Mobile-Menu

Stabilitätsmonitoring OT-Sicherheit: Risiken im Griff durch Anomalieerkennung

Von Uwe Dietzmann 4 min Lesedauer

Anbieter zum Thema

Rhebo GmbH
Schneider Electric GmbH
PSI Software SE | Business Unit Discrete Manufacturing

Die Cybersicherheit industrieller Anlagen gewinnt im Risikomanagement an Bedeutung. In der Operational Technology (OT) gelten jedoch andere Bedingungen als in der IT. Statt auf absolute OT-Sicherheit zu setzen, ist ein praxisnaher Ansatz gefragt: Risiken realistisch bewerten und gezielt steuern.

Firewalls übersehen bestimmte Formen von Sicherheitsvorfällen. Betreiber befinden sich im Blindflug.(Bild: Rhebo)
Firewalls übersehen bestimmte Formen von Sicherheitsvorfällen. Betreiber befinden sich im Blindflug.
(Bild: Rhebo)

In der Operational Technology von Industrieunternehmen verstecken sich eine Vielzahl von Schwachstellen, die neben der Sicherheit auch die Stabilität der Prozesse und Verfügbarkeit der Anlagen gefährden. Bei Schwachstellenbewertungen und Stabilitätsanalysen in OT-Netzwerken finden sich regelmäßig veraltete oder gleich fehlende Authentifizierungsmethoden, eine Vielzahl unsicherer Protokolle und Fehlkonfigurationen sowie angreifbare Komponentenfirmware, für die seit längerem Schwachstellen bekannt sind. Hinzu kommen wiederholte Hinweise auf Netzwerkdegradation und -überlast, die dazu führen, dass OT-Systeme nicht erreichbar sind und die Stabilität der Fertigungsprozesse gefährden.

OT-Sicherheit: Risiken und Pflichten nehmen zu

Häufigkeit der typischsten Sicherheitsrisiken in OT-Netzwerken basierend auf Rhebo Industrial Security Assessments.(Bild: Rhebo)
Häufigkeit der typischsten Sicherheitsrisiken in OT-Netzwerken basierend auf Rhebo Industrial Security Assessments.
(Bild: Rhebo)

Diese Schwachstellen und Sicherheitsrisiken sind in der Regel nicht einfach abzustellen. Nicht nur fehlt es vielerorts an sicheren Alternativen. Industrielle Komponenten werden noch immer unter der Prämisse entwickelt, kostengünstig zu sein und die konkret für den Prozess erforderlichen Funktionen zu leisten. Laufzeiten von 10 bis 20 Jahren verhindern einen schnellen Austausch kritischer Komponenten. Abhängigkeiten von System- und Serviceanbietern sowie deren oftmals weitreichende Befugnisse im Rahmen der Wartung und des Trouble-Shootings erhöhen zusätzlich das Lieferkettenrisiko.Gleichzeitig fordert die Gesetzgebung zunehmend ganzheitliche Cybersicherheit in Unternehmen. Mit dem Cyber Resilience Act (CRA) der EU müssen zukünftig auch Produkte mit digitalen Schnittstellen cybersicher sein. Hinzu kommen Kundenanforderungen an Verfügbarkeit, Stabilität und Optimierung verteilter und vernetzter (I)IoT-Anlagen.Mit NIS2 müssen Industrieunternehmen neben der IT auch ihre OT- und (I)IoT-Umgebung sichern. Werden die Unternehmen als “kritische Anlage” kategorisiert, muss sogar ein System zur Angriffserkennung (SzA) betrieben werden, für das das Bundesamt für Sicherheit in der Informationstechnik (BSI) klare Anforderungen formuliert hat.

Ist eine Firewall ein SzA?

Ein System zur Angriffserkennung erfasst neben den Netzwerkgrenzen auch die Innenansicht der Netzwerke.(Bild: Rhebo)
Ein System zur Angriffserkennung erfasst neben den Netzwerkgrenzen auch die Innenansicht der Netzwerke.
(Bild: Rhebo)

Ohne Frage, eine Firewall ist relevanter Bestandteil eines Systems zur Angriffserkennung – auch in der OT. Jedoch schafft sie allein keinen sinnvollen, ausreichenden Schutz, wie es z. B. das BSI definiert. Das hat nicht nur technische Gründe, sondern ergibt sich auch aus der sich stetig wandelnden Risikolage. Firewalls prüfen ausschließlich den Verkehr an den Netzwerkgrenzen. Aufgrund ihrer meist signaturbasierten Arbeitsweise erkennen vor allem bereits bekannte und dokumentierte Schadsoftware und Angriffsvektoren. Firewalls sind jedoch blind in Bezug auf:

  • Kommunikation innerhalb des OT-Netzwerkes (z. B. über einen Wartungslaptop),
  • Angriffe über Zero-Day-Schwachstellen,
  • Angriffe über gestohlene Zugangsdaten,
  • Angriffsvektoren über die Lieferkette, insbesondere wenn Systemanbieter oder Serviceunternehmen privilegierte Zugriffsrechte auf Systeme besitzen,
  • Angriffe durch Innentäter,
  • häufig auch Kommunikation, die OT-spezifische Protokolle verwendet.

Mit einer Risikolage, die sich – nicht zuletzt auch durch den Einsatz von KI – täglich ändert und erweitert, können Firewalls und signaturbasierte Sicherheitslösungen nicht mithalten. Damit wird auch das alte Paradigma der IT-Sicherheit, 100-prozentige Sicherheit anzustreben, obsolet. Das gilt umso mehr in der OT, die in Bezug auf die Komponenten, Systeme, Protokolle und Kommunikationsprozesse so gut wie keine gehärtete, integrierte Cybersicherheit kennt.Das macht den Perspektivwechsel notwendig: Cyberrisiken können im Sinne der Prävention nicht vollständig abgestellt oder bereits an den Netzwerkgrenzen abgewehrt werden. Das verbleibende und sich ständig ändernde Risiko kann jedoch unter Kontrolle gebracht werden – indem Veränderungen in der OT-Kommunikation frühzeitig erkannt, überprüft und bewertet werden können. Denn Veränderungen – bzw. Anomalien – in der typischerweise deterministischen, gleichmäßigen und sich wiederholenden OT-Kommunikation bedeuten in der Regel eine Abweichung vom gewünschten Zustand. Ob diese Anomalie durch einen Cyberangriff, durch Fehlkonfigurationen, Fehlverhalten, ausfallenden Komponenten oder überlasteten Systemen entsteht, ist für die Betreibenden mitunter zweitrangig. In jedem Fall sind sie unerwünscht, produktions- und damit umsatzgefährdend sowie gegebenenfalls compliance-kritisch.

Sicherheits- und Stabilitätsmonitoring in der OT

In den Produktionslinien selbst kann diese Anomalieerkennung sehr einfach, und auch außerhalb des Wartungsfensters, über ein netzbasiertes Intrusion Detection System (NIDS) erfolgen. Dieses überwacht kontinuierlich und rein passiv die gesamten Kommunikationsströme innerhalb des OT-Netzwerkes und meldet Abweichungen vom zu erwartenden Muster (der sogenannten Baseline). Dabei werden alle Informationen zur Lokalisierung und Bewertung der Anomalie geliefert. Die OT-Verantwortlichen können so umgehend entscheiden, ob und welche Maßnahmen sinnvoll sind, um die Produktion am Laufen zu halten. Für die Integration in die übergeordnete IT-Sicherheit können die Anomaliemeldungen an ein Security Information & Event Management (SIEM) System weitergeleitet werden.

Sicherheits- und Stabilitätsmonitoring an der Edge

Hersteller wichtiger bzw. kritischer (I)IoT-Anlagen können ein ähnliches Prinzip auf ihren Edge Devices umsetzen. In diesem Fall wird das Sicherheitsmonitoring mit Anomalieerkennung als containerisiertes Modul direkt auf den Endgeräten integriert. Die Zusammenführung und Auswertung aller Meldungen erfolgen auf einem zentralen Dashboard, das wiederum in das übergeordnete Condition Monitoring der Edge Devices eingebunden werden kann. Hersteller und Betreiber der (I)IoT-Anlagen können so den Anforderungen des CRA Folge leisten und zugleich Cybersicherheit als festen Bestandteil ihres generellen Betriebsmonitorings etablieren.

Uwe Dietzmann ist Sales Manager bei Rhebo.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte