Einsatz in größeren Industrieunternehmen.

Datenbasis statt Zufallsentscheidungen

Unternehmen, die Bedrohungen erkennen und an ihr SIEM melden, bevor ein Schaden entsteht, haben bereits eine gute Basis für den Schutz ihrer OT-Infrastruktur. Es gilt jedoch, auch zukünftigen Bedrohungslagen gewachsen zu sein. Unternehmen sollten dafür die Sicherheitsarchitektur so optimieren, dass sie den Angreifern stets einen Schritt voraus sind.

Ein wirkungsvolles OT-Sicherheitssystem bietet industriellen Betreibern eine vollständige Netzwerkvisualisierung sowie wichtige Erkenntnisse zur Risikominderung.

© Radiflow

Dies gelingt durch eine Priorisierung der Sicherheitsmaßnahmen, die unter Berücksichtigung von Budget-Beschränkungen und begrenzten zulässigen Betriebsausfallzeiten implementiert werden müssen. Im McKinsey-Bericht‚ Risk-based approach to cybersecurity‘ heißt es: „Die fortschrittlichsten Institutionen gehen von einem ‚maturity based‘ zu einem ‚risk based‘ Ansatz für das Management von Cyberrisiken über.“ Bei einem risikobasierten Netzwerkschutz konzentrieren sich die Aktivitäten – basierend auf Bedrohungsdaten – auf zwei Faktoren: erstens auf die Angreifer und Angriffstechniken, die das Netzwerk tatsächlich bedrohen, und zweitens auf die kritischsten Geschäftseinheiten. Die Risikobewertung des Netzwerks ergibt sich aus der Summe der Wahrscheinlichkeit eines Angriffs – bezogen auf jede einzelne Geschäftseinheit –, gewichtet mit der Auswirkung, die ein Angriff verursacht (finanzieller Verlust oder anderer Schaden). Das Ziel ist eine ständig aktualisierte Risikobewertung sowie eine priori-sierte Liste von Maßnahmen, die die Kosteneffizienz der OT-Sicherheitssysteme sicherstellen, ohne irrelevante oder überzogene Kosten zu generieren. So lassen sich die Aus-gaben für die Cybersicherheit optimieren, indem Angriffe auf automatisierte Netzwerke simuliert und die effektivsten Abwehrmaßnahmen priorisiert werden.

Bedrohungslage erfordert ganzheitlichen Ansatz

Die aktuelle Bedrohungslage erfordert einen ganzheitlichen Ansatz zur Absicherung industrieller Abläufe. Er muss mehr leisten als die bloße Alarmierung bei Cyber-Angriffen. CISOs sollten die Netzwerksicherheit tiefer in die langfristige Planung und den täglichen Betrieb integrieren. Hierfür ist es wichtig, dass sie ihre Risikoposition und ihre einzigartige Bedrohungslandschaft auf Basis verlässlicher Daten zielgenau überwachen und bewerten.

Ilan Barda ist Gründer und CEO von Radiflow in Tel Aviv, Israel.

© Radiflow

Auf OT-Netzwerke spezialisierte Plattformlösungen kombinieren den Bedrohungsgrad für jedes einzelne Gerät und jede Geschäftseinheit sowie die Auswirkungen eines Angriffs auf jede Geschäftseinheit. Algorithmen simulieren zehntausende Angriffsszenarien und können so das Netzwerkrisiko genau berechnen. Radiflows IEC 62443-konforme ‚Cyber Industrial Automated Risk Analysis Platfom‘ (CIARA) beispielsweise erstellt auf dieser Grundlage eine einfach zu befolgende Roadmap zum Erreichen des höchsten Sicherheitsniveaus pro ausgegebenem Euro. Eine automatische Optimierung gewährleistet die Einhaltung der Sicherheitsanforderungen jeder Geschäftseinheit bei gleichzeitiger Berücksichtigung des tolerierbaren Risikoniveaus des jeweiligen Unternehmens.