Change-, Configuration- und Patch-Management sowie der Betrieb eines Information-Security-Management-Systems (ISMS) bilden in der Office-IT-Welt die Grundpfeiler für einen zuverlässigen Betrieb von IT-Infrastrukturen. Die für die Sicherheit in der OT-Welt (OT steht für Operational Technology) der Industrie- und Produktionsanlagen Verantwortlichen befassen sich hingegen nur selten mit Configuration- und Patch-Management; sie aktualisieren bestenfalls in unregelmäßigen Zeitabständen die Software der eingesetzten OT-Komponenten.

Dies hat nicht zuletzt historische Gründe. Bei der Entwicklung und dem Aufbau einer Maschine stehen die funktionalen Anforderungen im Vordergrund. Ist die Fertigung der Maschine abgeschlossen, installiert der Hersteller die Software, konfiguriert das System, testet die Lösung funktional und liefert sie aus. Anforderungen an das Sicherheitsmanagement und Incident Handling kommen nur am Rande vor. Standardmäßig sind keine Prozesse vorgesehen, um Schwachstellen und die damit verbundenen Risiken und Änderungen der Sicherheitsanforderung im Alltagsbetrieb über den gesamten Verlauf des Lebenszyklus zu überwachen und zu bewerten.

Fakt ist: Speicherprogrammierbare Steuerungen, Sensoren, Aktoren und Server-basierte SCADA-Systeme und andere Komponenten von OT-Netzwerken sind verwundbar. Das liegt auch an den heterogenen Kommunikationsnetzen, denn zu neueren IT-Protokollen kommen zusätzlich weiterhin Legacy-Protokolle zum Einsatz, möglicherweise ‚encapsulated‘ in Ethernet Frames. Authentifizierung und Verschlüsselung fehlen weitgehend und es existieren unbekannte Hintertüren, die geradezu eine Einladung für maßgeschneiderte Angriffe auf OT-Komponenten bilden.

Mehr Sicherheit durch Transparenz

Als eine der ersten Maßnahmen für mehr Sicherheit sollten Unternehmen Transparenz über die vorhandene Produktionsanlage herstellen. Ziel dabei ist es, Anomalien und kritische Zustände in den Prozessen sowie Bedrohungen einzelner OT-Komponenten oder gar der gesamten OT-Infrastruktur schnellstmöglich zu erkennen und Abwehrmaßnahmen – heutzutage meist manuell aufgrund der Verfügbarkeitsanforderungen und des geringen Sicherheitsreifegrades von OT-Systemen – einleiten zu können. Um die vorhandenen Schwachstellen ausfindig zu machen, sollten Unternehmen eine genaue Bestandsaufnahme in ihren OT-Netzen vornehmen und eine kontinuierliche Überwachung implementieren. 

Geeignet für diese Aufgabe sind Tools wie Continuous Threat Detection von Claroty oder SCADAguardian von Nozomi Networks. Unterstützt durch einen externen IT-Security-Spezialisten können Unternehmen mit diesen ‚passiven Tools‘ die eingesetzten Komponenten inklusive Softwareversionen, Kommunikationsprotokollen und Kommunikationspartnern ermitteln. Beide Werkzeuge beeinflussen nicht die regulären Abläufe und die Kommunikation im OT-Netz. Zusätzlich zur Bestandsaufnahme der Vulnerabilities und resultierenden Risiken empfiehlt es sich, Schwachstellendatenbanken hinzuzuziehen. Diese sind für viele SPSen verfügbar und Unternehmen können sich damit einen sehr guten Überblick über die Gefährdungslage der von ihnen eingesetzten Produkte verschaffen.

Die Tools von Nozomi Networks ermöglichen eine Echtzeit-Überwachung von Prozessen und kompletten ICS-Netzwerken und liefern Unternehmen einen genauen Einblick in das operative Geschehen. Netzwerk-Visualisierung und -überwachung zeigen Details von Nodes und Variablen, den Kommunikationsbeziehungen und Inhalte von Datenpaketen. Mit Threat- und Anomaly-Detection lassen sich Verhaltensauffälligkeiten erkennen. Darüber hinaus können Unternehmen auch eigene Regeln erstellen, beispielsweise zur Festlegung, welche Verbindungen nach außen beziehungsweise welche Zugriffe von außen als legitim angesehen werden. Sinnvoll sind eigene Regeln auch für die individuelle Risikobewertung und die Gefahrenerkennung. In sehr umfangreichen Umgebungen kann die verhaltensbasierte Anomalie-Erkennung darüber hinaus die Ergebnisse einer KI- und Analytics-Engine mit einbeziehen.

Um anomales Verhalten, nicht autorisierte Zugriffe und andere Risiken zu erkennen, definieren die Tools Baselines als ‚Normalzustand‘. Bei jeder Abweichung davon erfolgt automatisch ein Alarm, etwa dann, wenn ein neues Endgerät mit unbekannter MAC-Adresse oder zum Beispiel eine neue Modbus-Verbindung diagnostiziert wird. Die Aufgabe regelbasierter Analysen ist es, Cyber-Attacken, aber ebenso Angriffe von innen sowie Malware jeder Art in Echtzeit zu erkennen.

Integration in die IT-Welt eines ­Unternehmens

Auf einen Blick: eine typische IT/OT-Architektur.

© NTT Security

Um die sicherheitstechnische Kluft zwischen der Produktions- und der klassischen IT-Welt zu überwinden, sollten sich die in den OT-Netzen eingesetzten Tools in das Security Operation Center (SOC) des Unternehmens beziehungsweise von spezialisierten Dienstleistern für IT- und OT-SOC-Services einbinden lassen. Damit stellen Unternehmen sicher, dass in der OT-Welt keine neuen Silos entstehen. Letztlich geht es dabei um die Implementierung und Einhaltung einer ganzheitlichen Security-Strategie, die die herkömmliche IT- und die OT-Welt umfasst. Nur damit können die bestehenden Risiken strukturiert erfasst und mitigiert werden. Die Basis bildet ein zentrales Asset Inventory sowie koordinierte reaktive und proaktive Abwehrmaßnahmen bei Incidents und Angriffen.

Ein intelligentes Schwachstellen­management

In der IT-Welt der Office-Umgebungen hat sich ein intelligentes Schwachstellenmanagement seit vielen Jahren bewährt und dessen Methoden und Prinzipien lassen sich auch in OT-Netzen nutzbringend einsetzen. Dieses Smart-Vulnerability-Management beginnt bei der Bestandsaufnahme der vorhandenen SPSen, Sensoren, Aktoren, Server-basierten SCADA-Systemen und anderen Komponenten von OT-Netzwerken. Vorbilder eines ‚OT Asset Inventory‘ sind unter anderem die Konfigurationsdatenbanken (Configuration Management Database, CMDB) der IT-Systeme in der Office-Welt. Das Schwachstellenmanagement bewertet, filtert und priorisiert die mit den einzelnen OT-Komponenten verbundenen Risiken. Diese Risiko-Abschätzung ist ein zentraler Baustein des Smart-Vulnerability-Managements, da jede Fertigungsumgebung und jedes OT-Netz ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse ermittelt werden muss. Darauf bauen alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf, beispielsweise eine strukturierte Planung der weiteren Schritte zur Steigerung der OT-Sicherheit.

Eine mögliche ­Architektur sicherer OT-Umgebungen.

© NTT Security

Das Schwachstellenmanagement nutzt auch systemübergreifende Informationen, die eine Priorisierung ermöglichen. Tritt etwa eine Schwachstelle bei einer bestimmten OT-Komponente auf, muss nicht zwangsläufig ein Patchen mit hoher Priorität erforderlich sein. So liegen möglicherweise durch Echtzeit-Informationen der OT-Threat-Detection-Sensoren Erkenntnisse darüber vor, welche Systeme überhaupt betroffen und welche regulär erreichbar sind. Möglicherweise sind auch über die bereits im Einsatz befindlichen Intrusion-Prevention- und Intrusion-Detection-Systeme Pattern-Updates für diese Verwundbarkeit vorhanden. Setzt ein Unternehmen zudem eine CMDB ein, kennt es auch diejenigen Systeme, die überhaupt kritische Daten beinhalten. Auch durch die damit mögliche Priorisierung können Patch-Prozesse entscheidend optimiert werden.

Ein umfassendes intelligentes Smart-Vulnerability-Managementsystem beinhaltet:

• Visibility: Erfassung aller Komponenten des OT-Netzwerkes inklusive detaillierter Informationen über Aufbau, eingesetzte Software-Versionen, Module, genutzte Protokolle;
• Identifizierung: Echtzeit-Vulnerability-Informationen in einer zentralen Datenbank;
• Priorisierung: eine anforderungsspezifische Schwachstellen-Klassifizierung;
• Management: Maßnahmen-Tracking, Echtzeit-Reports, Dashboards und ­Charts;
• Audit: Auditierbare Prozesse von der Schwachstellen-Identifizierung bis zur -Beseitigung;
• Vulnerability-Threat-Korrelation.

In der Office-IT-Welt gilt als Gebot, Schwachstellen mit Patches zeitnah zu schließen. In den OT-Netzen ist die pauschale Empfehlung, alle Komponenten immer zu aktualisieren, sicherlich zwar wünschenswert, aber praktisch nicht umsetzbar. Die Transparenz und die Kenntnis der bestehenden Risiken und Vulnerabilities ist hier sicherlich der ausschlaggebende Faktor, um mittels risikobasierter Netzwerk-Segmentierung, OT-Angriffserkennung, der Erkennung von Veränderungen in der Infrastruktur und kontrolliertem Zugriff auf das Netzwerk auch von extern Maßnahmen umzusetzen, die den Betrieb der Anlage nicht stören, aber das Sicherheitsniveau deutlich verbessern. Hier sind aber nicht nur die Fertigungsunternehmen gefordert, sondern mehr noch die Hersteller von Steuerungen, Sensoren und Aktoren. Sie müssen bei der Produktentwicklung von Anfang an nach dem Security-by-Design vorgehen: Bereits die fachliche Anforderungsanalyse sollte die aktuell mit Geräten verbundenen Sicherheitsrisiken berücksichtigen, aber soweit wie möglich auch solche, die im weiteren Lebenszyklus auftreten könnten. Die IEC 62443, eine internationale Normenreihe zu industriellen Kommunikationsnetzen, bietet hier eine gute Basis. Eine Zertifizierung der Produkte nach diesem Standard ist möglich und sicherlich ein Wettbewerbsvorteil für jeden Hersteller.

Autor:
Christian Koch ist Senior Manager Governance, Risk & Compliance & IoT/OT bei NTT Security.