Operational Technology: IT-Sicherheit als Embedded System umsetzen

Immer wieder werden neue Sicherheitslücken in Industriekomponenten bekannt. So meldete Rhebo im Februar 2020 an den Hersteller Beckhoff Automation eine Schwachstelle auf dem Buskoppler BK9000, die für Denial-Of-Service-Angriffe ausgenutzt werden kann. Im Durchschnitt identifiziert Rhebo innerhalb der ersten zwei Wochen bereits 23 Schwachstellen und Sicherheitsvorfälle in der Automatisierungs- und Steuerungstechnik (Operational Technology) von Industrieunternehmen und kritischen Infrastrukturen. Mit den im Juni 2020 veröffentlichten Ripple20-Schwachstellen geraten zusätzlich IoT-­fähige Geräte aller Hersteller in den Fokus.

Proprietäre Protokolle behindern sichere Produktions-IT

Das Sicherheitsproblem wird durch die steigende Komplexität und Variabilität der Komponenten verschärft. Sicherheitsfunktionen – soweit überhaupt vorhanden – sind selten zwischen den Herstellern abgestimmt. Zudem erschweren proprietäre Protokolle die Härtung der Produktions-IT und damit verbundenen Automatisierungs- und Steuerungstechnik (Operational Technology, kurz OT).

Diese Komplexität birgt ein weiteres, meist gänzlich unbeachtetes Problem: technische Fehlerzustände. Fehlkonfigurationen, Konflikte zwischen den Geräten und Werkeinstellungen, die zum Teil eine erheblich höhere Netzwerklast verursachen, gefährden die operative Stabilität der Fertigung. Die Verantwortlichen für die IT-Sicherheit in der Produktion stehen dabei vor der Herausforderung, Anlagen mit Lebenszyklen von 20 Jahren gegen sich rasant entwickelnde Cybergefahren zu verteidigen. Cybersicherheit ist daher nur herstellerübergreifend und integriert umsetzbar.

Integrierte IT-Sicherheit geht über Firewalls hinaus

Firewalls und Intrusion-Detection-Systeme (IDS) haben in den vergangenen Jahren nur bedingt Abhilfe geschaffen. Sie funktionieren, solange die Angriffsmuster bekannt sind. Wird eine offiziell unbekannte Schwachstelle ausgenutzt oder ein neues oder abgewandeltes Angriffsmuster verwendet, kommen diese Lösungen schnell an ihre Grenzen. So entstehen nach wie vor die meisten Ransomware-Vorfälle in Produktionen durch Spillover von der Unternehmens-IT.

Auch Angriffe und Manipulationen durch Innentäter sowie technische Fehlerzustände erkennen Firewalls & Co. nicht. Da die einzelnen Produktionskomponenten selten Kapazität für Sicherheitsfunktionen aufweisen, ist die Operational Technology für Angreifer und Schadsoftware eine offene Spielwiese. Integrierte IT-Sicherheit in der Produktion umfasst deshalb ein dediziertes, ganzheitliches Netzwerkmonitoring der OT mit Anomalieerkennung. Ein solches System ergänzt Firewalls und IDS in idealer Weise, um die oben skizzierten Lücken zu schließen.

Sichtbarkeit und Sicherheit in der Operational Technology schaffen

Wie der OT-Sicherheitsexperte Sebastian Rohr in seinem Buch „Industrial IT Security“ ausführte, herrscht in der OT ein Mangel an Dokumentation und Überwachung. Weder sind alle Komponenten, Netzteilnehmer und Abhängigkeiten bekannt noch herrscht Klarheit über die Aktualität der eingesetzten Betriebssysteme. Die einzige Möglichkeit, etwas über die Kommunikation aus der OT zu erfahren, sind Firewalls an den Netzwerkgrenzen. Innerhalb der OT stehen die Verantwortlichen dagegen vor einer Blackbox.

Industrielles Netzwerkmonitoring bringt Licht in die OT. Éine Netzwerkmonitoring-Lösung wird in die OT integriert und ist auf die vorherrschenden Kommunikationsprotokolle spezialisiert. Dadurch kann jegliche Kommunikation innerhalb der OT überwacht werden – auch Datenaustausch, der direkt zwischen den Anlagen stattfindet und nicht über die Firewalls an den Netzwerkgrenzen läuft.

Das Netzwerkmonitoring identifiziert alle aktiven Geräte, Komponenten und Systeme innerhalb der OT und dokumentiert deren Betriebssysteme, Verbindungen und Kommunikationsverhalten. Durch die Identifikation der Betriebssysteme erfolgt auch ein Abgleich mit der internationalen Schwachstellendatenbank CVE. Verantwortliche für OT-Sicherheit erhalten so umfassende Informationen für ein detailliertes Asset Management sowie über bekannte Schwachstellen in der Infrastruktur.

Erkennen neuartiger Angriffe und schädlicher Vorgänge

Die Anomalieerkennung erlaubt eine Echtzeit-Identifikation neuartiger Angriffe, die von den Firewalls übersehen werden. Anstelle der signaturbasierten Gefahrensuche der Firewalls nutzt die Anomalieerkennung eine Verhaltensanalyse. Sie lernt das gängige, zu erwartende Kommunikationsmuster der OT und meldet jede Abweichung von diesem. Dadurch werden auch Angriffe oder schädliche Vorgänge sichtbar, die neuartig sind oder durch Innentäter erfolgen. Das ist bei Spillover-Effekten durch beispielsweise NotPetya oder EKANS, aber auch im Zuge vermehrter Home-Office-Arbeit wichtig.

Im Homeoffice sind die Arbeitsrechner in der Regel mit dem privaten Heimnetz verbunden. Dieses ist jedoch selten ausreichend gesichert. Cyberkriminelle können dadurch einfacher den Arbeitsrechner manipulieren und von dort hinter die gesicherten Netzwerkgrenzen des Unternehmens gelangen. Die Mitarbeitenden tragen sozusagen den Hacker in die Firma.

Stabilität der Operational Technology gewährleisten

Ein weiterer Aspekt der integrierten Anomalieerkennung ist die Stabilität der Operational Technology. Spezialisierte OT-Monitoringlösungen wie Rhebo Industrial Protector erkennen neben Sicherheitsvorfällen auch technische Fehlerzustände anhand der überwachten Kommunikation. So werden Fehlkonfigurationen, Überlastzustände und Kommunikationsfehler sichtbar, welche die Stabilität der Produktion – insbesondere der Echtzeitprozesse – gefährden.

Da die Produktion nicht gestört werden soll, arbeitet das Netzwerkmonitoring mit Anomalieerkennung passiv und rückwirkungsfrei. Das ist sinnvoll, da nicht jede Anomalie automatisch einen kritischen Sicherheitsvorfall darstellt, der geblockt werden muss oder für den die gesamte OT heruntergefahren werden muss. Die Entscheidungshoheit, wie mit gemeldeten Anomalien umgegangen werden soll, verbleibt daher bei den Betreibern des Netzwerkmonitorings.

OT-Sicherheit übergreifend und lückenlos umsetzen

Abhängig vom Anbieter des industriellen Netzwerkmonitoring funktioniert die Lösung zudem herstellerübergreifend. Mittlerweile wurden viele Anbieter von großen Industrieunternehmen übernommen. Nur wenige Anbieter wie Rhebo gewährleisten nach wie vor Herstellerunabhängigkeit und somit bedingungslose Objektivität beim Monitoring. Dadurch wird die Kommunikation auch in einer äußerst komplexen OT lückenlos und übergreifend überwacht.

Die Integration erfolgt in der Regel über alleinstehende Hardware-Software-Pakete, die beispielsweise an Switches oder Router angeschlossen werden. Seit über zwei Jahren steht zudem die Option zur Auswahl, das Monitoring als reine Software oder App auf bestehenden OT-Komponenten zu integrieren. So kann Rhebo Industrial Protector übergreifend auf den weit verbreiteten Industriekomponenten von Bosch Rexroth, Siemens Ruggedcom, Phoenix Contact, Wago und Cisco integriert werden.

Für die leistungsstarken Gateways von Insys icom ergänzt die Lösung auf Wunsch die integrierte Firewall des Herstellers. Für IBM-Komponenten kann das Netzwerkmonitoring im IBM QRadar App-Shop hinzugebucht werden. Das vollständig integrative Netzwerkmonitoring mit Anomalieerkennung erfordert daher keinen kostenintensiven Infrastrukturumbau in der Produktion, denn das Sicherheits- und Stabilitäts-Upgrade der OT erfolgt reibungslos, ohne Produktionsunterbrechung oder zusätzliche Netzwerklast.

Der Autor Klaus Mochalski ist CEO von Rhebo.

Lesen Sie auch: Robotergestützte Röntgenprüfung von Kfz-Türschlössern mit Nullfehlerprinzip