Operational Technology: IT-Sicherheit als Embedded System umsetzen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Operational Technology: IT-Sicherheit als Embedded System umsetzen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Vernetzte Komponenten in der Produktion sind häufig unsicher. Das ist nicht erst bekannt, seitdem Fertigungen durch Angriffe wie NotPetya oder EKANS lahmgelegt wurden. Wie ein herstellerunabhän­giges Netzwerkmonitoring mit Anomalieerkennung Stabilität und Sicherheit in der Produktion steigern kann.
Operational Technology

Immer wieder werden neue Sicherheitslücken in Industriekomponenten bekannt. So meldete Rhebo im Februar 2020 an den Hersteller Beckhoff Automation eine Schwachstelle auf dem Buskoppler BK9000, die für Denial-Of-Service-Angriffe ausgenutzt werden kann. Im Durchschnitt identifiziert Rhebo innerhalb der ersten zwei Wochen bereits 23 Schwachstellen und Sicherheitsvorfälle in der Automatisierungs- und Steuerungstechnik (Operational Technology) von Industrieunternehmen und kritischen Infrastrukturen. Mit den im Juni 2020 veröffentlichten Ripple20-Schwachstellen geraten zusätzlich IoT-­fähige Geräte aller Hersteller in den Fokus.

Proprietäre Protokolle behindern sichere Produktions-IT

Das Sicherheitsproblem wird durch die steigende Komplexität und Variabilität der Komponenten verschärft. Sicherheitsfunktionen – soweit überhaupt vorhanden – sind selten zwischen den Herstellern abgestimmt. Zudem erschweren proprietäre Protokolle die Härtung der Produktions-IT und damit verbundenen Automatisierungs- und Steuerungstechnik (Operational Technology, kurz OT).

Diese Komplexität birgt ein weiteres, meist gänzlich unbeachtetes Problem: technische Fehlerzustände. Fehlkonfigurationen, Konflikte zwischen den Geräten und Werkeinstellungen, die zum Teil eine erheblich höhere Netzwerklast verursachen, gefährden die operative Stabilität der Fertigung. Die Verantwortlichen für die IT-Sicherheit in der Produktion stehen dabei vor der Herausforderung, Anlagen mit Lebenszyklen von 20 Jahren gegen sich rasant entwickelnde Cybergefahren zu verteidigen. Cybersicherheit ist daher nur herstellerübergreifend und integriert umsetzbar.

Operational Technology
Das industrielle Netzwerkmonitoring wird alleinstehend oder über bestehende Komponenten in die Operational Technology integriert. Bild: Rhebo

Integrierte IT-Sicherheit geht über Firewalls hinaus

Firewalls und Intrusion-Detection-Systeme (IDS) haben in den vergangenen Jahren nur bedingt Abhilfe geschaffen. Sie funktionieren, solange die Angriffsmuster bekannt sind. Wird eine offiziell unbekannte Schwachstelle ausgenutzt oder ein neues oder abgewandeltes Angriffsmuster verwendet, kommen diese Lösungen schnell an ihre Grenzen. So entstehen nach wie vor die meisten Ransomware-Vorfälle in Produktionen durch Spillover von der Unternehmens-IT.

Auch Angriffe und Manipulationen durch Innentäter sowie technische Fehlerzustände erkennen Firewalls & Co. nicht. Da die einzelnen Produktionskomponenten selten Kapazität für Sicherheitsfunktionen aufweisen, ist die Operational Technology für Angreifer und Schadsoftware eine offene Spielwiese. Integrierte IT-Sicherheit in der Produktion umfasst deshalb ein dediziertes, ganzheitliches Netzwerkmonitoring der OT mit Anomalieerkennung. Ein solches System ergänzt Firewalls und IDS in idealer Weise, um die oben skizzierten Lücken zu schließen.

Sichtbarkeit und Sicherheit in der Operational Technology schaffen

Wie der OT-Sicherheitsexperte Sebastian Rohr in seinem Buch „Industrial IT Security“ ausführte, herrscht in der OT ein Mangel an Dokumentation und Überwachung. Weder sind alle Komponenten, Netzteilnehmer und Abhängigkeiten bekannt noch herrscht Klarheit über die Aktualität der eingesetzten Betriebssysteme. Die einzige Möglichkeit, etwas über die Kommunikation aus der OT zu erfahren, sind Firewalls an den Netzwerkgrenzen. Innerhalb der OT stehen die Verantwortlichen dagegen vor einer Blackbox.

Industrielles Netzwerkmonitoring bringt Licht in die OT. Éine Netzwerkmonitoring-Lösung wird in die OT integriert und ist auf die vorherrschenden Kommunikationsprotokolle spezialisiert. Dadurch kann jegliche Kommunikation innerhalb der OT überwacht werden – auch Datenaustausch, der direkt zwischen den Anlagen stattfindet und nicht über die Firewalls an den Netzwerkgrenzen läuft.

Das Netzwerkmonitoring identifiziert alle aktiven Geräte, Komponenten und Systeme innerhalb der OT und dokumentiert deren Betriebssysteme, Verbindungen und Kommunikationsverhalten. Durch die Identifikation der Betriebssysteme erfolgt auch ein Abgleich mit der internationalen Schwachstellendatenbank CVE. Verantwortliche für OT-Sicherheit erhalten so umfassende Informationen für ein detailliertes Asset Management sowie über bekannte Schwachstellen in der Infrastruktur.

Operational Technology
Beispiele für sicherheitsrelevante (rot) und betriebstechnische (blau) Anomalien in der Produktions-IT. Bild: Rhebo

Erkennen neuartiger Angriffe und schädlicher Vorgänge

Die Anomalieerkennung erlaubt eine Echtzeit-Identifikation neuartiger Angriffe, die von den Firewalls übersehen werden. Anstelle der signaturbasierten Gefahrensuche der Firewalls nutzt die Anomalieerkennung eine Verhaltensanalyse. Sie lernt das gängige, zu erwartende Kommunikationsmuster der OT und meldet jede Abweichung von diesem. Dadurch werden auch Angriffe oder schädliche Vorgänge sichtbar, die neuartig sind oder durch Innentäter erfolgen. Das ist bei Spillover-Effekten durch beispielsweise NotPetya oder EKANS, aber auch im Zuge vermehrter Home-Office-Arbeit wichtig.

Im Homeoffice sind die Arbeitsrechner in der Regel mit dem privaten Heimnetz verbunden. Dieses ist jedoch selten ausreichend gesichert. Cyberkriminelle können dadurch einfacher den Arbeitsrechner manipulieren und von dort hinter die gesicherten Netzwerkgrenzen des Unternehmens gelangen. Die Mitarbeitenden tragen sozusagen den Hacker in die Firma.

Stabilität der Operational Technology gewährleisten

Ein weiterer Aspekt der integrierten Anomalieerkennung ist die Stabilität der Operational Technology. Spezialisierte OT-Monitoringlösungen wie Rhebo Industrial Protector erkennen neben Sicherheitsvorfällen auch technische Fehlerzustände anhand der überwachten Kommunikation. So werden Fehlkonfigurationen, Überlastzustände und Kommunikationsfehler sichtbar, welche die Stabilität der Produktion – insbesondere der Echtzeitprozesse – gefährden.

Da die Produktion nicht gestört werden soll, arbeitet das Netzwerkmonitoring mit Anomalieerkennung passiv und rückwirkungsfrei. Das ist sinnvoll, da nicht jede Anomalie automatisch einen kritischen Sicherheitsvorfall darstellt, der geblockt werden muss oder für den die gesamte OT heruntergefahren werden muss. Die Entscheidungshoheit, wie mit gemeldeten Anomalien umgegangen werden soll, verbleibt daher bei den Betreibern des Netzwerkmonitorings.

OT-Sicherheit übergreifend und lückenlos umsetzen

Abhängig vom Anbieter des industriellen Netzwerkmonitoring funktioniert die Lösung zudem herstellerübergreifend. Mittlerweile wurden viele Anbieter von großen Industrieunternehmen übernommen. Nur wenige Anbieter wie Rhebo gewährleisten nach wie vor Herstellerunabhängigkeit und somit bedingungslose Objektivität beim Monitoring. Dadurch wird die Kommunikation auch in einer äußerst komplexen OT lückenlos und übergreifend überwacht.

Die Integration erfolgt in der Regel über alleinstehende Hardware-Software-Pakete, die beispielsweise an Switches oder Router angeschlossen werden. Seit über zwei Jahren steht zudem die Option zur Auswahl, das Monitoring als reine Software oder App auf bestehenden OT-Komponenten zu integrieren. So kann Rhebo Industrial Protector übergreifend auf den weit verbreiteten Industriekomponenten von Bosch Rexroth, Siemens Ruggedcom, Phoenix Contact, Wago und Cisco integriert werden.

Für die leistungsstarken Gateways von Insys icom ergänzt die Lösung auf Wunsch die integrierte Firewall des Herstellers. Für IBM-Komponenten kann das Netzwerkmonitoring im IBM QRadar App-Shop hinzugebucht werden. Das vollständig integrative Netzwerkmonitoring mit Anomalieerkennung erfordert daher keinen kostenintensiven Infrastrukturumbau in der Produktion, denn das Sicherheits- und Stabilitäts-Upgrade der OT erfolgt reibungslos, ohne Produktionsunterbrechung oder zusätzliche Netzwerklast.

Der Autor Klaus Mochalski ist CEO von Rhebo.

Lesen Sie auch: Robotergestützte Röntgenprüfung von Kfz-Türschlössern mit Nullfehlerprinzip

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktions-Newsletter ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage
Werbung
Werbung

Aktuelle Ausgabe

Topthema: Flexible Plattformlösungen sind die Zukunft der Produktion

Manufacturing Integration Platform

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.